Knapp zwei Jahre ist es nunmehr her, dass die oberste Instanz der österreichischen Zivilrechtsprechung den Europäischen Gerichtshof um klärende Worte zum datenschutzrechtlichen Schadensersatzanspruch gem. Art. 82 Abs. 1 DSGVO gebeten hat. Nunmehr hat der EuGH jüngst mit Urteil vom 04. Mai 2023 in der Rechtssache C-300/21 geantwortet. Eine Grundsatzentscheidung, auch wenn Freunde klar wegweisender oder gar tollkühner Entscheidungen enttäuscht sein dürften.
Zunächst: Was war die Ausgangsproblematik?
Der betreffende Schadensersatzanspruch Art. 82 Abs. 1 DSGVO wurde 2018 im Zuge der europäischen Datenschutzharmonisierung eingeführt und warf von Beginn an Fragen auf. So war Art. 82 Abs. 1 DSGVO durch einen weit gefassten Wortlaut mit folglich ebenso weitem Anwendungspotenzial und schwammige Erwägungsgründe, welche klärende Worte vermissen ließen, gekennzeichnet.
Ferner unterfielen nun auch ganz explizit „immaterielle Schäden“ der Ersatzpflicht des Verantwortlichen. Waren viele andere Eigenheiten des Art. 82 Abs. 1 DSGVO mit der Zeit gut zu bewältigen, sorgten eben jene immateriellen Schäden des Öfteren für Stirnrunzeln, denn:
Wann liegt konkret ein solcher immaterieller Schaden vor, muss bspw. eine gewisse Erheblichkeitsschwelle überschritten sein oder reicht bereits der kurzzeitige Groll als Schaden? Kommt es folglich überhaupt auf einen tatsächlichen Schaden an oder ist dieser vielmehr automatisch bei einem Datenschutzverstoß zu vermuten? Soll der entstandene Schaden ausgeglichen bzw. entschädigt werden oder soll doch eher der Verantwortliche für seine Nachlässigkeit im Datenschutz gestraft werden?
Auch der Oberste Gerichtshof Österreichs stellte sich in einem Streitfall sinngemäß diese Fragen und wandte sich – als letztinstanzliches Zivilgericht Österreichs um die korrekte, europarechtskonforme Auslegung des Art. 82 Abs. 1 DSGVO besorgt – im Jahr 2021 im Wege des Vorabentscheidungsersuchen an den EuGH.
Was hat der EuGH letztlich entschieden?
Zunächst in seinem Kern überaus nachvollziehbar:
Anhand des Wortlauts hat der EuGH deutlich klargestellt, dass es auch im Rahmen des Art. 82 Abs. 1 DSGVO keinen Schadensersatz ohne Schaden gibt. Ein alleinstehender Verstoß gegen die Bestimmungen der DSGVO reicht damit nicht aus und lässt per se keine automatische Schadensvermutung zu. Zwingende Notwendigkeit ist damit die Kumulation aus DSGVO-Verstoß, konkreter Schaden und deren kausaler Verbund (Schaden ist auf DSGVO-Verstoß zurückzuführen).
Etwas ernüchternd für alle jene, welche aufgrund der Äußerungen des Generalanwalts in seinen Schlussanträgen eine leise Hoffnung auf eine Bagatellgrenze hegten:
Der EuGH hat festgestellt, dass sich für eine Erheblichkeitsschwelle oder eine sonstige Schadensabstufung gleich welcher Art nicht nur keine Grundlage finden lässt, sondern eine solche darüber hinaus den erklärten Zwecken der DSGVO abträglich wäre bzw. diesen entgegenstehen würde. Damit bleiben auch flüchtig empfundene unangenehme Emotionen aufgrund eines DSGVO-Verstoßes ein potenziell ersatzfähiger immaterieller Schaden.
Das hieraus entstehende Spannungsverhältnis mit dem gleichermaßen im Urteil bestätigten Grundsatz, dass es keinen Schadensersatz ohne Schaden gibt, möchte der EuGH augenscheinlich über die Beweislast gelöst wissen, wonach der Anspruchsteller für sämtliche durch den DSGVO-Verstoß herbeigeführte negative Folgen beweisbelastet bleibt.
