EuGH zur DSGVO

Schadensersatz nur bei Schaden – aber ohne Bagatellgrenze

Der bloße Verstoß gegen die DSGVO führt nicht zu immateriellem Schadensersatz. Doch eine gewisse Erheblichkeit muss der Schaden auch nicht erreichen.

08.05.2023Rechtsprechung

Der Europäische Gerichtshof (EuGH) hat in einem Grundsatzurteil die Voraussetzungen für den immateriellen Schadensersatz nach Art. 82 Abs. 1 Datenschutzgrundverordnung (DSGVO) präzisiert. Danach könne alleine die Verletzung der DSGVO noch keinen Schadensersatzanspruch begründen. Allerdings hänge der Schadenersatzanspruch nicht davon ab, dass der entstandene immaterielle Schaden eine gewisse Erheblichkeit erreiche (Urt. v. 04.05.2023, Rs. C-300/21).

Geklagt hatte ein Österreicher, dem die Österreichische Post eine Affinität zur rechten Partei FPÖ zugeschrieben hatte. Ihm liege ein Sympathisieren mit Parteien des rechten Randes fern, weshalb diese Zuordnung eine Beleidigung, beschämend und im höchsten Maß kreditschädigend sei. Seit 2017 erhob das Unternehmen per Algorithmus Informationen zu den Parteiaffinitäten der österreichischen Bevölkerung - ohne deren Einwilligung. Der Betroffene verlangte wegen eines behaupteten DSGVO-Verstoßes immateriellen Schadensersatz nach Art. 82 DSGVO in Höhe von 1.000 Euro. Die damit befassten Gerichte zweifelten jedoch an einem immateriellen Schaden, weil die verarbeiteten Daten intern geblieben und nicht an Dritte weitergegeben worden waren. Die Vorinstanz war der Auffassung, ersatzfähig seien nur Schäden, die über bloßen Ärger hinausgingen und eine gewisse Erheblichkeit aufweisen würden. Der mit dem Rechtsstreit in der Revisionsinstanz befasste Österreichische Oberste Gerichtshof (ÖOGH) legte dem EuGH daraufhin drei Fragen zur Vorabentscheidung vor.

Das EuGH-Grundsatzurteil zum immateriellen Schadensersatz

Die folgenden Fragen des ÖOGH beantwortete der EuGH wie folgt:

Reicht der bloße Verstoß gegen die DSGVO aus, um einen Schadenersatzanspruch zu begründen?

Diese Meinung hatten bislang mehrere europäische Gerichte vertreten, so etwa auch das Bundesarbeitsgericht (BAG), dessen ähnliche Fragen aktuell ebenfalls beim EuGH liegen (Beschl. v. 22.09.2022, Az. 8 AZR 209/21 (A)). Nach der Antwort des EuGH, dass ein tatsächlich entstandener Schaden Voraussetzung für einen Schadensersatzanspruch sei, ist diese Meinung nun nicht mehr vertretbar. Vielmehr sei der Schadenersatzanspruch an drei kumulative Voraussetzungen geknüpft:

  1. einen Verstoß gegen die DSGVO,
  2. einen materiellen oder immateriellen Schaden, der aus diesem Verstoß resultier^t, und
  3. einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß.

Nur diese Auslegung entspreche laut EuGH dem klaren Wortlaut des Gesetzestextes und den Erwägungsgründen.

Muss der entstandene immaterielle Schaden einen bestimmten Grad an Erheblichkeit erreichen, um ersatzfähig zu sein?

Diese Auffassung hatten nicht nur der vorlegende ÖOGH, sondern auch der Generalanwalt in seinen Schlussanträgen vertreten. Einer solch einschränkenden Auslegung erteilte der EuGH jedoch eine klare Absage: Der Schadenersatzanspruch sei nicht auf immaterielle Schäden beschränkt <s>ist</s>, die eine gewisse Erheblichkeit erreichen. Weder Wortlaut noch die Intention des EU-Gesetzgebers gäben eine solche Beschränkung her. Vielmehr habe der Unionsgesetzgeber ein weites Verständnis des Begriffs „Schaden“ gewählt (was so u.a. in Erwägungsgrund 146 steht). Außerdem könnte eine solche graduelle Abstufung zu einer uneinheitlichen Rechtsprechung innerhalb der EU führen, was mit der Einführung der DSGVO aber gerade verhindert werden sollte.

Welche unionsrechtlichen Vorgaben bestehen für die Festsetzung der Höhe des Schadenersatzes?

Hierzu stellte der EuGH fest, dass die DSGVO keine Bestimmungen enthält, die sich diesen Regeln widmen. Die Ausgestaltung von Klageverfahren und insbesondere die Festlegung der Kriterien für die Ermittlung des Schadenersatzes sei Aufgabe des Rechts des einzelnen Mitgliedstaats. Dabei seien der Äquivalenz- und der Effektivitätsgrundsatz sowie die Ausgleichsfunktion des in der DSGVO vorgesehenen Schadenersatzanspruchs zu beachten. Schließlich weist der EuGH darauf hin, dass dieses Instrument (so steht es u. a. in Erwägungsgrund 146) einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden sicherstellen solle.

Offene Fragen für die nationalen Gerichte

Nun wird es weiterhin Sache der nationalen Gerichte sein, praxistaugliche Kriterien dafür aufzustellen, was überhaupt als immaterieller Schaden anzusehen ist und welche Kriterien für die Bemessung der Höhe des Schadensersatzes relevant sind. Dies dürfte dennoch zu einer gewissen Uneinheitlichkeit in der EU-weiten Rechtsprechung führen. Allerdings hat der EuGH in acht weiteren ähnlichen Verfahren noch Gelegenheit zu weiterer Klärung.

Eine Hilfestellung für das „Ob“ des Schadensersatzes dürfte hier Erwägungsgrund 85 geben, wonach folgende Positionen eine materiellen oder immateriellen Schadensposition darstellen können: „Verlust der Kontrolle über personenbezogenen Daten oder Einschränkung der Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person.“

Bisher war diskutiert worden, ob jedes „subjektive Unmutsgefühl“ bzw. „Ärger“ oder „Unsicherheit“ über eine Rechtsverletzung einen immateriellen Schaden darstellen. Nicht ganz klar ist, ob eine solche Argumentation nun überhaupt noch notwendig ist, möglicherweise bedarf es der Darlegung subjektiver Gefühle hierzu in vielen Fällen überhaupt nicht mehr. Schließlich könnte das auch wieder in die Richtung einer Erheblichkeitsschwelle gehen. Zumal - nach Erwägungsgrund 85 - bereits der Kontrollverlust über die Daten oder die Einschränkung der eigenen Rechte eine Schadensposition darstellen können. Diese Argumentation kann insbesondere in den zahlreichen noch anhängigen Klagen bei Datenlecks - etwa in Sachen Facebook - relevant werden. Möglicherweise werden aber auch die Antworten des EuGH in einem weiteren Vorlageverfahren mehr Klarheit bringen: So möchte z. B. das bulgarische Obersten Verwaltungsgericht (Rs. C-340/21) wissen, ob Sorgen und Ängste vor einem möglichen Datenmissbrauch einen immateriellen Schadensersatzanspruch begründen können.   

Zudem wird sich zeigen, in welcher Höhe sich die Schadensersatzansprüche bei welchen Rechtsverletzungen einpendeln werden. Welche Auswirkungen das EuGH-Grundsatzurteil also in der Praxis haben wird, bleibt weiterhin spannend.