28.11.2022Fachbeitrag

Update Datenschutz Nr. 124

Immaterieller Schadensersatz bei Datenschutzverstößen

Lange Zeit stand bei Datenschutzverstößen vor allem das mit der DSGVO erheblich angestiegene Bußgeldrisiko im Fokus. Mittlerweile tritt daneben für Unternehmen das Risiko in den Vordergrund, dass betroffene Personen bei Datenschutzverstößen Schadensersatzansprüche geltend machen. Hintergrund ist, dass Art. 82 DSGVO nicht nur den Ersatz von materiellen Schäden vorsieht, die selten bedrohliche Ausmaße annehmen, sondern auch einen Schadensersatzanspruch für Nichtvermögensschäden (sog. immaterielle Schäden).

Die Rechtsprechung der deutschen Gerichte zu den Voraussetzungen und zur Höhe dieses Schadensersatzanspruchs ist keineswegs einheitlich. Zum Teil gehen die Gerichte davon aus, der Schadensersatzanspruch nach DSGVO habe Sanktionscharakter und diene der Abschreckung. Deshalb komme es nicht darauf an, ob eine Beeinträchtigung der betroffenen Person eingetreten sei. Vielmehr löse bereits der Datenschutzverstoß als solcher den Schadensersatzanspruch aus. Bei Schadensersatzbeträgen im vierstelligen Bereich pro Fall kann damit ein Datenschutzverstoß, je nach Anzahl der davon Betroffenen, für ein Unternehmen gravierende wirtschaftliche Folgen haben.
Da es sich bei der DSGVO um EU-Recht handelt, liegt die Auslegungshoheit beim Europäischen Gerichtshof (EuGH). Aufgrund der Unsicherheiten über die Auslegung des Schadensersatzanspruchs haben zahlreiche nationale Gerichte dem EuGH Fragen hierzu vorgelegt. In einem dieser beim EuGH anhängigen Verfahren, einem Vorabentscheidungsersuchen des Obersten Gerichtshofs (Österreich), Rechtssache C-300/21, hat der Generalanwalt am 6. Oktober 2022 seine Schlussanträge veröffentlicht.

Der Ausgangsfall

Beklagte des Ausgangsverfahrens ist die Österreichische Post AG, die als Adressenverlag Informationen zu den Parteiaffinitäten der österreichischen Bevölkerung erhob und unter Einsatz eines Algorithmus anhand bestimmter sozialdemografische Merkmale Zielgruppenadressen definierte. Der Kläger ist eine natürliche Person, deren Parteiaffinität von der Österreichischen Post AG auf diese Weise ohne seine Einwilligung bestimmt wurde. Eine Weitergabe dieser Daten an Dritte erfolgte nicht. Der Kläger machte einen immateriellen Schadensersatzanspruch in Höhe von EUR 1.000 geltend und begründete seinen Anspruch mit innerem Ungemach. Das Verhalten der Österreichischen Post habe bei ihm großes Ärgernis, einen Vertrauensverlust und ein Gefühl der Bloßstellung ausgelöst.

Nachdem die ersten zwei Instanzen den Anspruch abgelehnt hatten, legte der Oberste Gerichtshof (Österreich) dem EuGH am 12. Mai 2022 drei Fragen zur Auslegung des Art. 82 DSGVO zu Vorabentscheidung vor, nämlich (1) ob der Schadensersatzanspruch nach Art. 82 DSGVO voraussetzt, dass die betroffene Person einen Schaden erlitten hat, oder ob es ausreicht, dass Bestimmungen der DSGVO verletzt wurden, (2) ob für die Bemessung des Schadensersatzes neben den Grundsätzen der Effektivität und der Äquivalenz weitere Vorgaben des Unionsrecht bestehen und (3), ob der Zuspruch von Schadensersatz voraussetzt, dass eine Folge der Rechtsverletzung von einigem Gewicht vorliegt, die über den bloßen Ärger über die Rechtsverletzung hinausgeht.

In seinen Schlussanträgen schlägt der Generalanwalt vor, den immateriellen Schadensersatzanspruch eng auszulegen.

