Laut EuGH genügt eine DSGVO-Verletzung allein nicht, um materiellen Schadensersatz zu erhalten, denn es müsse auch ein Schaden nachweisbar sein. Nun stellt sich für Gerichte die Frage, ab wann ein solcher vorliegt, zeigt Michael Fuhlrott.
Die Datenschutzgrundverordnung (DSGVO) gehört zweifelsohne zu den rechtlichen Vorschriften, die auch Nicht-Juristen ein Begriff ist. Nahezu allgegenwärtig im Alltag und im Geschäftsverkehr begegnet sie einem in Form von Hinweisen, Belehrungen und Einwilligungserklärungen, sei es das Akzeptieren von Cookies beim Besuch einer Website, sei es das Ausfüllen einer Datenschutzerklärung beim Einchecken im Hotel oder das Erblicken eines Hinweisschilds beim Betreten eines Geschäfts mit Videoüberwachung.
Verstöße gegen solche datenschutzrechtlichen Vorgaben können teuer werden und Geldbußen in achtstelliger Höhe nach sich ziehen, wie in der Vergangenheit zahlreiche prominente Verfahren gegen Unternehmen gezeigt haben. Der von einer unrechtmäßigen Datenverarbeitung Betroffene kann zudem Schadensersatz geltend machen – und zwar auch für rein immaterielle Beeinträchtigungen.
Dafür muss er aber darlegen, dass mehr als das „subjektive Unmutsgefühl“ beeinträchtigt ist. Denn nicht jeder Verstoß gegen die DSGVO reicht automatisch für einen Anspruch auf immateriellen Schadensersatz aus, hat am Donnerstag der Europäische Gerichtshof (EuGH) in einer auch für die Rechtsanwendung in Deutschland sehr bedeutsamen Entscheidung (Urt. v. 4.5.2023, Az.: C-300/21) anlässlich eines österreichischen Ausgangsfalls geurteilt. Betroffene müssen in solchen Fällen auch immer einen Schaden nachweisen, auch wenn der nicht „erheblich“ sein muss, so der EuGH.
Der Ausgansfall: Unrechtmäßige Datenverarbeitung durch österreichische Post
Im zugrunde liegenden österreichischen Ausgangsverfahren machte der klagende Mann einen solchen immateriellen Schadensersatzanspruch gegen die österreichische Post AG geltend. Diese hatte nämlich Informationen zu Parteipräferenzen mit Hilfe eines Algorithmus und diesem zugrunde liegender soziodemografischer Merkmale basierend auf der jeweiligen Wohnanschrift ermittelt (sogenannte Zielgruppenadressen). Diese Daten waren für Wahlwerbezwecken von Parteien gedacht.
Davon war auch der klagende Mann betroffen, für den eine Hochrechnung vorgenommen worden war. Hiernach ergab sich eine Affinität des Mannes zu einer bestimmten Partei. Seine Daten und die ihn betreffende Hochrechnung wurden dabei nicht an Dritte weitergegeben. Gleichwohl missfiel das Vorgehen dem Mann sehr, der in die Verarbeitung dieser Daten nicht eingewilligt hatte. Er war – nach den Feststellungen des Generalanwalts am EuGH – "erbost und beleidigt" über die Zuschreibung der ihm zugedachten Parteiaffinität.
Daraufhin begehrte er Schadensersatz gem. Art. 82 DSGVO in Höhe von 1.000 Euro für diesen erlittenen immateriellen Schaden. Die österreichischen Gerichte erster und zweiter Instanz wiesen seine Klage aber zurück. Der Oberste Gerichtshof (Vorlagebeschl. v. 12.05.2021, Az.: 6 Ob 35/21 x) legte die Sache sodann dem EuGH zur Vorabentscheidung vor. Er bat die Luxemburger Richter um Klärung, ob Schadensersatz bereits allein für die Verletzung von DSGVO-Vorgaben zuzusprechen oder ein immaterieller Schaden genauer darzulegen sei. Zudem wollte er vom EuGH geklärt haben, ob es im Einklang mit dem Unionsrecht stehe, wenn für die Verurteilung zur Zahlung immateriellen Schadensersatzes eine Rechtsverletzung von einigem Gewicht verlangt werden könne, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgehe.
Ist immaterieller Schadensersatz nicht die absolute Ausnahme?
