Führt eine Verletzung der DSGVO immer zu einem Schadensersatzanspruch nach Art. 82 DSGVO?
Der Europäische Gerichtshof (EuGH) hat in seinem Urteil vom 4. Mai 2023 (C-300/21) zum Schadensersatz nach der DSGVO entschieden, dass:
- eine bloße Verletzung der DSGVO nicht genügt, um einen Anspruch auf Schadensersatz zu begründen;
- das Recht auf Schadensersatz nicht auf materielle oder immaterielle Schäden beschränkt ist, die eine gewisse Erheblichkeitsschwelle erreichen; und
- es den Mitgliedstaaten obliegt, Kriterien für die Bestimmung der Höhe des Schadensersatzes festzulegen, sofern der unionsrechtliche Effektivitäts- und Äquivalenzgrundsatz gewahrt ist.
Hintergrund zu den Vorlagefragen
Die Österreichische Post AG hat seit 2017 Informationen über parteipolitische Affinitäten der österreichischen Bevölkerung gesammelt. Dabei hat die Österreichische Post AG unter Verwendung eines Algorithmus verschiedene politische Zielgruppen gebildet, um zielgerichtete Werbung für politischen Parteien zu ermöglichen.
Der Kläger, der Empfänger einer solchen Werbung war, war verstimmt, verärgert und fühlte sich dadurch beleidigt, dass ihm eine Affinität zu einer bestimmten politischen Partei zugeschrieben wurde. Die Daten seien ohne sein Einverständnis verarbeitet worden. Aufgrund der gefühlsmäßigen Beeinträchtigung, die er durch die rechtswidrige Verarbeitung seiner personenbezogenen Daten erlitten habe, klagte er auf immateriellen Schadensersatz in Höhe von 1.000 EUR. Seine Klage wurde von verschiedenen nationalen Gerichten abgewiesen und schließlich vor dem Obersten Gerichtshof (Österreich) verhandelt, der dem EuGH die Frage zur Vorabentscheidung vorgelegt hat, ob bereits die Verletzung einer DSGVO-Vorschrift für die Zuerkennung eines Schadensersatzes ausreiche.
Zudem hat der Oberste Gerichtshof die Fragen aufgeworfen, ob neben den Grundsätzen der Effektivität und Äquivalenz weitere unionsrechtliche Vorgaben für die Bemessung des Schadensersatzes bestehen und ob es eine Erheblichkeitsschwelle für das Recht auf Schadensersatz nach Art. 82 DSGVO gibt.
Stellungnahme des Generalanwalts
Bezüglich der Frage, ob Art. 82 DSGVO dem Betroffenen einen Anspruch auf Schadensersatz unabhängig vom Vorliegen eines materiellen oder immateriellen Schadens gewährt, hat der Generalanwalt Campos Sánchez-Bordona in seinen Schlussanträgen vom Oktober 2022 dargelegt, dass der Schadensersatz die nachteiligen Konsequenzen, die durch den Verstoß gegen die DSGVO entstanden sind, kompensieren soll und keine Straffunktion gegenüber dem Verantwortlichen hat.
Zusätzlich hat der Generalanwalt erörtert, dass die DSGVO dem Betroffenen nicht per se die Kontrolle über seine personenbezogenen Daten als eigenen Vermögenswert verschafft und es somit nicht notwendig ist, dass der Betroffene die „größtmögliche Kontrolle“ über die Daten innehat. Der Generalanwalt stellte hierbei auch auf den freien Verkehr personenbezogener Daten ab und betonte überdies, dass das Recht auf Schutz personenbezogener Daten nicht absolut gilt, sondern mit den Interessen Dritter und der Gesellschaft in Einklang gebracht werden müsse.
Das Urteil des Europäischen Gerichtshofs
Gewährt Art. 82 DSGVO einen Schadensersatz ohne Schaden?
Der EuGH ist den Schlussanträgen des Generalanwaltes im Wesentlichen gefolgt. Er hat entschieden, dass für einen Schadensersatzanspruch nach Art. 82 DSGVO drei kumulative Bedingungen erfüllt sein müssen: (i) ein Verstoß gegen die DSGVO, (ii) ein materieller oder immaterieller Schaden, und (iii) die Kausalität zwischen dem Verstoß und dem Schaden. Dies führt zu dem Schluss, dass nicht jeder Verstoß gegen die DSGVO einen Anspruch auf Schadensersatz begründet. Wenn der Gesetzgeber gewollt hätte, dass jeder Verstoß gegen die DSGVO zu einem Ausgleichsanspruch führen würde, hätte er weder einen materiellen noch einen immateriellen Schaden zur Voraussetzung des Art. 82 Abs. 1 DSGVO gemacht. Diese Interpretation wird durch die Erwägungsgründe 75 und 85 DSGVO bestätigt, in denen es heißt, dass die unrechtmäßige Verarbeitung personenbezogener Daten zu einem Schaden führen könnte.
Zudem würde ein Schadensersatz ohne Schaden die Systematik der DSGVO unterlaufen, da diesem eine Ausgleichsfunktion und keine Straffunktion zukommt. Die DSGVO stellt verschiedene Instrumente wie die Verhängung von Geldbußen durch Aufsichtsbehörden nach Art. 83 DSGVO zur Verfügung, um Verantwortliche für die unrechtmäßige Verarbeitung von personenbezogenen Daten zu sanktionieren. Der Betroffene kann ein solches Verfahren einleiten, indem er eine Beschwerde bei der Aufsichtsbehörde nach Art. 77 DSGVO einlegt. Eine solche Beschwerde setzt jedoch keinen Schaden voraus. Ein systematischer Vergleich zu Kapitel VIII zeigt daher, dass das Kriterium „Schaden“ für sich allein steht und deshalb nicht mit einem Verstoß gegen die DSGVO gleichgesetzt werden kann.
