EuGH: Wann immaterieller Schadensersatz nach DSGVO?
Der Europäische Gerichtshof (EuGH) hat klargestellt, dass eine Verletzung der Datenschutzgrundverordnung (DSGVO) allein nicht ausreicht, um materiellen Schadensersatz zu beanspruchen. Es ist notwendig, dass ein tatsächlicher Schaden nachgewiesen wird. Dies wirft die Frage auf, unter welchen Umständen Gerichte einen solchen Schaden feststellen können.
Die Datenschutzgrundverordnung (DSGVO) ist zweifellos eine der rechtlichen Regelungen, die auch Laien bekannt ist. Im Alltag und Geschäftsleben begegnen uns häufig Hinweise, Belehrungen und Zustimmungserklärungen, wie das Akzeptieren von Cookies beim Besuch einer Webseite, das Ausfüllen einer Datenschutzerklärung im Hotel oder das Wahrnehmen eines Warnschilds bei Videoüberwachung in Geschäften.
Verstöße gegen Datenschutzvorschriften können kostspielig sein und zu hohen Geldbußen führen, wie bereits zahlreiche prominente Fälle gegen Unternehmen gezeigt haben. Personen, die von unrechtmäßiger Datenverarbeitung betroffen sind, können auch Schadensersatz für rein immaterielle Beeinträchtigungen geltend machen.
Allerdings müssen sie nachweisen, dass mehr als ein "subjektives Unbehagen" betroffen ist. Der Europäische Gerichtshof (EuGH) entschied am Donnerstag in einem bedeutenden Urteil für die Rechtsanwendung in Deutschland (Urt. v. 4.5.2023, Az.: C-300/21) anlässlich eines österreichischen Falls, dass nicht jeder Verstoß gegen die DSGVO automatisch zu einem Anspruch auf immateriellen Schadensersatz führt. Betroffene müssen in solchen Fällen stets einen Schaden nachweisen, auch wenn dieser nicht "erheblich" sein muss, so der EuGH.
Was war passiert?
Im zugrunde liegenden österreichischen Verfahren verlangte der Kläger immateriellen Schadensersatz von der österreichischen Post AG. Die Post hatte mithilfe eines Algorithmus Informationen zu Parteipräferenzen basierend auf soziodemografischen Merkmalen und Wohnadressen ermittelt (sogenannte Zielgruppenadressen). Diese Daten waren für Wahlwerbezwecke der Parteien gedacht.
Der Kläger war ebenfalls betroffen, da für ihn eine Hochrechnung durchgeführt wurde, die eine Affinität zu einer bestimmten Partei ergab. Seine Daten und die Hochrechnung wurden jedoch nicht an Dritte weitergegeben. Dennoch war der Mann sehr verärgert und beleidigt über die ihm zugeschriebene Parteiaffinität, in deren Verarbeitung er nicht eingewilligt hatte. Laut dem Generalanwalt am EuGH war der Kläger "erbost und beleidigt".
Der Kläger forderte daraufhin gemäß Art. 82 DSGVO 1.000 Euro Schadensersatz für den erlittenen immateriellen Schaden. Die österreichischen Gerichte erster und zweiter Instanz wiesen seine Klage jedoch ab. Der Oberste Gerichtshof (Vorlagebeschl. v. 12.05.2021, Az.: 6 Ob 35/21 x) legte den Fall dem EuGH zur Vorabentscheidung vor und bat um Klärung, ob Schadensersatz allein für die Verletzung von DSGVO-Vorschriften zugesprochen werden oder ein immaterieller Schaden genauer dargelegt werden sollte. Des Weiteren wollte der Oberste Gerichtshof vom EuGH wissen, ob es im Einklang mit dem Unionsrecht stünde, für die Verurteilung zur Zahlung immateriellen Schadensersatzes eine Rechtsverletzung von einigem Gewicht zu verlangen, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgeht.
Immaterieller Schadensersatz?