Abschließende Feststellungen zur Höhe und Natur des Schadensersatzes:
Die Schadensersatzhöhe sieht der EuGH in der Hand von nationalen Gesetzgebern und Richtern. Es finden die nationalen Vorschriften über den Umfang der Ersatz- bzw. Entschädigungspflicht Anwendung, sofern der Anspruchsteller hierdurch nicht schlechter gestellt wird (Äquivalenzgrundsatz) oder eine faktische Rechtsdurchsetzungsbarriere (Effektivitätsgrundsatz) errichtet wird.
Kurzum: Ein Strafschadensersatz wurde in Deutschland mit Art. 82 Abs. 1 DSGVO nicht eingeführt. Es bleibt damit bei den deutschen zivilrechtlichen Ersatz- und Ausgleichsregelungen – diese müssen jedoch den erlittenen Schaden der Summe nach „wirksam“ und „vollständig“ aufwiegen. Da sich der EuGH diesbezüglich zu keiner weiteren Konkretisierung hat hinreißen lassen, dürfte noch nicht das letzte Wort gesprochen sein.
Ein Fazit:
Kein Schadensersatz ohne Schaden – was zunächst banal klingen mag, ist letztlich die begrüßenswerte Bestätigung einer Ansicht, welcher wohl ein beachtlicher Teil der Juristerei anhing, deren sie sich aber nicht absolut sicher sein konnte. Die offizielle Verlautung des EuGH, dass zwischen Verstoß gegen die DSGVO und der Entstehung eines immateriellen Schadens weder ein Automatismus besteht, noch eine dahingehende Vermutung ersichtlich ist, beendet diese Zweifel.
Ebenso willkommen ist die Klarstellung, dass die Festsetzung des Schadensersatzes der Höhe nach prinzipiell nach den jeweiligen nationalen Regelungen erfolgt. Im deutschen Rechtsraum wird damit grundsätzlich weiterhin entschädigt und nicht bestraft – und aller Voraussicht vermehrt darüber gestritten, welche Summe den erlittenen Schaden denn im Einzelfall vollständig und wirksam entschädigt.
Im Übrigen gibt sich der EuGH wenig revolutionär:
Eine Erheblichkeitsgrenze für erlittene immaterielle Schäden sieht der EuGH im Gegensatz zum Generalanwalt nicht. Nach wie vor sollen nicht nur Demütigungen des einzelnen Betroffenen, sondern auch kleinere „Wehwehchen“, welche einen Betroffenen mehr oder minder gestört haben, dem Prinzip nach entschädigungsfähig sein.
Nach augenscheinlichen Vorstellungen des EuGH sollen zweifelhaftere Fälle stattdessen auf Tatsachenebene gefiltert werden und ggf. spätestens an der richterlichen Beweiswürdigung scheitern. Im Wesentlichen dürfte dies in Deutschland ein „Weiter so!“ bedeuten:
Die erfolgreiche Anspruchsdurchsetzung bleibt eng mit dem vorgetragenen Detailgrad des erlittenen Schadens und mehr oder minder aussagekräftigen Beweisen, welche es richterlich auf Glaubwürdigkeit und -haftigkeit zu prüfen gilt, verwoben. Dies dürfte oftmals zum ein oder anderen Vergleichsabschluss bewegen.
Sie beschäftigen Arbeitnehmer, verwalten einen Kundendatenbestand oder verarbeiten im Rahmen Ihrer Geschäftstätigkeit im Auftrag eines Dritten dessen Datenbestände?
Setzen Sie bereits an der Wurzel an und senken Sie die Risiken einer Beanspruchung oder einer behördlichen Untersuchung. Datenschutzverstöße können durch Anpassungen an Ihren sogenannten technisch-organisatorischen Maßnahmen vermieden werden. Nehmen Sie gerne unser Beratungsangebot in Anspruch.
Sie wurden bereits beansprucht oder eine Beanspruchung steht kurz bevor? Dann treten Sie zügig mit uns in Kontakt, damit bereits frühzeitig Ihre effektive Verteidigung eingeleitet werden kann.
Unsere spezialisierten Rechtsanwälte verfügen über ausgiebige Erfahrung im Bereich des Datenschutzrechts und der angrenzenden Rechtsgebiete. Ganz gleich ob präventive Beratung und Begutachtung oder streitige Auseinandersetzung: Eine Vielzahl regionaler und überregionaler KMU profitieren bereits von der Expertise unseres multidisziplinären Rechtsberatungsteams und unseren erarbeiteten Komplettlösungen.