Grund­satz­ent­schei­dung des EuGH zu Art. 82 DSGVO

Künf­tig mehr Schmer­zens­geld­kla­gen bei Datenschutzverletzungen?

Für Unter­neh­men besteht bei Daten­schutz­ver­let­zun­gen immer die Gefahr, von Betrof­fe­nen auf Scha­dens­er­satz in Anspruch genom­men zu wer­den. Ins­be­son­de­re bei der Gel­tend­ma­chung von Schmer­zens­geld­an­sprü­chen, also Ansprü­chen auf imma­te­ri­el­len Scha­dens­er­satz, bestand bis­lang jedoch gro­ße Rechts­un­si­cher­heit über den Aus­gang des Ver­fah­rens. Die Anfor­de­run­gen an einen Scha­dens­er­satz­an­spruch aus Art. 82 DSGVO wur­den von den natio­na­len Gerich­ten und in der Lite­ra­tur bis­her näm­lich sehr unter­schied­lich beur­teilt. Dem hat der EuGH mit sei­ner Grund­satz­ent­schei­dung vom 4. Mai 2023 (Rs. C‑300/21) ein Ende gesetzt und ein­heit­li­che Vor­ga­ben für die Zuer­ken­nung von Schmer­zens­geld festgelegt.

Hin­ter­grund

Dem Ver­fah­ren liegt die Kla­ge eines Betrof­fe­nen gegen die Öster­rei­chi­sche Post AG zugrun­de. Die­se hat­te dem Betrof­fe­nen im Rah­men einer auto­ma­ti­sier­ten Aus­wer­tung zur Par­tei­af­fi­ni­tät der öster­rei­chi­schen Bevöl­ke­rung – fälsch­li­cher­wei­se – eine Affi­ni­tät zu einer rech­ten poli­ti­schen Par­tei unter­stellt. Der Betrof­fe­ne war der Ansicht, dass ihm für die erlit­te­ne Unan­nehm­lich­keit eine ange­mes­se­ne Ent­schä­di­gung zuste­he. Nach­dem die Kla­ge in den ers­ten bei­den Instan­zen erfolg­los geblie­ben war, hat der Obers­te Gerichts­hof Öster­reichs den EuGH um eine Vor­ab­ent­schei­dung zu den Vor­aus­set­zun­gen des Scha­dens­er­satz­an­spruchs nach der DSGVO ersucht.

Die Ent­schei­dung des EuGH im Überblick

In sei­ner Ent­schei­dung stellt der EuGH fest, dass der Scha­dens­er­satz­an­spruch nach der DSGVO an drei kumu­la­ti­ve Vor­aus­set­zun­gen geknüpft ist: einen Ver­stoß gegen die DSGVO, einen mate­ri­el­len oder imma­te­ri­el­len Scha­den als Fol­ge die­ses Ver­sto­ßes und einen Kau­sal­zu­sam­men­hang zwi­schen dem Scha­den und dem Verstoß.

