EuGH-Urteil zum immateriellen Schadensersatz nach Art. 82 DSGVO

Das Urteil des EuGH vom 04.05.2023 wurde von der Praxis mit großer Spannung erwartet. Praktiker erhofften sich von den Luxemburger Richtern Klarheit bezüglich den Anspruchsvoraussetzungen eines immateriellen Schadensersatzes nach Art. 82 der Datenschutzgrundverordnung (DSGVO). Auch deutsche Gerichte debattierten bereits über die Frage, unter welchen Voraussetzungen ein Anspruch auf Schadensersatz zu gewähren ist. Der EuGH hat nun klargestellt, dass ein bloßer Verstoß gegen die DSGVO noch keinen Anspruch nach Art. 82 DSGVO begründet. Zugleich sei der Anspruch auf Entschädigung jedoch nicht davon abhängig, dass der immaterielle Schaden eine gewisse Erheblichkeit überschreite.

Dem Urteil des EuGH lag folgender Sachverhalt zugrunde: Dem Vorabentscheidungsverfahren ging ein Rechtsstreit zwischen der Österreichischem Post AG und einem Staatsbürger Österreichs voraus. Die Post AG sammelte – ohne entsprechende Zustimmung – ab dem Jahr 2017 Informationen über die politische Affinität der Bevölkerung. Die hierdurch gewonnenen soziodemographischen Merkmale nutzte das Unternehmen, um Bürger im Wege algorithmischer Hochrechnung bestimmten politischen Gruppen zu zuordnen. Dem hier beteiligten Staatsbürger schrieb die Post AG – fälschlicherweise – eine Affinität zu einer rechten Partei zu, was er als beleidigend, beschämend und kreditschädigend empfand. Die ermittelten Daten wurden zwar von der Post AG nicht weitergegeben, dennoch habe das Verhalten der Post AG bei ihm ein großes Ärgernis und einen Vertrauensverlust sowie ein Gefühl der Bloßstellung ausgelöst. Er machte daher einen Anspruch wegen eines immateriellen Schadens nach Art. 82 DSGVO in Höhe von 1.000 € gerichtlich geltend.

Das Erstgericht wies die Klage ab, das OLG Wien bestätigte die Abweisung in der Berufung. Es liege zwar aufgrund der unerlaubten Erhebung der Daten möglichweise ein DSGVO-Verstoß vor, jedoch sei aufgrund mangelnder Weitergabe der Daten kein Schaden beim Kläger entstanden. Ersatzfähig seien nur solche Schäden, die eine gewisse Erheblichkeit aufweisen würden, also über einen bloßen Ärger hinaus gehen. Gegen das Urteil wurde Revision eingelegt und das Verfahren landete vor dem OGH. Dieser wiederum setzte das Revisionsverfahren aus und formulierte drei Vorlagefragen an den EuGH. Nach Ansicht des OGH fielen entscheidungsrelevante Unklarheiten in die Auslegungskompetenz des EuGH (Vorlagebeschluss vom 12.05.2021 – 6 Ob 35/21 x). Der OGH bat die Richter um Klärung, ob Schadensersatz bereits allein für die Verletzung von DSGVO-Vorgaben zu gewähren ist oder ein immaterieller Schaden genauer darzulegen sei. Zudem wurde angefragt, ob es im Einklang mit dem EU-Recht stehe, wenn für den Zuspruch eines Schadensersatzanspruches eine Rechtsverletzung von einigem Gewicht verlangt werde, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgehe.

Nach Aussage des EuGH „kann nicht davon ausgegangen werden, dass jeder Verstoß gegen die Bestimmungen der DSGVO für sich genommen den Schadensersatzanspruch der betroffenen Person […] eröffnet.“ Voraussetzungen seien dafür „eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DSGVO, ein der betroffenen Person entstandener Schaden und ein Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und dem Schaden.“ Der Schadensersatzanspruch ist demnach an drei kumulative Voraussetzungen gebunden.

