Schon oft hatte der Europäischen Gerichtshofes (EuGH) sich mit dem Thema der Voraussetzungen des Schadensersatzes zu befassten. Dies tat er nun kürzlich einmal mehr mit seinem Urteil vom 11. April 2024 (C-741/21). Dieses Mal zu dem so unternehmensrelevanten Thema der Direktwerbung.
Hintergrund des Rechtsstreits war, dass die Beklagte, trotz Widerspruchs des Klägers, dessen personenbezogene Daten zu Zwecken der Direktwerbung verarbeitet hatte. Ausgenommen von diesem Widerspruch war lediglich der Bezug des Newsletters der Beklagten. Dennoch erhielt der Kläger zwei Monate später Werbeschreiben, woraufhin er auf die rechtswidrige Datenverarbeitung hinwies und Schadensersatz nach Art. 82 DSGVO verlangte. Zwei Monate später erhielt er wiederum ein neues Werbeschreiben, woraufhin er seinen Widerspruch erneut erklärte – diesmal per Zustellung durch einen Gerichtsvollzieher. Die Werbeschreiben der Beklagten enthielten hierbei „persönliche Testcodes“, mit denen auf die Webseite der Beklagten und auf eine Bestellmaske für Produkte zugegriffen werden konnte, die Angaben des Klägers enthielten.
Im Ausgangsverfahren vor dem befassten Landgericht Saarbrücken machte der Kläger geltend, dass er wegen des Verlusts der Kontrolle über seine Daten aufgrund der widerspruchswidrigen Verarbeitung derselben einen Schadensersatz verlange. Und dies unabhängig von Nachweis der Auswirkungen oder der Erheblichkeit der Beeinträchtigungen. Demgegenüber machte die Beklagte geltend, die verspätete Berücksichtigung der Widersprüche des Klägers sei entweder darauf zurückzuführen, dass einer der Mitarbeiter der Gesellschaft sich weisungswidrig verhalten habe oder dass es übermäßig kostspielig gewesen wäre, diese Widersprüche zu berücksichtigen. Das Landgericht Saarbrücken beschloss, das Verfahren auszusetzen und dem EuGH vier Vorabfragen vorzulege.
Hierbei wollte das Landgericht Saarbrücken zum einen geklärt wissen, ob Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass ein Verstoß gegen Bestimmungen dieser Verordnung, die der betroffenen Person Rechte verleihen, für sich genommen ausreicht, um unabhängig vom Schweregrad des von dieser Person erlittenen Schadens einen „immateriellen Schaden“ im Sinne dieser Bestimmung darzustellen.
Zur Beantwortung dieser Frage verweist der Gerichtshof auf seine eigene Rechtsprechung (Urteil vom 25. Januar 2024, MeidaMarktSaturn C-687/21 sowie die dort angeführte Rechtsprechung). Der Gerichtshof stellte wiederholend klar, dass ein bloßer Verstoß gegen die DSGVO nicht ausreicht, um einen Schadensersatz zu begründen. Vielmehr sei der Nachweis eines (immateriellen oder materiellen) Schadens erforderlich, der jedoch auch in einem – wenn auch kurzzeitigen – Kontrollverlust liegen kann, da es einer besonderen Erheblichkeit des Schadens nicht bedarf.
Zweitens wollte das Landgericht Saarbrücken wissen, ob die Haftung auf Schadensersatz gemäß Art. 82 Abs. 3 DSGVO dadurch ausgeschlossen werde, dass der Rechtsverstoß auf menschliches Versagen im Einzelfall einer im Sinne von Art. 29 DSGVO unterstellten Person zurückzuführen sei. Wenig überraschend weist der Gerichtshof in diesem Zusammenhang auf die Verpflichtung der Verantwortlichen nach Art. 32. Abs. 4 DSGVO hin, Schritte zu unternehmen, um sicherzustellen, dass ihm unterstellte Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten. Der bloße Verweis auf eine Fahrlässigkeit oder ein Fehlverhalten eines Mitarbeitenden reicht für eine Haftungsbefreiung insofern nicht aus. Vielmehr muss der Verantwortlichen nachweisen, dass es keinen Kausalzusammenhang zwischen der etwaigen Verletzung der ihm gemäß den Art. 5, 24 und 32 dieser Verordnung obliegenden Verpflichtung zum Datenschutz und dem der betroffenen Person entstandenen Schaden gibt.