Wer dabei ein latentes Störgefühl spürt, ist womöglich im deutschen Schuldrecht sozialisiert worden. Denn nach dem deutschen Rechtsverständnis war immaterieller Schadensersatz mit § 847 BGB a.F. lange Zeit eine große Ausnahme, die bis zum Inkrafttreten der Schuldrechtsreform im Jahr 2002 stets eine gravierende und einschneidende Verletzung der eigenen Rechtsgüter verlangte. Ohne konkret nachweisbaren materiellen Schaden tat sich das deutsche Recht sehr schwer, hierfür Schadensersatzansprüche anzuerkennen. Auch wenn dies nun einige Jahre her ist, prägt diese Sichtweise noch das nationale Rechtsverständnis.
Das EU-Recht legt hingegen jeher eine andere Betrachtung zugrunde. Zunächst ist der Schutz personenbezogener Daten nicht nur in der DSGVO abgesichert, sondern findet seine Ursprünge auch im europäischen Unionsrecht und supranationalen Vorschriften: Jeweils Art. 8 der Grundrechtecharta (GrCh) und der Europäischen Menschenrechtskonvention (EGMR) betonen die Bedeutung des Datenschutzes als fundamentales Menschenrecht. Damit die datenschutzrechtlichen Vorschriften der DSGVO auch in der Praxis wirksam zur Geltung kommen, sind Verstöße und unrechtmäßige Verarbeitungsvorgänge nicht nur bußgeldbewehrt (Art. 83 DS-GVO), sondern verpflichten auch den Verletzenden zum Schadensersatz (Art. 82 -DSGVO). Dabei soll "der Begriff des Schadens (…) weit auf eine Art und Weise ausgelegt werden" und den "betroffenen Personen (…) einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden" gewähren (Erwägungsgrund Nr. 146 zur DSGVO).
Generalanwalt favorisierte sehr restriktive Auslegung
Verletzungen datenschutzrechtlicher Vorgaben werden daher seit Inkrafttreten der DSGVO auch vor deutschen Gerichten regelmäßig geltend gemacht und dabei zumeist mit einem immateriellen Schadensersatzanspruch gem. Art 82 DSGVO garniert. Paradebeispiel hierfür ist das datenschutzrechtliche Auskunftsverlangen gem. Art 15 Abs. 1, 3 DSGVO, das binnen Monatsfrist beantwortet werden muss (Art. 12 Abs. 3 DSGVO). Wird dieser Anspruch nicht fristgerecht erfüllt, kann diese Verletzung der DSGVO allein bereits immaterielle Schadensersatzansprüche nach sich ziehen. So verurteilten beispielsweise zahlreiche deutsche Arbeitsgerichte Arbeitgeber wegen verspäteter Auskunftserteilung zu immateriellen Schadensersatzzahlungen bis zu mittlerer vierstelliger Höhe, ohne dass es einer weitergehenden Darlegung des immateriellen Schadens durch die klagenden Beschäftigten bedurfte (etwa OLG Köln, Urteil v. 14.07.2022, Az.: 15 U 137/21; LAG Hannover, Urteil v. 22.10.2021, Az.: 16 Sa 761/20 oder LAG Hamm, Urteil v. 14.12.2021, Az.: 17 Sa 1185/20). Versuchen nationaler Gerichte, diese Handhabe durch Annahme einer Bagatellgrenze einzuschränken, schob das Bundesverfassungsgericht 2021 einen Riegel vor.
Von daher war auch der Schlussantrag des Generalanwalts Sánchez-Bordona am EuGH vom 06. Oktober 2022 zum vorliegenden Verfahren mit großer Aufmerksamkeit beachtet worden: Schadensersatz setze das Vorliegen eines nachweisbaren Schadens voraus, andernfalls handele es sich um eine Sanktion oder einen Strafschadensersatz, so der Generalanwalt, der damit eine restriktivere Handhabe bei der Zusprechung von immateriellem Schadensersatz befürwortete. Nationale Gerichte müssten dazu noch herausarbeiten, wann „das subjektive Unmutsgefühl aufgrund seiner Merkmale im Einzelfall als immaterieller Schaden angesehen werden“ könne. Eine bloße Verletzung datenschutzrechtlicher Vorschriften reiche hierfür nicht aus.
