Haftungsszenario mit Blick auf immateriellen Schadensfolgen von Datenschutzverstößen
Art. 82 Abs. 1 Datenschutzgrundverordnung (DSGVO) regelt den Anspruch einer jeden Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Schadenersatz vom Verantwortlichen oder von dessen Auftragsverarbeiter verlangen können.
Der Schadenersatz soll einen Ausgleich und eine Genugtuung für die betroffene Person herbeiführen und setzt voraus, dass die betroffene Person einen Schaden erlitten hat.
Die Formulierung in Art. 82 Abs. 1 DSGVO lässt jedoch viele Fragen offen. Besonders kontrovers wird der Ersatz immateriellen Schadens diskutiert. Es ist schwierig abzugrenzen, was genau darunterfällt und in welcher Höhe Schadenersatz zu gewähren ist. Oft wird in Schadensersatzverfahren argumentiert, dass schon der Verstoß gegen datenschutzrechtliche Vorschriften einen immateriellen Schaden darstellt. Eine solch weite Auslegung birgt gleichwohl ein nicht unerhebliches Missbrauchspotenzial und erhebliche Risiken für Unternehmen. Ansprüche auf immateriellen Schadensersatz eignen sich für Massenverfahren, da Fehler bei der Umsetzung der DSGVO oft eine Vielzahl von Personen betreffen können. Demgegenüber stellen etwa das Oberlandesgericht (OLG) Bremen (16. Juli 2021 – 1 W 18/21) und das OLG Brandenburg (11. August 2021 – 1 U 69/20) jedoch fest, dass ein Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO einen materiellen oder immateriellen Schaden voraussetzt und die betroffene Person diesen Schaden darlegen und beweisen müsse.
Führt der reine Ärger über einen Datenschutzverstoß zwangsläufig zu Schadensersatz?
Vorabentscheidungsverfahren des Europäischen Gerichtshof (EuGH)
Die Unsicherheit zur Reichweite und Grenze des Anspruchs auf Schadensersatz nach Art. 82 Abs. 1 DSGVO hat mehrere europäische Gerichte dazu bewogen, dem EuGH Fragen zur Auslegung des Anspruchs zur Beantwortung vorzulegen. Eines der ersten Vorabentscheidungen stammt vom Obersten Gerichtshof Österreichs (ÖOGH).
Im österreichischen Ausgangsverfahren wandte sich eine Privatperson gegen eine Datenerhebung durch die österreichische Post AG. Diese hatte Informationen zu Parteipräferenzen mit Hilfe eines Algorithmus und den zugrundeliegenden soziodemografischen Merkmalen ermittelt. Auch in Bezug auf den Kläger war eine Hochrechnung vorgenommen worden, die eine Affinität zu einer bestimmten Partei aufwies. Der Kläger, der in die Verarbeitung dieser Daten nicht eingewilligt hatte, war darüber verärgert und begehrte daraufhin einen Schadensersatz i. H. v. 1.000 EUR zum Ersatz seines immateriellen Schadens. Die nationalen Gerichte erster und zweiter Instanz wiesen die Klage zurück. Der ÖOGH legte dem EuGH die Sache zur Vorabentscheidung mit folgenden Vorlagefragen vor (Vorabentscheidungsersuchen v. 12. Mai 2021):
- Genügt bereits die Verletzung von Bestimmungen der DSGVO , um einem Betroffenen einen immateriellen Schadensersatz zuzusprechen oder muss der Kläger auch einen konkreten Schaden erlitten haben?
- Wie ist der immaterielle Schaden der Höhe nach zu bemessen?
- Liegt ein immaterieller Schaden nur vor, wenn die Beeinträchtigung eine gewisse Erheblichkeitsschwelleüberschreitet oder stellt z.B. schon der durch die Rechtsverletzung hervorgerufene Ärger einen ersatzfähigen Schaden dar?
Schlussantrag des Generalanwalts (GA) am EuGH vom 06. Oktober 2022 zum Vorabentscheidungsersuchen des ÖOGH (in der RS. C-300/21)
Der GA stellt in seinem Schlussantrag folgendes fest:
1. Der Anspruchsteller hat dem Grunde nach einen Schaden nachzuweisen
Zur Begründung verweist der GA u.a. auf den Wortlaut der Norm, die bestimmt, dass jede Person, „der ein… Schaden entstanden ist“, Anspruch auf Schadenersatz hat. Ein Schadensersatzanspruch kann demzufolge nicht bereits bei einem bloßen Verstoß gegen das Datenschutzrecht entstehen, ohne dass der Anspruchsteller einen Schaden nachgewiesen hat.