Weitere Frage des vorlegenden Gerichts war, ob bei der Bemessung des immateriellen Schadensersatzes eine Orientierung an den in Art. 83 DSGVO genannten Zumessungskriterien erlaubt oder sogar geboten sei. Letzte Frage des Landgerichts war, ob der Schadensersatz für jeden einzelnen Verstoß zu bestimmen sei oder ob mehrere – zumindest mehrere gleich gelagerte – Verstöße mit einer Gesamtentschädigung zu sanktionieren seien, die auf einer wertenden Gesamtbetrachtung beruhen statt auf einer Addition. Beide Fragen prüfte das Gericht zusammen, wobei es feststellte, dass Art. 83 und Art. 82 der DSGVO unterschiedliche Ziele verfolge – die „Verhängung von Geldbußen“ bzw. die „Haftung und Recht auf Schadensersatz“. Hieraus folge, dass die in Art. 83 DSGVO genannten Kriterien nicht zur Bemessung des Schadens herangezogen werden können. Während dem Schadensersatz eine Ausgleichsfunktion zukommt, verfolgen Geldbußen einen Straf- und Sanktionszweck. Mit Verweis auf das bereits oben zitierte Urteil stellt der Gerichthof fest, dass die nationalen Gerichte die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigungen anzuwenden haben, da die DSGVO keine Bestimmung über die Bemessung des Schadensersatzes enthält. Hierbei sind die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität zu beachten. Aus dem Umstand, dass der Schadensersatz keine Abschreck- oder gar Straffunktion erfüllt, ist daraus nach Ansicht des EuGH abzuleiten, dass eine Wiederholung des Verstoßes sich nicht auf die Höhe des Schadensersatzes auswirken kann. Aus der Ausgleichsfunktion müsse folgen, dass der Betrag nicht in einer Höhe bemessen werden dürfe, die über den vollständigen Ersatz des Schadens hinausgeht. Angesichts dessen könne ein mehrfacher Verstoß aufgrund desselben Verarbeitungsvorgangs, nicht als relevantes Kriterium für die Bemessung des dieser Person zu gewährenden Schadensersatzes herangezogen werden. Für den Betrag, der als Ausgleich finanziell geschuldet ist, ist nach Ansicht des Gerichtshofs daher allein der von der Person konkret erlittene Schaden zu berücksichtigen.
Fazit:
Die Entscheidung zeigt wieder einmal, wie wichtig ein gutes Datenschutzmanagement und insbesondere die Dokumentation und konsequente Umsetzung geltend gemachter Betroffenenrechte ist. Der vorliegende Fall zeigt gut auf, dass gerade das Verwaltung von Widersprüchen im Zusammenhang mit Direktwerbung unerlässlich ist. Das wird insbesondere dadurch deutlich, , da auch ein kurzzeitiger Kontrollverlust für die Begründung eines Schadens ausreicht.
Der EuGH hebt zudem die Verpflichtung Verantwortlicher aus Art. 32 Abs. 4 DSGVO hervor, im Rahmen sogenannter organisatorischer Maßnahmen sicherzustellen, dass ihm unterstelle natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung verarbeiten. Dies zeigt einmal mehr, wie wichtig das Bestehen und vor allem die Funktionsfähigkeit, der im Unternehmen zu implementierenden technischen und organisatorischen Maßnahmen ist. Auch nach Einführung sind diese Maßnahmen in regelmäßigen Abständen zu überprüfen und dokumentieren, um ein Versagen derselben zu verhindern. Nur so kann gewährleistet werden, im Zweifel den Nachweis führen zu können, dass der der betroffenen Person entstandene Schaden in keinem Kausalzusammenhang mit einer etwaigen Pflichtverletzung des Verantwortlichen, zur datenschutzkonformen Anweisung seiner Mitarbeitenden, steht.