Wer ein gewisses Unbehagen empfindet, könnte durch das deutsche Schuldrecht geprägt sein. Laut deutschem Rechtsverständnis stellte immaterieller Schadensersatz gemäß § 847 BGB a.F. lange eine seltene Ausnahme dar und erforderte bis zur Schuldrechtsreform 2002 stets eine schwerwiegende und tiefgreifende Verletzung persönlicher Rechte. Ohne einen konkret nachweisbaren materiellen Schaden fiel es den deutschen Gesetzen schwer, Schadensersatzansprüche zu erkennen. Obwohl diese Ansicht schon einige Jahre zurückliegt, prägt sie noch immer das nationale Rechtsverständnis.
Im Gegensatz dazu vertritt das EU-Recht von Anfang an eine andere Perspektive. Zuerst ist der Schutz personenbezogener Daten nicht nur in der DSGVO festgeschrieben, sondern auch im europäischen Unionsrecht und supranationalen Bestimmungen verwurzelt: Art. 8 der Grundrechtecharta (GrCh) und der Europäischen Menschenrechtskonvention (EMRK) betonen die Wichtigkeit des Datenschutzes als grundlegendes Menschenrecht. Um die Datenschutzbestimmungen der DSGVO effektiv umzusetzen, werden Verstöße und unrechtmäßige Verarbeitungsprozesse nicht nur mit Bußgeldern sanktioniert (Art. 83 DS-GVO), sondern führen auch zur Verpflichtung des Verantwortlichen, Schadensersatz zu leisten (Art. 82 DSGVO). Dabei soll der "Begriff des Schadens (...) weit gefasst werden" und den "betroffenen Personen (...) einen umfassenden und wirkungsvollen Schadensersatz für den erlittenen Schaden" ermöglichen (Erwägungsgrund Nr. 146 zur DSGVO).
Generalanwalt für strengere Auslegung
Verstöße gegen datenschutzrechtliche Bestimmungen werden seit dem Inkrafttreten der DSGVO regelmäßig vor deutschen Gerichten verhandelt, oft verbunden mit einem immateriellen Schadensersatzanspruch gemäß Art. 82 DSGVO. Ein Paradebeispiel ist das datenschutzrechtliche Auskunftsverlangen gemäß Art. 15 Abs. 1, 3 DSGVO, das innerhalb einer Monatsfrist beantwortet werden muss (Art. 12 Abs. 3 DSGVO). Wenn dieser Anspruch nicht fristgerecht erfüllt wird, kann allein diese Verletzung der DSGVO immaterielle Schadensersatzansprüche auslösen. Zum Beispiel haben mehrere deutsche Arbeitsgerichte Arbeitgeber wegen verspäteter Auskunftserteilung zu immateriellen Schadensersatzzahlungen in mittlerer vierstelliger Höhe verurteilt, ohne dass eine weitergehende Darlegung des immateriellen Schadens durch die klagenden Arbeitnehmer erforderlich war (z.B. OLG Köln, Urteil v. 14.07.2022, Az.: 15 U 137/21; LAG Hannover, Urteil v. 22.10.2021, Az.: 16 Sa 761/20 oder LAG Hamm, Urteil v. 14.12.2021, Az.: 17 Sa 1185/20). Versuche nationaler Gerichte, diese Praxis durch die Annahme einer Bagatellgrenze einzuschränken, wurden vom Bundesverfassungsgericht 2021 gestoppt.
Daher wurde der Schlussantrag des Generalanwalts Sánchez-Bordona am EuGH vom 06. Oktober 2022 zum aktuellen Verfahren mit großer Aufmerksamkeit verfolgt: Schadensersatz erfordere das Vorliegen eines nachweisbaren Schadens, anderenfalls handle es sich um eine Sanktion oder einen Strafschadensersatz, so der Generalanwalt. Er befürwortete damit eine restriktivere Handhabung bei der Zuerkennung von immateriellem Schadensersatz. Nationale Gerichte müssten noch klären, wann "das subjektive Unbehagen aufgrund seiner Merkmale im Einzelfall als immaterieller Schaden betrachtet werden" könne. Eine bloße Verletzung datenschutzrechtlicher Vorschriften reiche dafür nicht aus.
