EuGH: Schadensersatzanspruch bei DSGVO-Verstoß setzt Nachweis des kausal entstandenen Schadens voraus – keine Erheblichkeitsschwelle für immaterielle Schäden
Der EuGH hat am 4. Mai 2023 entschieden, dass der reine Verstoß gegen die Regelungen der DSGVO noch keinen Schadensersatzanspruch nach Art. 82 DSGVO begründet, sondern zusätzlich der Nachweis des kausal entstandenen Schadens erforderlich ist. Der Schadensersatzanspruch für immaterielle Schäden setze dabei nicht voraus, dass diese Schäden eine gewisse Erheblichkeit erreichten.
I. Hintergrund der Entscheidung
Der Entscheidung lag eine Vorlagefrage des österreichischen Obersten Gerichtshofs zugrunde. In dem Verfahren dort begehrte der Kläger von der Österreichischen Post AG einen Betrag in Höhe von 1.000 Euro zum Ausgleich seines immateriellen Schadens. Begründet wurde der Schadensersatzanspruch damit, dass die Post AG ohne Einwilligung des Betroffenen Informationen zu seiner Parteiaffinität erhob, um Zielgruppen für Wahlwerbung verschiedener politischer Parteien zu ermitteln. Der Kläger führte u.a. an, dass die ihm zugeschriebene politische Affinität eine Beleidigung, beschämend und kreditschädigend sei.
Der Oberste Gerichtshof legte aus diesem Verfahren dem EuGH drei Fragen vor, nämlich:
- Erfordert der Zuspruch von Schadenersatz nach Art. 82 DSGVO neben einer Verletzung von Bestimmungen der DSGVO auch, dass der Kläger einen Schaden erlitten hat oder reicht bereits die Verletzung von Bestimmungen der DSGVO als solche für die Zuerkennung von Schadenersatz aus?
- Bestehen für die Bemessung des Schadenersatzes neben den Grundsätzen der Effektivität und Äquivalenz weitere Vorgaben des Unionsrechts?
- Ist es Voraussetzung für den Zuspruch immateriellen Schadens, dass eine Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht vorliegt, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgeht?
II. Die Entscheidung des EuGH im Verfahren C-300/21
Der EuGH entschied hierzu, dass nach Art. 82 DSGVO der reine Verstoß gegen die Regelungen der DSGVO noch keinen Schadensersatzanspruch begründet. Der in der DSGVO vorgesehene Schadenersatzanspruch sei an drei kumulative Voraussetzungen geknüpft: (a) einen Verstoß gegen die DSGVO, (b) einen materiellen oder immateriellen Schaden, der aus diesem Verstoß resultiert, und (c) einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß.
Weiterhin stellt der EuGH fest, dass der Schadenersatzanspruch nicht auf immaterielle Schäden beschränkt sei, die eine gewisse Erheblichkeit erreichen. Die DSGVO enthalte ein solches Erfordernis nicht. Eine solche Beschränkung stünde zu dem vom Gesetzgeber gewählten weiten Verständnis des Begriffs „Schaden“ im Widerspruch. Allerdings müsse der Nachweis geführt werden, dass die Folgen des Verstoßes einen immateriellen Schaden im Sinne von Art. 82 DS-GVO darstellen.
Der EuGH führt schließlich aus, dass die DSGVO keine Bestimmungen für die Bemessung des Schadensersatzes beinhalte. Daher seien die Ausgestaltung von Klageverfahren, insbesondere zur Festlegung der Kriterien für die Ermittlung des Umfangs eines Schadenersatzes, Aufgabe des Rechts des einzelnen Mitgliedstaats.
III. Fazit
Die Entscheidung fügt sich in das Verständnis zum Schadensersatz nach deutschem Recht, das ebenfalls den Nachweis eines Schadens und eine Schadenskausalität vorsieht. Sie ist insofern nicht überraschend. Im Ergebnis heißt das auch, dass die Regel des Art. 82 Abs. 3 DSGVO eine widerlegliche Vermutung für den DSGVO-Verstoß darstellt, sofern eine Datenverarbeitung (oder auch das Unterlassen einer verpflichtenden Datenverarbeitung) zu einem nachweisbaren Schaden beim Betroffenen führt.
Spannend wird es sein, wie nationale Gerichte künftig mit der Maßgabe umgehen, dass es bei immateriellen Schäden keine Erheblichkeitsschwelle gibt und welche negativen Folgen als Schaden anerkannt werden. Hier wird es weiterhin EU-weit divergierende untergerichtliche Entscheidungen geben. Das Risiko von künftigen Massenklagen auf Basis von Datenschutzverletzungen ist in jedem Fall durch vorstehende EuGH-Entscheidung nicht gesunken. Hinzu kommt, dass nach der Entscheidung des EuGH im vergangenen Jahr Verbraucherschutzverbände bei Datenschutzverletzungen klagebefugt sind.
Das Risiko von Unternehmen, bei Datenschutzverletzungen – soweit sich diese in einem (auch nur kleinen) Schaden realisieren – in Anspruch genommen zu werden, ist jedenfalls gestiegen. Der Nachweis des konkreten Schadens und der Kausalität durch den Kläger wird jedoch vielfach schwierig sein.