Kürzlich hat sich der EuGH zu einer zentralen Frage geäußert, die vor deutschen Gerichten höchst umstritten war: die Voraussetzungen eines Schadensersatzanspruches nach Art. 82 DSGVO.
Im Ausgangsfall hatte die Österreichische Post personenbezogene Daten von Bürger*innen gesammelt und hieraus mit Hilfe eines Algorithmus Präferenzen für politische Parteien ermittelt. Von diesem Vorgehen und seiner Parteieinordnung fühlte sich der spätere Kläger beleidigt und bloßgestellt, da ihm eine Affinität zu einer fraglichen Partei zugeschrieben wurde. Die Speicherung von Daten zu seiner mutmaßlichen politischen Meinung sei für ihn zudem ein großes Ärgernis und habe einen Vertrauensverlust verursacht, sodass er von der österreichischen Post eine Entschädigung von 1.000 EUR forderte.
In seinem Urteil vom 04.05.2023 (Az.: C-300/21) hatte sich der Gerichtshof mit drei Vorlagefragen des Obersten Gerichtshofs in Österreich zu befassen. Mit diesen wollte das vorlegende Gericht geklärt wissen, ob (1) ein Schaden tatbestandsmäßige Voraussetzung eines Schadensersatzanspruches ist, (2) bezüglich der Bemessung des Schadenersatzes neben den Grundsätzen der Effektivität und Äquivalenz weitere Vorgaben des Unionsrecht bestünden und (3) ob Voraussetzung des immateriellen Schadensersatzes die Überschreitung einer gewissen Erheblichkeitsschwelle ist.
In seiner Entscheidung hat der EuGH nun die drei Voraussetzungen des Art. 82 DSGVO klargestellt. – Einen Verstoß gegen die Vorschriften der DSGVO, den Eintritt eines materiellen oder immateriellen Schadens sowie die Kausalität zwischen beiden.
Festgestellt ist mit der Entscheidung somit zum einen, dass ein bloßer Verstoß gegen Vorschriften der DSGVO für sich genommen nicht ausreicht. Vielmehr muss auch ein Schaden vorliegen. Dies begründet der EuGH unter anderem mit dem Wortlaut des Art. 82 Abs. 1 DSGVO, mit der Systematik im Verhältnis zu Absatz 2 der Vorschrift sowie mit einem Umkehrschluss aus der kumulativen Erwähnung von Verstoß und Schaden im Wortlaut der Vorschrift.
Einen bestimmten Grad an Erheblichkeit muss der entstandene Schaden dabei nicht erreichen. Hierzu kommt der Gerichtshof unter Berücksichtigung des Ziels der DSGVO, innerhalb der Union ein gleichmäßiges und hohes Schutzniveau zu gewährleisten (Erwägungsgrund 10 der DSGVO). Eine Abhängigkeit des Ersatzes eines immateriellen Schadens von einer Bagatellgrenze würde nach Ansicht des EuGH die Kohärenz der mit der DSGVO eingeführten Regelung behindern, da die Verortung einer solchen Schwelle durch die angerufenen nationalen Gerichte unterschiedlich ausfallen könnte. Zudem führt die Entscheidung aus, Erheblichkeitsanforderungen seien der DSGVO unbekannt. Der Unionsgesetzgeber habe sich gerade für ein weites Verständnis des Schadensbegriffs entschieden. Eine Beschränkung auf Ansprüche gewisser Intensität liefe diesen Grundsätzen zuwider.
Durch diese Wertung ist der potenzielle Anspruchsteller jedoch keineswegs von dem Nachweis befreit, dass die von ihm behaupteten Folgen eines Verstoßes gegen die DSGVO einen immateriellen Schaden darstellen.
Weiter stellt das Gericht in Luxemburg fest, dass die Schadensersatzhöhe hierbei grundsätzlich nationalem Recht unterliegt, sofern den Grundsätzen der Äquivalenz und der Effektivität Rechnung getragen wird. Hierbei muss sichergestellt sein, dass die finanzielle Entschädigung einen vollständigen und wirksamen Ersatz für den erlittenen Schaden darstellt, jedoch ohne dass einem solchen vollumfänglichen Ausgleichsanspruch ein Strafcharakter zukommt.
Fazit:
Die Pflicht etwaiger Kläger*innen, einen konkreten Schaden nachweisen zu müssen, ist begrüßenswert. Hierbei bleibt indes die Frage offen, wie konkret eine Darlegung zu erfolgen hat, wobei an diese keine allzu hohen Anforderungen zu stellen sein werden. Ausdrücklich offen ließ der EuGH zudem, welche Beeinträchtigungen einen immateriellen Schaden darstellen. Insofern bleibt abzuwarten, von welchen Darlegungspflichten künftig befasste Gerichte ausgehen und ob das oftmals angeführte „subjektive Unmutsgefühl“ oder ein „Kontrollverlust über die Daten“ für einen ersatzfähigen Schaden genügen werden. Insofern sind die nationalen Gerichte angehalten, praxistaugliche Kriterien zur Festsetzung immaterieller Schadensersatzansprüche dem Grunde und der Höhe nach zu entwickeln, ohne dabei die Erheblichkeit zu einer anspruchsbegründenden Anforderung zu machen.
Die klare Absage an die Erheblichkeitsschwelle lässt zudem jedenfalls vermuten, dass ein Anstieg von Massenklagen durch Abmahnkanzleien zu verzeichnen sein wird. Auch die direkte Klagemöglichkeit (sog. Abhilfeklage) von Verbraucherverbänden für Verbraucher*innen, die die geplante Umsetzung der EU-Verbandsklagerichtlinie schaffen wird, stützt diese Vermutung. In der Konsequenz steigen mit der vorliegenden Entscheidung die finanziellen Risiken für Unternehmen weiter, die mit Verstößen gegen die Datenschutzverordnung einhergehen. Um diesen zu begegnen sind der Auf- und Ausbau solider Datenschutz-Managementsysteme und eines sorgfältigen und rechtssicheren Umgangs mit Betroffenenrechten und Datenschutzvorfällen notwendig, um die weiter wachsenden Herausforderungen im Zusammenhang mit der Datenschutzkonformität im Unternehmen zu bewältigen.