Kann nationales Recht eine Erheblichkeitsschwelle für die Geltendmachung von Schadensersatzansprüchen festlegen?
Hinsichtlich der Frage, ob der Anspruch auf Ersatz immaterieller Schäden eine gewisse Erheblichkeit voraussetzt, hat der EuGH entschieden, dass eine nationale Festsetzung einer Erheblichkeitsschwelle das Ziel der DSGVO einer einheitlichen Rechtsetzung innerhalb der Europäischen Union gefährden würde. Der Begriff Schaden müsse weit verstanden werden, um einen wirksamen Schutz des Betroffenen zu gewährleisten. Aus dem Wortlaut des Art. 82 DSGVO geht nicht hervor, dass der Anspruch von der Erheblichkeit des Schadens abhängt. Außerdem würde eine nationale Gesetzgebung zur Uneinheitlichkeit in nationalen Gerichtsentscheidungen führen, da die Möglichkeit, einen Schaden geltend zu machen, von der Beurteilung der nationalen Gerichte abhinge. Denn die graduelle Abstufung einer solchen Schwelle könnte von den angerufenen Gerichten unterschiedlich vorgenommen werden. In diesem Zusammenhang hat der EuGH jedoch – zu Recht – klargestellt, dass der Betroffene beweisen muss, dass er durch den Datenschutzverstoß tatsächlich einen (materiellen oder immateriellen) Schaden erlitten hat.
Bestimmung der Schadenshöhe
Schließlich hat der EuGH hinsichtlich der Bestimmung der Schadenshöhe dargelegt, dass es in der Verantwortlichkeit der Mitgliedstaaten liegt, Kriterien für die Bemessung des Schadensersatzes zu bestimmen. Die DSGVO enthält insoweit keine Regelungen. Bei der Ausgestaltung müssen die Mitgliedstaaten jedoch dem unionsrechtlichen Effektivitäts- und Äquivalenzgrundsatz Rechnung tragen. Der EuGH betonte zudem, dass das Erfordernis des vollständigen und wirksamen Schadensersatzes für einen erlittenen Schaden nach Erwägungsgrund 146 DSGVO dadurch gewahrt wird, dass dem Schadensersatz eine vollumfängliche Ausgleichsfunktion zukommt. Einen „Strafschadensersatz“ lehnt der EuGH zu Recht ab.
Bloßes Ärgernis als Schaden?
Der Generalanwalt hatte im vorliegenden Fall argumentiert, dass ein bloßer Ärger und schwache oder vorrübergehende Gefühle noch keinen Schaden begründen. Art. 82 Abs. 1 DSGVO sei kein geeignetes Instrument, um gegen Verstöße bei der Verarbeitung personenbezogener Daten vorzugehen, wenn diese Verstöße lediglich Verstimmung und Unwohlsein hervorrufen. Dies würde schnell zu einem „Schadensersatz ohne Schaden“ führen, der in der DSGVO nicht vorgesehen ist. Dem Generalanwalt war jedoch bewusst, dass es schwierig sein könnte, zwischen einem bloßen Ärgernis und einem echten immateriellen Schaden zu unterscheiden.
Der EuGH hat sich zu dieser Frage bedauerlicherweise nicht geäußert. Damit bleibt weiterhin offen, welche Kriterien zur Differenzierung zwischen einem bloßen (nicht ersatzfähigen) Ärger und echten (ersatzfähigen) immateriellen Schäden herangezogen werden können. Es bleibt zu hoffen, dass diese für die Rechtspraxis so bedeutsame Abgrenzungsfrage in den nächsten, bereits anhängigen Vorlageverfahren geklärt wird.
Fazit
Das Urteil des EuGH ist grundsätzlich zu begrüßen, da es die kontinentaleuropäische Rechtstradition und -praxis fortsetzt und zwischen einer bloßen Rechtsverletzung und dem hieraus möglicherweise resultierenden Schaden unterscheidet. Die Sorge, dass Schadensersatzklagen in nächster Zeit die nationalen Gerichte überschwemmen werden, hat sich als unbegründet erwiesen. Das Urteil dürfte das Risiko von exzessiven Massenverfahren im Zusammenhang mit Sammelklagen reduzieren. Kanzleien, die ihr Geschäftsmodell auf solchen Klagen aufbauen, haben hiermit wohl einen Rückschlag erlitten. Bedauerlich ist jedoch, dass sich der EuGH gegen eine Erheblichkeitsschwelle ausgesprochen hat. Dies kann jedoch möglicherweise durch die Festsetzung der Schadenshöhe nach den Grundsätzen des nationalen Rechts „korrigiert“ werden. Ein unerheblicher Schaden führt dann zu einem geringfügigen Schadensersatz. Hierbei ist jedoch zu beachten, dass auch bei einem geringfügigen Schaden nach dem Effektivitätsgrundsatz dieser in vollem Umfang ausgeglichen werden muss und die nationalen Regelungen die faktische Ausübung der Rechte nicht übermäßig erschweren darf.
Der EuGH wird alsbald die Gelegenheit haben, seine Rechtsprechung zu Art. 82 DSGVO zu präzisieren, da weitere Vorabentscheidungsverfahren anhängig sind. Dessen ungeachtet ist die vorliegende Entscheidung des EuGH vom 4. Mai 2023 ein erster wichtiger Schritt für mehr Rechtssicherheit in dem dynamischen Bereich des europäischen Datenschutzrechts.
