Schadenersatz bei Verstoß gegen DSGVO – EuGH-Urteil bringt Klarheit

Mai. 2023

Knapp zwei Jahre dauerte es, bis die bereits ersehnten klärenden Worte des Europäischen Gerichtshofs zum datenschutzrechtlichen Schadensersatzanspruch gem. Art. 82 Abs. 1 DSGVO endlich erfolgten: Mit Urteil vom 4. Mai 2023 fällte der EuGH eine Grundsatzentscheidung, die Freunde spektakulärer oder tollkühner Entscheidungen in Ermangelung einer großen Überraschung enttäuscht haben dürfte und die dennoch wegweisend ist: siehe unten

Bisher sehr weit gefasster Wortlaut des Schadensbegriffs

Der betreffende Schadensersatzanspruch Art. 82 Abs. 1 DSGVO wurde 2018 im Zuge der europäischen Datenschutzharmonisierung eingeführt und warf von Anbeginn an Fragen auf. So war Art. 82 Abs. 1 DSGVO durch einen weit gefassten Wortlaut mit ebenso weitem Anwendungspotenzial und dazu eher schlecht greifbaren Erwägungsgründen, die eigentlich die gesetzgeberische Intention erläutern sollten, gekennzeichnet.

Bisher ungekannt in Deutschland unterfielen nun auch explizit „immaterielle Schäden“ der Ersatzpflicht des Verantwortlichen. Immaterielle Schäden knüpfen im Gegensatz zu den materiellen Schäden nicht an tatsächlich eingetretenen Vermögenseinbußen, sondern vielmehr an „entschädigungswürdige Umstände“ an. Griffiges Beispiel: Erlittene Schmerzen und bleibende Narben nach einem Verkehrsunfall haben keine direkte Auswirkung auf die Vermögenslage des Verletzten, bedürfen nach Willen des Gesetzgebers dennoch einer Entschädigung – gemeinhin bekannt als Schmerzensgeld.

 

Unklarheit bisher vor allem bei Thema „immateriellen Schäden“

Waren viele andere Eigenheiten des Art. 82 Abs. 1 DSGVO aller oben genannten Problematiken zum Trotz mit der Zeit gut bewältigbar, sorgten die Handhabung der immateriellen Schäden fortgesetzt für Stirnrunzeln.

Bereits fraglich war, ab wann überhaupt bei einem Datenschutzverstoß ein immaterieller Schaden vorliegt – muss dieser bspw. eine gewisse Erheblichkeitsschwelle überschreiten oder reicht bereits der kurzzeitige als unangenehm empfundene Groll als Schaden? Kommt es in diesem Zusammenhang dann noch tatsächlich auf einen Schaden an oder ist ein solcher vielmehr automatisch zu vermuten? Soll dieser entstandene oder fiktive Schaden seinerseits ausgeglichen bzw. entschädigt werden oder soll doch eher der Verantwortliche für seine Nachlässigkeit im Datenschutz bestraft werden?

Auch der Oberste Gerichtshof Österreichs stellte sich in einem Streitfall sinngemäß diese Fragen und wandte sich im Jahr 2021 im Wege des Vorabentscheidungsersuchen an den EuGH. Erwartet wurden hiervon verbindliche Antworten, um eine korrekte Entscheidung im Sinne des europäischen Gesetzgebers fällen zu können, ist der Oberste Gerichtshof Österreichs als letztinstanzliches Gericht des österreichischen Zivilrechtswegs an korrekten Entscheidungen insbesondere interessiert.

 

Was hat der EuGH letztlich entschieden?

Zunächst in seinem Kern ebenso einfach, wie überaus nachvollziehbar: Anhand des Wortlauts hat der EuGH deutlich klargestellt, dass es auch im Rahmen des Art. 82 Abs. 1 DSGVO keinen Schadensersatz ohne Schaden gibt. Ein alleinstehender Verstoß gegen die Bestimmungen der DSGVO reicht damit nicht aus und lässt per se keine automatische Schadensvermutung zu. Zwingende Notwendigkeit ist damit die Kumulation aus DSGVO-Verstoß, einem konkret eingetretenen Schaden und deren kausaler Verbund (Schaden ist auf DSGVO-Verstoß zurückzuführen).

Absage an die Definition einer Bagatellgrenze

Etwas ernüchternder war für alle jene, welche aufgrund vorangegangener Äußerungen des Generalanwalts in den Schlussanträgen eine leise Hoffnung auf eine Bagatellgrenze hegten: Der EuGH hat festgestellt, dass sich für eine Erheblichkeitsschwelle oder eine sonstige Schadensabstufung gleich welcher Art nicht nur keine Grundlage finden lässt, sondern eine solche darüber hinaus den erklärten Zwecken der DSGVO abträglich wäre bzw. diesen entgegenstehen würde. Damit bleibt auch die flüchtig empfundene unangenehme Emotion aufgrund eines DSGVO-Verstoßes ein potenziell ersatzfähiger immaterieller Schaden.