2. Der Kontrollverlust an Daten ist nicht per se ein immaterieller Schaden
Der GA weist darauf hin, dass der Kontrollverlust in Erwägungsgrund (EG) 75 DSGVO nur als Risiko für einen immateriellen Schaden bezeichnet wird. Auch würde die DSGVO dem Kontrollrecht Einzelner an ihren personenbezogenen Daten keinen übergeordneten Zweck in dem Sinne einräumen, dass jede Beeinträchtigung einen Schaden begründen muss. Stattdessen könnten sich betroffene Personen mittels anderer materieller Ansprüche (wie etwa Auskunftsanspruch/Art. 15 DSGVO, Löschanspruch/Art. 17 DSGVO) behelfen.
3. Der bloße Ärger stellt noch keinen Schaden dar
Nach Ansicht des GA ist ein immaterieller Schadensersatzanspruch nur zuzusprechen, wenn die bei der betroffenen Person verursachte Benachteiligung eine gewisse Erheblichkeitsschwelle überschritten hat. Bei negativen Gefühlslagen sei es Sache der nationalen Gerichte, herauszuarbeiten, wann das subjektive Unmutsgefühl aufgrund seiner Merkmale im Einzelfall als immaterieller Schaden angesehen werden kann. Das heißt aber auch, dass die Festlegung der Schwelle, ab der ein immaterieller Schaden zu bejahen ist, unterschiedlich ausfallen kann. Es ist abzuwarten, ob der EuGH hier eine Untergrenze festlegt.
4. Höhe des Schadensersatzanspruches
Der GA stellt fest, dass ein Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO so bemessen sein muss, dass er den entstandenen Schaden tatsächlich vollständig ausgleicht. Der immaterielle Schadenersatzanspruch habe jedoch nicht den Zweck, ein Unternehmen zu bestrafen.
Der GA hebt zudem hervor, dass die DSGVO nicht nur den Schutz der betroffenen Person bezweckt. Dabei hält er fest: „Da der Wert der (personenbezogenen und nicht personenbezogenen) Daten für den wirtschaftlichen und sozialen Fortschritt in Europa auf der Hand liegt, zielt die DSGVO nicht darauf ab, dass die Kontrolle des Einzelnen über die ihn betreffenden Informationen zum Maß aller Dinge wird, indem sie sich schlicht seinen Präferenzen beugt, sondern sie soll das Recht auf Schutz der personenbezogenen Daten jedes Einzelnen mit den Interessen Dritter und der Gesellschaft in Einklang bringen“. Damit plädiert der GA für ein ausgewogenes Verständnis der DSGVO. Das Datenschutzrecht solle nicht den Zweck haben, die Verarbeitung personenbezogener Daten systematisch zu begrenzen, sondern sie unter strengen Voraussetzungen zu legitimieren.
Fazit
Der EuGH ist nicht an den Schlussantrag des GA gebunden. Sofern er jedoch der Auffassung des GA folgt, müssten Anspruchsteller über den Datenschutzverstoß hinaus auch eine Beeinträchtigung im Sinne eines immateriellen Schadens nach Art. 82 Abs. 1 DSGVO nachweisen. Auch würden viele Datenschutzverstöße, die nur schwache negative Gefühle bei der betroffenen Person verursachen, keinen Schadensersatzanspruch mehr rechtfertigen. Dies würde zur Entlastung der Gerichte führen, da unnötige Schadensersatzklagen wegen Ärger keine Aussicht auf Erfolg hätten.
Möglich ist jedoch auch, dass der EuGH seiner regelmäßig sehr datenschutzfreundlichen Grundhaltung folgt und Art. 82 Abs. 1 DSGVO so auslegt, dass die Schwellen für einen immateriellen Schadensersatzanspruch niedriger sind.
Es bleibt spannend , wie der EuGH sich in dieser Sache positioniert.
Wir halten Sie auf dem Laufenden in unserem Newsletter.
Autorin: Rosemarie Popa (Senior Data Privacy Consultant)