Den materiellen oder immateriellen Schaden müsse der Betroffene konkret darlegen können. Der Eintritt eines Schadens werde schließlich ausdrücklich als Voraussetzung im Wortlaut von Art. 82 DSGVO genannt. Eine gegenteilige Auslegung sei an dieser Stelle nicht möglich. Ohne Schadenserfordernis verliere die Norm zudem ihren Ausgleichscharakter und würde zu einer reinen Sanktionsvorschrift werden.

Die zweite Vorlagefrage des OGH war darauf gerichtet, welche Regeln bei der Bemessung der Schadensersatzhöhe anwendbar sind. Die DSGVO enthält hierzu keinerlei Regelungen. Der EuGH konstatiert in seinem Urteil dahingehend, dass die Bemessung nach nationalen Vorschriften zu erfolgen habe, sofern die unionsrechtlichen Grundsätze der Effektivität und Äquivalenz nicht außeracht gelassen werden.

Gegenstand der dritten Vorlagefrage war, ob nationale Gerichte den Zuspruch eines DSGVO-Schadensersatzes davon abhängig machen dürften, dass eine Folge oder Konsequenz der Rechtsverletzung von einigem Gewicht vorliegt. Im Ergebnis würde dies eine Untergrenze des Anspruchs nach Art. 82 DSGVO bei Bagatellfällen bedeuten. Nicht jeder immaterielle Schaden wäre demnach ersatzfähig, sondern es müsste das Überschreiten einer gewissen Erheblichkeitsschwelle gegeben sein. Gerade diese Fragestellung wurde von nationalen Gerichten bereits heiß diskutiert und auch der zuständige Generalanwalt hatte in seinem Schlussvortrag für die Möglichkeit einer Erheblichkeitsschwelle plädiert. Der EuGH hingegen verneinte dies. Die DSGVO erwähne keine Erheblichkeitsgrenze, zudem stünde eine solche in Widerspruch zum weiten Verständnis des unionsrechtlichen Schadensbegriffes. Darüber hinaus gefährde eine derartige Beschränkung die mit dem Unionsrecht verfolgte Kohärenz, da eine graduelle Abstufung je nach Gericht unterschiedlich ausfallen könne.

 

Ausblick für die Praxis:

Der Rechtsanwender gewinnt durch das gegenständliche Urteil an Rechtssicherheit in Bezug auf den Schadensersatzanspruch nach Art. 82 DSGVO. Die Luxemburger Richter stellen schließlich klar, dass es einen tatsächlichen Schaden bedarf, erteilen gegenläufigen Tendenzen – gerade in der deutschen Rechtspraxis – eine eindeutige Absage und konstatieren, dass der Betroffene einen tatsächlichen Schaden nachweisen müsse. Der Betroffene kann sich demnach nicht mehr nur auf einen Verstoß gegen die DSGVO stützen. Nicht mit Art. 82 DSGVO ist nach Auffassung des EuGH vereinbar, dass die Beeinträchtigung des Betroffenen von einigem Gewicht ist. Der Zuspruch des Schadensersatzes ist demnach nicht von der Überschreitung einer Bagatellgrenze abhängig. Auch geringfügige Beeinträchtigungen können somit einen Anspruch auf Schadensersatz mit sich ziehen.

Sieht sich ein Unternehmen mit Vorwürfen wegen eines (vermeintlichen) Datenschutzverstoßes konfrontiert, so sollte dies auch in Zukunft – nicht zuletzt wegen der Ablehnung einer Bagatellgrenze – ernst genommen und sorgfältig geprüft werden. Auch unter Berücksichtigung des dargelegten Urteils besteht in der Praxis häufig die Chance geltend gemachte Ansprüche erfolgreich abzuwehren. Bloße floskelartige Begründungen eines Anspruchs aufgrund von Unwohlsein sollten für die Geltendmachung eines Schadensersatzanspruches nicht ausreichen. Auch im Kontext des erforderlichen Kausalzusammenhangs besteht häufig Argumentationsfreiraum.