EuGH: Schaden notwendig, Erheblichkeit aber nicht
In seinem Urteil bestätigte der EuGH am Donnerstag nunmehr, dass der bloße Verstoß gegen die DSGVO keinen Schadensersatzanspruch begründet. Denn der Schadensersatzanspruch sei an drei kumulative Voraussetzungen geknüpft: Einen Verstoß gegen die DSGVO, das Vorliegen eines materiellen oder immateriellen Schadens und einen ursächlichen Zusammenhang zwischen Schaden und Verstoß. Damit führe nicht jeder Verstoß gegen die DSGVO zu einem Schadensersatzanspruch, da ein individueller Schaden nachgewiesen werden müsse.
Ganz so streng wie der Generalanwalt bei den Anforderungen hielt es der EuG dann aber nicht: Der Schadensersatzanspruch beschränke sich nicht auf immaterielle Schäden mit einer gewissen Erheblichkeit. Die DSGVO kenne keine Erheblichkeitsschwelle und eine solche Beschränkung stünde im Widerspruch zum vom Unionsgesetzgeber gewählten weiten Verständnis des Begriffs „Schaden“. Die Festlegung der Kriterien für die Ermittlung des Schadensumfangs habe nach den Recht der einzelnen Mitgliedstaaten zu erfolgen – immer aber in dem Verständnis, dass die DSGVO einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden sicherstellen solle.
Wirksame Begrenzung durch nationale Gerichte
Nach der Entscheidung aus Luxemburg sind nunmehr die nationalen Gerichte aufgerufen, praxistaugliche Kriterien zur Festsetzung immaterieller Schadensersatzzahlungen dem Grunde nach und bei der Bemessung der Anspruchshöhe zu entwickeln. Hierbei darf die Erheblichkeit des Schadens kein anspruchsausschließender Umstand sein. Darlegungen zu einem Schaden sind damit notwendig, an die aber keine hohen Anforderungen zu stellen sind.
Zukünftig stellt sich damit so manche spannende neue Frage vor Gericht: Erleidet derjenige, der über die Umstände der Verarbeitung seiner personenbezogenen Daten im Unklaren ist, einen ersatzfähigen Schaden? Reicht ein subjektives Unmutsgefühl aus bzw. wie konkret muss "Ärger" oder "Unsicherheit" dargelegt werden, damit ein Schaden bejaht werden kann?
Ob die aktuelle Entscheidung dazu führen wird, dass die anwaltliche Geltendmachung datenschutzrechtlicher Auskünfte zurückgeht, was im Vorhinein teils erhofft wurde, ist fraglich. Insbesondere bei den im Arbeitsrecht mittlerweile oftmals standardmäßig im Rahmen von Kündigungsschutzklagen gestellten Auskunftsverlangen gem. Art. 15 DSGVO geht es alleine um die Vorbereitung späterer Schadensersatzansprüche. Zwar ist der Nachweis eines berechtigten oder anerkennenswerten Interesses für die Geltendmachung von Auskunftsansprüchen weiterhin nicht notwendig, für die Beanspruchung einer späteren Zahlung muss künftig jedoch ein Schaden dargelegt werden.
Die praktische Bedeutung des Schadensersatzes bei solchen Verfahren wird in Zukunft davon abhängen, wie die Gerichte die Stellschrauben an den Darlegungsaufwand justieren werden. Ob die aktuelle Entscheidung damit ein Gewinn für den Datenschutz ist, bleibt abzuwarten. Denn: Wer datenschutzrechtliche Vorschriften allein mit der Intention nutzt, hierdurch Zahlungsansprüche begründen zu wollen, leistet dem Datenschutz einen Bärendienst, der mittelfristig zu dessen fehlender Akzeptanz führen kann. Die aktuelle Entscheidung des EuGH hätte daher gut daran getan, hier noch klarere Grenzen aufzuzeigen, um berechtigte Ansprüche geltend zu machen und zweckentfremdete Klagen zu begrenzen.
Der Autor Prof. Dr. Michael Fuhlrott ist Fachanwalt für Arbeitsrecht und Partner bei FHM in Hamburg.
EuGH zum immateriellen Schadensersatz nach DSGVO: . In: Legal Tribune Online, 04.05.2023 , https://www.lto.de/persistent/a_id/51691 (abgerufen am: 23.11.2024 )
Infos zum Zitiervorschlag