Datenschutz-Blog der SDG

Neues vom EuGH zum Schadenersatzanspruch des Art. 82 DSGVO

26. Mai 2023 von Julian Halbhuber

Am 04.05.2023 erging in der Rechtssache C‑300/21 eine Entscheidung des EuGH, worin dieser zur Auslegung des Schadenersatzanspruchs nach Art. 82 DSGVO Stellung bezieht. Die wesentlichen Erkenntnisse dabei sind:

  • Anspruchsvoraussetzung ist ein tatsächlich entstandener, hinreichend darzulegender Schaden. Die bloße Darstellung eines Verstoßes gegen die DSGVO genügt nicht.
  • Dieser Schaden muss keine Erheblichkeitsschwelle überschreiten, auch Bagatellschäden begründen die Ersatzpflicht nach Art. 82 DSGVO.
  • Die Regelung der Bemessung der Ersatzhöhe liegt maßgeblich beim nationalen Gesetzgeber. Dennoch müssen dabei die Grundsätze des Unionsrechts Beachtung finden.

Offen bleibt hingegen weiterhin die Frage der inhaltlichen Grenzen des immateriellen Schadensbegriffs, insbesondere im Hinblick auf rein subjektives Unwohlbefinden.


Der Rechtsstreit

Zu Grunde lag dabei ein Rechtsstreit zwischen der Österreichischen Post und einem ihrer Kunden. Diese verarbeitete personenbezogene Daten im Hinblick auf demografische und soziale Merkmale, anhand welchen, durch einen Algorithmus statistisch begründet, die Sympathie zu einer bestimmten politischen Partei vermutet wurde. Diese Parteipräferenz sollte daraufhin gegen Entgelt für zielgerichtete Werbemaßnahmen Dritter Verwendung finden. Der klagende Kunde fühlte sich durch die erfolgte Zuordnung beleidigt, bloßgestellt und empfand nach eigenem Bekunden dabei ein großes Ärgernis. Auch ein Vertrauensverlust sei ihm entstanden. Auf dieser Basis verlangte er Ersatz immateriellen Schadens in Höhe von 1.000 €.


Die Vorlagefragen

Der schlussendlich vorlegende Oberste Gerichtshof (OGH) stellte im Rahmen eines Vorabentscheidungsersuchens paraphrasiert folgende Fragen:

Reicht zum Schadenersatz nach Art. 82 DSGVO der Verstoß gegen eine Bestimmung der DSGVO oder ist überdies erforderlich, dass beim Kläger auch ein Schaden eingetreten ist?

Hierzu stellt der EuGH zunächst fest, dass die Auslegung des Art. 82 DSGVO nicht durch Rekurs auf nationales Recht zu leisten ist, sondern in erster Linie der Wortlaut sowie der systematische Zusammenhang der Norm betrachtet werden muss. Zum Wortlaut stellt er recht unumwunden fest, dass dieser in Abs. 1 auf entstandenen Schaden verweist (“materieller oder immaterieller Schaden entstanden ist”). Auch wäre dort die gesonderte Erwähnung des “Verstoßes” nicht erklärlich, wenn er nicht ein vom “Schaden” zu trennendes Merkmal darstellen sollte. Gerade im Zusammenhang mit dem konkretisierenden Abs. 2 werden drei Anspruchsvoraussetzungen festgestellt:

  • Dass personenbezogene Daten unter Verstoß gegen die DSGVO verarbeitet wurden,
  • die betroffene Person einen Schaden erlitten hat,
  • und ein Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden besteht

Dieses Ergebnis untermalt er unter Bezugnahme auf die Erwägungsgründe 75, 85 und 146 der DSGVO.


Ist ein immaterieller Schaden nur ersatzfähig, wenn eine Folge von einigem Gewicht vorliegt?

