Mit Urteil vom 04. Mai 2023 (Az. C-300/21) hat der EuGH die lange umstrittene Frage geklärt, unter welchen Voraussetzungen Datenschutzverstöße zu Schadensersatzansprüchen führen können. Der Entscheidung lag eine Vorlage des Österreichischen Obersten Gerichtshofs zugrunde. Die Österreichische Post AG hatte die politische Affinität ihrer Kunden anhand der ihr zur Verfügung stehenden persönlichen Daten mithilfe eines Algorithmus untersucht. In diese Datenverarbeitung hatten die Betroffenen jedoch nicht eingewilligt. Der Kläger war über die Datenverarbeitung verärgert und macht einen immateriellen Schaden aufgrund eines inneren Unbehagens geltend.
Mit dieser Entscheidung steht nunmehr fest, dass die DSGVO den Betroffenen im Falle einer Datenschutzverletzung keinen von einem konkreten Schaden unabhängigen „Strafschadensersatz“ zubilligt. Vielmehr ist Art. 82 Abs. 1 DSGVO dahin auszulegen, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen. Gleichzeitig hat der EuGH aber auch festgestellt, dass es für einen Schadensersatzanspruch nicht erforderlich ist, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat. Die Bemessung des konkreten Schadenersatzanspruchs sieht der EuGH als Aufgabe der Mitgliedstaaten bzw. ihrer jeweiligen Gerichte an.
Damit hat der EuGH auch für die viel diskutierte Frage der Reichweite des Auskunftsanspruchs nach Art. 15 DSGVO Entlastung geschaffen. Denn Betroffene können nicht allein aufgrund einer verspäteten, unvollständigen oder falschen Auskunft Schadensersatz verlangen, wenn sie nicht zugleich einen konkreten Schaden darlegen können.
Konkret hat der EuGH dies in seiner Entscheidung wie folgt begründet:
Die Begriffe „materieller oder immaterieller Schaden“ und „Schadenersatz“ sind mangels Verweis auf das Recht der Mitgliedstaaten als autonome Begriffe des Unionsrechts anzusehen, die in allen Mitgliedstaaten einheitlich auszulegen sind.
Aus dem Wortlaut von Art. 82 DSGVO gehe klar hervor, dass ein „Schaden“, ein Verstoß gegen die DSGVO und ein Kausalzusammenhang zwischen dem Schaden und dem Verstoß die drei kumulativen Voraussetzungen für den in Art. 82 DSGVO vorgesehenen Schadensersatzanspruch darstellen. Daher kann nicht angenommen werden, dass jeder „Verstoß“ gegen die Bestimmungen der DSGVO für sich genommen einen Schadenersatzanspruch zugunsten der betroffenen Person eröffnet.
Als systematisches Argument nimmt der EuGH auf Art. 82 Abs. 2 DSGVO Bezug. Auch aus diesem folgt, dass es für einen Schadensersatzanspruch nicht nur eines Verstoßes (eine nicht dieser Verordnung entsprechende Verarbeitung) bedarf, sondern auch eines Schadens und einen Kausalzusammenhang zwischen beiden Voraussetzungen. Und auch die Erwägungsgründe 146, 75 und 85 stützen diese Annahme, da sie jeweils auf einen Schaden durch eine Verletzung bzw. Verarbeitung abstellen, gleichzeitig aber klar machen, dass nicht jede Verletzung zu einem Schaden führen kann.
Schließlich wird auch ein Vergleich zu den Art. 77 und 78 DSGVO gezogen, die im Fall eines behaupteten Verstoßes gegen die DSGVO Rechtsbehelfe bei einer bzw. gegen eine Aufsichtsbehörde vorsehen, wobei sie keinen Hinweis darauf enthalten, dass der betroffenen Person ein „Schaden“ entstanden sein müsste, um solche Rechtsbehelfe einlegen zu können. Entsprechendes gilt für die Verhängung von Geldbußen und Sanktionen, wie sie Art. 83 und 84 DSGVO vorsehen. Damit aber wird der Unterschied zu Art. 82 DSGVO deutlich. Während die Art. 83 und Art. 84 DSGVO einen Strafzweck verfolgen, dient Art. 82 DSGVO dem Ausgleich entstandener Schäden.
Demgegenüber stellt der EuGH auch klar, dass der Anspruch auf Schadensersatz nicht an eine Erheblichkeitsschwelle geknüpft werden kann. Der Begriff des Schadens ist einheitlich unionsrechtlich auszulegen, wobei in der DSGVO kein Hinweis auf eine Erheblichkeitsschwelle oder Bagatellgrenze zu finden sei. Weiter sei der Begriff des Schadens auch weit auszulegen, um den Zielen der DSGVO (gleichmäßiges und hohes Schutzniveau) gerecht zu werden.
Schließlich beantwortet der EuGH die dritte Vorlagefrage zu Art. 82 DSGVO dahingehend, dass die nationalen Gerichte bei der Festsetzung der Höhe des Schadenersatzes, der aufgrund des in diesem Artikel verankerten Schadenersatzanspruchs geschuldet wird, die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden haben, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden. Damit haben die nationalen Gerichte zwar einen Spielraum bezüglich der Höhe der Schadensersatzansprüche. Bei der Anwendung dessen müssen sie aber den Äquivalenz- und den Effektivitätsgrundsatz beachten. Dementsprechend besagt der sechste Satz des 146. Erwägungsgrundes der DSGVO, dass dieses Instrument einen „vollständigen und wirksamen Schadenersatz für den erlittenen Schaden“ sicherstellen soll.
Insgesamt hat der EuGH damit die auch von uns bislang schon vertretene Auffassung bestätigt, wonach nicht jeder Verstoß gegen die DSGVO zu einem Schadensersatzanspruch berechtigt. Dass nicht jeder Verstoß gegen die DSGVO zu einem Schadensersatz oder einem Strafschadensersatz führen kann, ist richtig und entspricht jedenfalls dem Verständnis des deutschen Rechts, wonach „Strafschadensersatz“ keine Grundlage im deutschen Recht findet. Mit Spannung kann die weitere Entwicklung der Rechtsprechung hierzu verfolgt werden, was die Höhe des Ausgleichs bei tatsächlich erlittenen Schäden betrifft. Denn auch wenn ein wirksamer Schadensersatz gewährt werden muss, kann darüber nicht erneut ein Strafschadensersatz begründet werden. Auch dies ergibt sich aus der Entscheidung des EuGH.
Ansprechpartner
RA Dr. Alexander Beyer, Köln
alexander.beyer@bld.de