Künftig mehr Schmerzensgeldklagen bei Datenschutzverletzungen?
Für Unternehmen besteht bei Datenschutzverletzungen immer die Gefahr, von Betroffenen auf Schadensersatz in Anspruch genommen zu werden. Insbesondere bei der Geltendmachung von Schmerzensgeldansprüchen, also Ansprüchen auf immateriellen Schadensersatz, bestand bislang jedoch große Rechtsunsicherheit über den Ausgang des Verfahrens. Die Anforderungen an einen Schadensersatzanspruch aus Art. 82 DSGVO wurden von den nationalen Gerichten und in der Literatur bisher nämlich sehr unterschiedlich beurteilt. Dem hat der EuGH mit seiner Grundsatzentscheidung vom 4. Mai 2023 (Rs. C‑300/21) ein Ende gesetzt und einheitliche Vorgaben für die Zuerkennung von Schmerzensgeld festgelegt.
Hintergrund
Dem Verfahren liegt die Klage eines Betroffenen gegen die Österreichische Post AG zugrunde. Diese hatte dem Betroffenen im Rahmen einer automatisierten Auswertung zur Parteiaffinität der österreichischen Bevölkerung – fälschlicherweise – eine Affinität zu einer rechten politischen Partei unterstellt. Der Betroffene war der Ansicht, dass ihm für die erlittene Unannehmlichkeit eine angemessene Entschädigung zustehe. Nachdem die Klage in den ersten beiden Instanzen erfolglos geblieben war, hat der Oberste Gerichtshof Österreichs den EuGH um eine Vorabentscheidung zu den Voraussetzungen des Schadensersatzanspruchs nach der DSGVO ersucht.
Die Entscheidung des EuGH im Überblick
In seiner Entscheidung stellt der EuGH fest, dass der Schadensersatzanspruch nach der DSGVO an drei kumulative Voraussetzungen geknüpft ist: einen Verstoß gegen die DSGVO, einen materiellen oder immateriellen Schaden als Folge dieses Verstoßes und einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß.
- Bloßer Verstoß gegen die DSGVO begründet keinen Schadensersatzanspruch
Nach der Entscheidung des EuGH setzt der Schadensersatzanspruch nach Art. 82 DSGVO neben einem Verstoß gegen die DSGVO zusätzlich einen kausalen Schaden des Betroffenen voraus. Der Betroffene muss also einen materiellen oder immateriellen Schaden erlitten haben. Art. 82 DSGVO hat nach der Auffassung des EuGH, im Gegensatz zu den Art. 83 und 84 DSGVO (Geldbußen und sonstige Sanktionen), keinen Strafcharakter, sondern eine Ausgleichsfunktion. Der EuGH geht daher von zwei unterschiedlichen Kategorien von Rechtsbehelfen aus, die einander „[…] als Anreiz zur Einhaltung der DSGVO […]“ ergänzen. - Keine Erheblichkeitsschwelle
In seiner Entscheidung stellt der EuGH außerdem fest, dass der Schadensersatzanspruch nicht auf immaterielle Schäden beschränkt ist, die eine gewisse Erheblichkeit erreichen. Es gibt also keine Grenze für Bagatellschäden. Vielmehr soll Art. 82 DSGVO alle – materiellen und immateriellen – Schäden einer Datenschutzverletzung erfassen, sodass bereits ein Unbehagen des Betroffenen einen ersatzfähigen Schaden begründen kann. Gleichzeitig betont der EuGH jedoch, dass seine weite Auslegung den Betroffenen nicht davon entbindet, nachzuweisen, dass der eingetretene Schaden tatsächlich auf die Datenschutzverletzung zurückzuführen ist. Ein Kausalzusammenhang zwischen dem Schaden und der Datenschutzverletzung ist nach wie vor erforderlich und muss vom Betroffenen nachgewiesen werden. - Bemessung des Schadensersatzes nach nationalem Recht
Neben den allgemeinen Grundsätzen der Äquivalenz und Effektivität gelten nach der Entscheidung des EuGH die jeweiligen nationalen Regelungen zur Schadensbemessung. Zur Begründung führt der EuGH insbesondere an, dass Art. 82 DSGVO keine Vorgaben zur Schadensbemessung enthält und auch sonst keine unionsrechtliche Regelung hierzu besteht. Die DSGVO stehe daher einer Bemessung der Schadenshöhe nach den haftungsrechtlichen Vorschriften der Mitgliedstaaten nicht entgegen. Auch die konkrete Ausgestaltung des Schadensersatzes kann nach nationalem Recht erfolgen, sodass neben einem rein finanziellen Ausgleich z.B. auch ein Eingeständnis der Rechtsverletzung oder die Abschöpfung eines unrechtmäßig erzielten Gewinns in Betracht kommen kann. Entscheidend ist allein, dass ein finanzieller Ausgleich erfolgt, der als „vollständig und wirksam“ anzusehen ist, allerdings keinen Strafschadensersatz darstellt.
Fazit und Empfehlung für Unternehmen
Auch wenn das Urteil des EuGH durch die Präzisierung der Anforderungen des Art. 82 DSGVO einen entscheidenden Weg in Richtung Rechtssicherheit weist, ist die Entscheidung in der Sache für Unternehmen kritisch zu bewerten. Aufgrund der erleichterten Anforderungen an die Gewährung von Schadensersatz werden sich Unternehmen voraussichtlich einer Vielzahl von Schadensersatzansprüchen und einer zunehmend negativen Rechtsprechung ausgesetzt sehen. Dies stellt gerade bei größeren Datenschutzverletzungen, insbesondere auch infolge von Cyberangriffen, ein erhebliches Risiko für Unternehmen dar. Unternehmen sollten daher in jedem Fall einen nachhaltigen und skalierbaren Datenschutz-Compliance-Prozess vorhalten, der insbesondere die präventive Vermeidung künftiger Verstöße gegen die DSGVO, aber auch die Abwehr von Schadensersatzansprüchen umfasst. Nur so kann eine erfolgreiche Verteidigung in gerichtlichen Verfahren gewährleistet werden.
Weitere Informationen
reuschlaw Report: Risiko bei Schadensersatzklagen wegen Datenschutzverstößen
Schmerzensgeld bei Datenschutzverstößen – darauf sollten Unternehmen achten
Landesarbeitsgericht Hamm: Schmerzensgeld bei verspäteter Datenschutz-Auskunft