Das hieraus entstehende Spannungsverhältnis mit dem gleichermaßen im Urteil bestätigten Grundsatz, dass es keinen Schadensersatz ohne Schaden gibt, möchte der EuGH augenscheinlich über die Beweislast gelöst wissen, wonach ein Anspruchsteller für sämtliche durch den DSGVO-Verstoß herbeigeführte negative Folgen beweisbelastet bleibt. Die Behauptung, man hätte sich aufgrund eines Datenschutzverstoßes leicht erzürnt, muss daher ebenso glaubhaft aufgestellt und im Zweifel bewiesen werden, wie eine ungleich schwerere Folge.

Höhe und Natur des Schadensersatzes richtet sich nach nationalen Gesetzen

Die Schadensersatzhöhe sieht der EuGH in der Hand von nationalen Gesetzgebern und Richtern. Es finden die nationalen Vorschriften über den Umfang der Ersatz- bzw. Entschädigungspflicht Anwendung, sofern der Anspruchsteller hierdurch nicht schlechter gestellt wird (Äquivalenzgrundsatz) oder eine faktische Rechtsdurchsetzungsbarriere (Effektivitätsgrundsatz) errichtet wird.

Kurzum: Ein Strafschadensersatz wurde in Deutschland mit Art. 82 Abs. 1 DSGVO nicht eingeführt. Es bleibt damit bei den deutschen zivilrechtlichen Ersatz- und Ausgleichsregelungen – diese müssen jedoch den erlittenen Schaden der Summe nach „wirksam“ und „vollständig“ aufwiegen. Da sich der EuGH diesbezüglich zu keiner weiteren Konkretisierung hat hinreißen lassen, dürfte noch nicht das letzte Wort gesprochen sein.

 

Fazit – klarere Vorgaben und ein „Weiter so!“ für Deutschland

Kein Schadensersatz ohne Schaden – klingt banal, fügt jedoch begrüßenswert ein bislang fehlendes Puzzleteil in das Gesamtbild DSGVO ein. Die offizielle Verlautung des EuGH, dass zwischen Verstoß gegen die DSGVO und der Entstehung eines immateriellen Schadens weder ein Automatismus besteht noch eine dahingehende Vermutung ersichtlich ist, beendet bestehende Zweifel und nötigt Anspruchsstellern zukünftig tiefergehende Ausführungen und Beweisangebote ab.

Ebenso willkommen ist die Klarstellung, dass die Festsetzung des Schadensersatzes der Höhe nach prinzipiell nach den jeweiligen nationalen Regelungen erfolgt. Im deutschen Rechtsraum wird damit grundsätzlich weiterhin entschädigt und nicht bestraft – und aller Voraussicht vermehrt darüber gestritten, welche Summe den erlittenen Schaden im Einzelfall vollständig und wirksam entschädigen vermag.

Im Übrigen gibt sich der EuGH wenig revolutionär: Eine Erheblichkeitsgrenze für erlittene immaterielle Schäden sieht der EuGH im Gegensatz zum Generalanwalt nicht. Nach wie vor sollen nicht nur Demütigungen des einzelnen Betroffenen, sondern auch kleinere „Wehwehchen“, welche einen Betroffenen mehr oder minder gestört haben, dem Prinzip nach entschädigungsfähig sein.

Der EuGH hegt augenscheinlich die Vorstellung, dass die zweifelhafteren Fälle stattdessen auf Tatsachenebene gefiltert werden und ggf. spätestens an der richterlichen Beweiswürdigung scheitern sollen. Im Wesentlichen dürfte dies in Deutschland ein „Weiter so!“ bedeuten.

Die erfolgreiche Anspruchsdurchsetzung bleibt eng mit dem vorgetragenen Detailgrad des erlittenen Schadens und dem Angebot mehr oder minder aussagekräftiger Beweise, welche es richterlich auf Glaubwürdigkeit und -haftigkeit zu prüfen gilt, verwoben. Der entstehende Aufwand dürfte oftmals doch zum ein oder anderen Vergleichsabschluss bewegen.

Wie sieht die Situation in Ihrem Unternehmen aus? 

Beschäftigen Sie Arbeitnehmer, verwalten einen Kundendatenbestand oder verarbeiten im Rahmen Ihrer Geschäftstätigkeit im Auftrag eines Dritten dessen Datenbestände?

Setzen Sie bereits an der Wurzel an und senken Sie die Risiken einer Beanspruchung oder einer behördlichen Untersuchung. Datenschutzverstöße können durch Anpassungen oder Implementierung technisch-organisatorischer Maßnahmen vermieden werden. Nehmen Sie hierzu gerne unser Beratungsangebot in Anspruch!

Sie wurden bereits beansprucht oder eine Beanspruchung steht kurz bevor? Treten Sie in diesem Fall zügig mit den Experten von up rechtsanwälte für Ihre frühzeitige effektive Verteidigung in Kontakt.

Unsere spezialisierten Rechtsanwälte verfügen über ausgiebige Erfahrung im Bereich des Datenschutzrechts und der angrenzenden Rechtsgebiete. Ganz gleich ob präventive Beratung und Begutachtung oder streitige Auseinandersetzung: Eine Vielzahl regionaler und überregionaler KMU profitieren bereits von der Expertise unseres multidisziplinären Rechtsberatungsteams und unseren erarbeiteten Komplettlösungen.

w

Haben wir Ihr Interesse geweckt?