EuGH urteilt: Schaden ja, Erheblichkeit nein
Das Urteil des EuGH am Donnerstag bestätigte, dass allein eine DSGVO-Verletzung nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Für einen solchen Anspruch müssen drei Bedingungen gleichzeitig erfüllt sein: Eine Verletzung der DSGVO, das Vorhandensein eines materiellen oder immateriellen Schadens und eine kausale Verbindung zwischen Schaden und Verletzung. Deshalb führt nicht jede DSGVO-Verletzung automatisch zu einem Schadensersatzanspruch, da der betroffene Kläger einen individuellen Schaden nachweisen muss.
Der EuGH folgte jedoch nicht vollständig dem Generalanwalt bei den geforderten Kriterien: Der Anspruch auf Schadensersatz ist nicht auf erhebliche immaterielle Schäden beschränkt. Die DSGVO sieht keine Schwelle für die Erheblichkeit vor, und eine solche Einschränkung widerspricht dem breiten Verständnis des Begriffs "Schaden", das vom EU-Gesetzgeber festgelegt wurde. Die Bestimmung der Kriterien zur Ermittlung des Schadensausmaßes obliegt den Rechtsvorschriften der einzelnen Mitgliedstaaten, allerdings immer in dem Sinne, dass die DSGVO einen vollständigen und effektiven Schadensersatz für den erlittenen Schaden sicherstellen soll.
Nun kommt es auf die nationalen Gerichte an
Die jüngste Entscheidung des EuGH stellt die nationalen Gerichte vor die Aufgabe, praktische Kriterien zur Bestimmung immaterieller Schadensersatzleistungen sowie zur Ermittlung der Höhe solcher Ansprüche zu entwickeln. Die Schwere des Schadens darf dabei kein Hindernis für den Anspruch darstellen. Es müssen zwar Angaben zum Schaden gemacht werden, aber die Anforderungen sollten nicht allzu hoch angesetzt sein.
In der Zukunft werden sich einige interessante Fragen stellen: Erfährt jemand, der nicht über die Verarbeitung seiner persönlichen Daten informiert ist, einen ersatzfähigen Schaden? Ist ein subjektives Gefühl von Unbehagen ausreichend oder wie genau müssen "Verärgerung" oder "Unsicherheit" dargelegt werden, um als Schaden anerkannt zu werden?
Es ist ungewiss, ob diese Entscheidung dazu führen wird, dass weniger rechtliche Forderungen bezüglich datenschutzrechtlicher Auskünfte gestellt werden. Insbesondere bei arbeitsrechtlichen Auskunftsersuchen nach Art. 15 DSGVO, die oft im Rahmen von Kündigungsschutzklagen vorgebracht werden, geht es in erster Linie um die Vorbereitung späterer Schadensersatzforderungen. Zwar muss kein berechtigtes oder anerkennenswertes Interesse für die Geltendmachung von Auskunftsansprüchen nachgewiesen werden, jedoch muss in Zukunft ein Schaden dargelegt werden, um eine Zahlung einzufordern.
Wie bedeutend Schadensersatzforderungen in solchen Verfahren sein werden, hängt davon ab, wie die Gerichte die Anforderungen an die Darlegung anpassen. Ob diese Entscheidung vorteilhaft für den Datenschutz ist, bleibt unklar. Wer jedoch Datenschutzvorschriften lediglich nutzt, um Zahlungsansprüche zu begründen, kann auf lange Sicht dem Datenschutz schaden und zu fehlender Akzeptanz führen. Der EuGH hätte daher besser daran getan, klarere Grenzen zu ziehen, um berechtigte Forderungen geltend zu machen und missbräuchliche Klagen einzudämmen.