Kein Schadensersatz ohne Schaden

Nach Auffassung des Generalanwalts sieht die DSGVO keinen Strafschadensersatz vor. Käme Art. 82 DSGVO eine Sanktions- oder Abschreckungsfunktion zu, wäre es unerheblich, ob die betroffene Person einen Schaden oder auch nur eine Beeinträchtigung erlitten hat. Ausreichend für eine Verurteilung zur Zahlung eines Schadensersatzes wäre bereits die reine Datenschutzverletzung. Nach Auffassung des Generalanwalts kommt dem zivilrechtlichen Schadensersatzanspruch ein solcher Sanktionscharakter jedoch unter keiner denkbaren Auslegung zu. Der Schadensersatzanspruch diene der Genugtuung und dem Ausgleich und setze voraus, dass die betroffene Person einen Schaden erlitten habe. Sein Zweck sei es nicht, zu strafen und abzuschrecken. Dieser öffentlichen Funktion dienten die Geldbußen und strafrechtlichen Sanktionen, die von Aufsichtsbehörden und Gerichten verhängt werden können.

Dementsprechend lasse sich Art. 82 DSGVO auch keine Vermutung entnehmen, dass automatisch ein Schaden entstanden ist, wenn gegen eine datenschutzrechtliche Norm verstoßen wird. Der bloße Kontrollverlust über die eignen Daten durch die Datenschutzverletzung führe nicht bereits zur Vermutung eines Schadens und damit zu einem Schadensersatzanspruch. Vielmehr sei es auch bei der Geltendmachung eines immateriellen Schadens erforderlich, dass die betroffene Person diesen darlegt und beweist.

Keine symbolische Entschädigung

Art. 82 DSGVO enthält keine Vorgaben dazu, wie der Schadensersatz zu berechnen ist. Nach Erwägungsgrund 146 der DSGVO sollten betroffenen Personen vollständigen und wirksamen Ersatz für den erlittenen Schaden erhalten. Nach Auffassung des Generalanwalts kann das auch andere als finanzielle Komponenten umfassen, wenn die jeweilige nationale Rechtsordnung solche Rechtsbehelfe vorsieht. Das kann z.B. die Einziehung des zu Unrecht erzielten Gewinns sein, oder die Zahlung einer symbolischen Entschädigung. Voraussetzung sei aber immer, dass die nationale Rechtsordnung solche Ansprüche als Rechtsbehelfe zusätzlich zu den Rechtsbehelfen der DSGVO bereitstelle. Gehe es um finanzielle Schäden, gelte Art. 82 DSGVO. Dieser aber sehe eine symbolische Entschädigung für den Fall, dass ein Schaden schwierig nachzuweisen ist, nicht vor.

Reiner Ärger ist kein Schaden

Bloßer Ärger über einen Datenschutzverstoß ist nach Auffassung des Generalanwalts nicht ersatzfähig. Jeder Verstoß gegen eine Datenschutzvorschrift werde zu einer negativen Reaktion der betroffenen Person führen. Würde aber ein Schadensersatz wegen eines bloßen Unmutsgefühl zugesprochen, dann käme das einem Schadensersatz ohne Schaden sehr nahe, den die DSGVO nicht vorsehe. Dass die Abgrenzung zwischen nicht ersatzfähigem Ärger und einem echten ersatzfähigen immateriellen Schaden schwierig ist, räumt der Generalanwalt ein. Diese schwierige Grenzziehung obliege aber den nationalen Gerichten.

Fazit

Es darf mit Spannung erwartet werden, ob der EuGH den Schlussanträgen des Generalanwalts folgen wird. In jedem Fall wird die Entscheidung wegweisend für die Zukunft des Schadensersatzanspruchs bei Datenschutzverstößen sein und damit auch die Bewertung des wirtschaftlichen Risikos solcher Vorfälle erheblich beeinflussen. Abschließende Rechtssicherheit ist jedoch auch dann nicht zu erwarten, wenn der EuGH dem Generalanwalt folgt. Denn die im Einzelfall entscheidende Frage, wie groß das Ungemach der betroffenen Person war, also wann der Ärger der betroffenen Person die Grenze zu einer zu entschädigenden Beeinträchtigung überschreitet, würden auch weiterhin die nationalen Gerichte beantworten müssen. Entscheidend bleibt damit, Datenschutzverstöße und die damit verbundenen zivilrechtlichen Schadensersatzrisiken zu vermeiden (vgl. hierzu unser Update Datenschutz Nr. 123 vom 24. November 2022).

Als PDF herunterladen

Ansprechpartner

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.