1. Blo­ßer Ver­stoß gegen die DSGVO begrün­det kei­nen Scha­dens­er­satz­an­spruch
   Nach der Ent­schei­dung des EuGH setzt der Scha­dens­er­satz­an­spruch nach Art. 82 DSGVO neben einem Ver­stoß gegen die DSGVO zusätz­lich einen kau­sa­len Scha­den des Betrof­fe­nen vor­aus. Der Betrof­fe­ne muss also einen mate­ri­el­len oder imma­te­ri­el­len Scha­den erlit­ten haben. Art. 82 DSGVO hat nach der Auf­fas­sung des EuGH, im Gegen­satz zu den Art. 83 und 84 DSGVO (Geld­bu­ßen und sons­ti­ge Sank­tio­nen), kei­nen Straf­cha­rak­ter, son­dern eine Aus­gleichs­funk­ti­on. Der EuGH geht daher von zwei unter­schied­li­chen Kate­go­rien von Rechts­be­hel­fen aus, die ein­an­der „[…] als Anreiz zur Ein­hal­tung der DSGVO […]“ ergänzen.
2. Kei­ne Erheb­lich­keits­schwel­le
   In sei­ner Ent­schei­dung stellt der EuGH außer­dem fest, dass der Scha­dens­er­satz­an­spruch nicht auf imma­te­ri­el­le Schä­den beschränkt ist, die eine gewis­se Erheb­lich­keit errei­chen. Es gibt also kei­ne Gren­ze für Baga­tell­schä­den. Viel­mehr soll Art. 82 DSGVO alle – mate­ri­el­len und imma­te­ri­el­len – Schä­den einer Daten­schutz­ver­let­zung erfas­sen, sodass bereits ein Unbe­ha­gen des Betrof­fe­nen einen ersatz­fä­hi­gen Scha­den begrün­den kann. Gleich­zei­tig betont der EuGH jedoch, dass sei­ne wei­te Aus­le­gung den Betrof­fe­nen nicht davon ent­bin­det, nach­zu­wei­sen, dass der ein­ge­tre­te­ne Scha­den tat­säch­lich auf die Daten­schutz­ver­let­zung zurück­zu­füh­ren ist. Ein Kau­sal­zu­sam­men­hang zwi­schen dem Scha­den und der Daten­schutz­ver­let­zung ist nach wie vor erfor­der­lich und muss vom Betrof­fe­nen nach­ge­wie­sen werden.
3. Bemes­sung des Scha­dens­er­sat­zes nach natio­na­lem Recht
   Neben den all­ge­mei­nen Grund­sät­zen der Äqui­va­lenz und Effek­ti­vi­tät gel­ten nach der Ent­schei­dung des EuGH die jewei­li­gen natio­na­len Rege­lun­gen zur Scha­dens­be­mes­sung. Zur Begrün­dung führt der EuGH ins­be­son­de­re an, dass Art. 82 DSGVO kei­ne Vor­ga­ben zur Scha­dens­be­mes­sung ent­hält und auch sonst kei­ne uni­ons­recht­li­che Rege­lung hier­zu besteht. Die DSGVO ste­he daher einer Bemes­sung der Scha­dens­hö­he nach den haf­tungs­recht­li­chen Vor­schrif­ten der Mit­glied­staa­ten nicht ent­ge­gen. Auch die kon­kre­te Aus­ge­stal­tung des Scha­dens­er­sat­zes kann nach natio­na­lem Recht erfol­gen, sodass neben einem rein finan­zi­el­len Aus­gleich z.B. auch ein Ein­ge­ständ­nis der Rechts­ver­let­zung oder die Abschöp­fung eines unrecht­mä­ßig erziel­ten Gewinns in Betracht kom­men kann. Ent­schei­dend ist allein, dass ein finan­zi­el­ler Aus­gleich erfolgt, der als „voll­stän­dig und wirk­sam“ anzu­se­hen ist, aller­dings kei­nen Straf­scha­dens­er­satz darstellt.

Fazit und Emp­feh­lung für Unternehmen

Auch wenn das Urteil des EuGH durch die Prä­zi­sie­rung der Anfor­de­run­gen des Art. 82 DSGVO einen ent­schei­den­den Weg in Rich­tung Rechts­si­cher­heit weist, ist die Ent­schei­dung in der Sache für Unter­neh­men kri­tisch zu bewer­ten. Auf­grund der erleich­ter­ten Anfor­de­run­gen an die Gewäh­rung von Scha­dens­er­satz wer­den sich Unter­neh­men vor­aus­sicht­lich einer Viel­zahl von Scha­dens­er­satz­an­sprü­chen und einer zuneh­mend nega­ti­ven Recht­spre­chung aus­ge­setzt sehen. Dies stellt gera­de bei grö­ße­ren Daten­schutz­ver­let­zun­gen, ins­be­son­de­re auch infol­ge von Cyber­an­grif­fen, ein erheb­li­ches Risi­ko für Unter­neh­men dar. Unter­neh­men soll­ten daher in jedem Fall einen nach­hal­ti­gen und ska­lier­ba­ren Datenschutz-Compliance-Prozess vor­hal­ten, der ins­be­son­de­re die prä­ven­ti­ve Ver­mei­dung künf­ti­ger Ver­stö­ße gegen die DSGVO, aber auch die Abwehr von Scha­dens­er­satz­an­sprü­chen umfasst. Nur so kann eine erfolg­rei­che Ver­tei­di­gung in gericht­li­chen Ver­fah­ren gewähr­leis­tet werden.