Von einer erforderten Erheblichkeit spricht der Art. 82 DSGVO dabei nicht ausdrücklich. Auch der Import nationaler Schadensvorstellungen ist dabei wie oben bereits angesprochen nicht zulässig. Der EuGH hebt hingegen hervor, dass der Schadensbegriff des Unionsgesetzgebers ein weites Verständnis voraussetzt, sodass damit, im Sinne des 146. Erwägungsgrundes, den Zielen der DSGVO “in vollem Umfang” entsprochen werden kann. Ferner stellt er in Frage, ob bei der nationalen Begründung jeweils festzulegender Mindestintensitäten ersatzfähigen Schadens ein einheitliches Schutzniveau zu gewährleisten wäre. Auch um der Kohärenz des Art. 82 DSGVO willens, ist eine Erheblichkeitsschwelle daher aus Sicht des EuGH abzulehnen.


Welche Vorgaben macht das Unionsrecht bei der Schadensbemessung?

Dabei ist nach der Entscheidung des EuGH, da das Unionsrecht hierzu keine Feststellungen trifft, grundsätzlich das Prozessrecht der Mitgliedsstaaten heranzuziehen. Jedoch darf bezüglich vergleichbaren national geregelten Fällen keine Schlechterstellung eintreten (Äquivalenzgrundsatz). Ferner ist zu gewährleisten, dass die Ausgestaltung des Mitgliedsstaates keine praktische Vereitelung oder übermäßige Erschwerung des unionsrechtlich verbürgten Rechts zur Folge hat (Effektivitätsgrundsatz).


Inhaltliche Grenzen des Schadensbegriffs

Bei alledem muss der Betroffene laut EuGH dennoch darlegen, dass die negativen Folgen eines DSGVO-Verstoßes tatsächlich überhaupt einen Schaden darstellen. Das bedeutet, dass nicht jede negative Folge bereits als Schaden qualifiziert werden kann. Bei materiellen Schäden dürfte diese Abgrenzung regelmäßig unproblematisch sein. Es bleibt aber fraglich, wie ein immaterielles Ergebnis beschaffen sein muss, damit von einem Schaden gesprochen werden kann.

Es ist beispielsweise klärungsbedürftig, ob jedwede negative Empfindung auch einen Schaden realisiert oder ob weitere Bedingungen zu stellen sind. Um das Ergebnis des EuGH nicht zu konterkarieren ist aber wenigstens klar, dass die begriffliche Fassung immateriellen Schadens nicht effektiv zur Erheblichkeitsschwelle durch die Hintertür werden darf. Denn nicht nur darf die Ersatzfähigkeit eines Schadens nicht von seiner Erheblichkeit abhängig gemacht werden. Die Qualifikation negativer Folgen als immaterieller Schaden wird ebenfalls nicht unmittelbar an die Intensität der Empfindung geknüpft werden können. Entsprechend scheint insbesondere eine Unterscheidung zwischen bloßer Unannehmlichkeit und echtem immateriellen Schaden untauglich. Gleichzeitig muss es aber nach Aussage des EuGH auch negative Folgen geben, welche definitorisch keinen Schaden darstellen. Schlussendlich bleibt diese brisante Frage, welche dogmatischen Grenzen beim immateriellen Schaden konkret zu ziehen sind, wenigstens teilweise offen.


Praktische Konsequenzen:

Nun besteht Klarheit darüber, dass auch Klein- und Kleinstschäden nach Art. 82 DSGVO ausgleichsfähig sind. Insoweit wird es Betroffenen in Zukunft leichter fallen, bei der rechtswidrigen Verarbeitung ihrer personenbezogenen Daten Schadenersatz geltend zu machen. Insbesondere bei immateriellen Schäden, welchen oftmals keine eindeutige Intensität zuzuordnen sein wird, kann dies eine Erleichterung darstellen. Für Unternehmen geht damit aber das schwer kalkulierbare Risiko einher, sich bei Verstößen, zusätzlich zu etwaigen aufsichtsbehördlichen Bußgeldern mit Schadensersatzforderungen der Betroffenen, konfrontiert zu sehen. Zwar ist damit zu rechnen, dass bei Bagatellschäden auch eher geringfügige Ersatzzahlungen fällig werden. Bei einer großen Anzahl von Betroffenen mag dennoch, allein der damit verbundene organisatorische Aufwand erheblich sein. Es empfiehlt sich daher in Zukunft noch dringlicher als bisher, bereits im Vorfeld, der Einhaltung der DSGVO besondere Aufmerksamkeit zu widmen.