Suche 
Der Schadensersatzanspruch nach Art. 82 DSGVO setzt keine Erheblichkeit des Schadens voraus. Dies hat der EuGH am 4.5.2023 (Az: C-300/21) entschieden. Wenngleich die Entscheidung in der juristischen Argumentation nachvollziehbar ist, hat der EuGH doch die Gelegenheit verpasst, den Ersatz von Bagatellschäden auszuschließen. Jedoch hat das Gericht die Kriterien für die Schadensbemessung in die Hände der nationalen Gerichte gelegt. Das gibt Anlass zur Hoffnung, dass ausufernden Schadensersatzbegehren Einhalt geboten werden kann.
Die DSGVO ist nun schon seit fast fünf Jahren anwendbar. Nur wenige Rechtsfragen sind in dieser Zeit durch den EuGH verbindlich geklärt worden. Es finden sich noch immer vielfältige Themenkomplexe und Fragestellungen, die noch einer abschließenden Klärung bedürfen. Hierzu zählte auch die Frage, ob ein Bagatellschaden nach Art. 82 DSGVO zu ersetzen ist oder ob eine Erheblichkeitsschwelle besteht. Hierüber bestanden in der Rechtsprechung der deutschen Gerichte sowie in der datenschutzrechtlichen Literatur unterschiedliche Auffassungen. Das Urteil des EuGH löst diesen Streit nun einerseits auf. Andererseits bleibt die Ausgestaltung des Schadensersatzanspruchs offen. Hier beschränkt sich das Urteil auf allgemeine Hinweise zur Behandlung von Schadensersatzansprüchen nach der DSGVO.
Sachverhalt
Anlass für den Rechtsstreit gab die österreichische Post, die personenbezogene Daten sammelt und mittels eines Algorithmus Adressatengruppen für zielgerichtete Werbung definiert. Dem Kläger sprach sie aufgrund der Datenverarbeitung eine Affinität zu einer bestimmten politischen Partei zu. Hierdurch fühlte sich der Kläger beleidigt, bloßgestellt und war sehr verärgert. Er erhob daher Klage auf Unterlassung der Datenverarbeitung und verlangte Schadensersatz. Der ÖOGH sah das Ärgernis nicht als ausreichend an für einen Schadensersatz. Der ÖOGH legte jedoch dem EuGH die folgenden Fragen vor (gekürzt):
- Ist neben einer Verletzung der DSGVO auch ein Schaden Voraussetzung für einen Schadensersatzanspruch?
- Nach welchen Grundsätzen erfolgt die Bemessung des Schadensersatzes?
- Muss ein immaterieller Schaden eine Erheblichkeitsschwelle überschreiten?
Voraussetzungen des Schadensersatzanspruchs
Zunächst bestätigt das Gericht, dass der Schadensersatzanspruch nach Art. 82 DSGVO drei kumulative Voraussetzungen hat: Ein Verstoß gegen die DSGVO, einen Schaden und der Kausalzusammenhang zwischen beiden. Ein kausal durch den Verstoß verursachter Schaden ist damit zwingende Voraussetzung. Allein ein Verstoß gegen die DSGVO ist nicht ausreichend, um einen Schadensersatz zu begründen.
Bei flüchtiger Lektüre der Entscheidung könnte man meinen, der EuGH habe zugleich entschieden, dass ein Verarbeitungsvorgang nicht Voraussetzung für einen Schadensersatzanspruch ist. Diese Frage beschäftigt aktuell die deutsche Arbeitsgerichtsbarkeit (siehe Blogbeitrag vom 4.5.2023). Das Gegenteil ist indes der Fall: In der Begründung des EuGH findet man Hinweise, was der EuGH unter einem „Verstoß gegen die DSGVO“ versteht. So verweist der EuGH u.A. auf Art. 82 Abs. 2 DSGVO, der die Haftungsregelung nach Abs. 1 „präzisiere“ und den Erwägungsgrund 146 Satz 1 DSGVO. Insbesondere erläutert der EuGH, dass Art. 82 Abs. 2 DSGVO „die drei Voraussetzungen für die Entstehung des Schadensersatzanspruchs [übernehme]“. Art. 82 Abs. 2 DSGVO sowie der Erwägungsgrund 146 DSGVO sprechen jedoch von Schäden, die „aufgrund einer Verarbeitung“ personenbezogener Daten entstehen. Damit liefert das Urteil Argumente für die Auslegung, dass ein Schaden durch eine Datenverarbeitung verursacht worden sein muss und damit nicht jeder Verstoß gegen die DSGVO ausreichend ist. Für die Entscheidung bedurfte es hierzu keiner Ausführungen, da die österreichische Post unzweifelhaft Daten verarbeitet hatte.
Keine Erheblichkeitsschwelle
Wenig überraschend stellt der EuGH klar, dass ein Schaden keine Erheblichkeitsschwelle überschreiten müsse. Die DSGVO verlange eine autonome einheitliche unionsrechtliche Definition des „Schadens“. Dabei müsse die Zielsetzung der DSGVO berücksichtigt werden, innerhalb der Union ein gleichmäßig hohes Schutzniveau der personenbezogenen Daten zu gewährleisten. Laut Erwägungsgrund 146 Satz 3 DSGVO müsse der Begriff des Schadens diesen Zielen in vollem Umfange entsprechen. Jedoch weist der EuGH ebenfalls darauf hin, dass eine Person durch diese Auslegung nicht von der Pflicht entbunden wird, das Vorliegen der Voraussetzungen einschließlich des Schadens nachzuweisen. Diese Ausführung erlaubt den Schluss, dass die bloße Behauptung nicht ausreicht, man habe sich schlicht geärgert. Ärger scheint noch kein immaterieller Schaden zu sein. Aber im Hinblick auf immaterielle Schäden ist das eigentliche Problem damit nicht gelöst. Es stellt sich nunmehr die Frage, wann denn ein immaterieller Schaden im unionsrechtlichen Sinne vorliegt. Wann ist ein „Ärgernis“ groß genug, um als immaterieller Schaden anerkannt zu werden? Und wie weist man das Vorliegen dieses Schadens nach?
Grundsätze für die Bemessung des Schadens
An dieser Stelle endet nun die Zuständigkeit des EuGH. Da die DSGVO selbst keine Bestimmungen für die Bemessung des Schadensersatzes treffe, sei es Aufgabe des Rechts der einzelnen Mitgliedsstaaten, die Kriterien festzulegen. Dabei seien lediglich die Grundsätze der Effizienz und Äquivalenz zu beachten. Das bedeutet, dass die innerstaatlichen Kriterien für unionsrechtliche Sachverhalte nicht ungünstiger ausfallen als für solche, die dem innerstaatlichen Recht unterfallen (Äquivalenz). Auch dürfen die Kriterien die Durchsetzung der Rechte aus dem Unionsrecht nicht praktisch unmöglich machen oder übermäßig erschweren (Effektivität). Dies deutet darauf hin, dass die allgemeinen deutschen Bemessungsgrundsätze für den Schadensersatz auch beim Schadensersatz nach Art. 82 DSGVO Anwendung finden.
Praxishinweise
Es steht zu erwarten, dass der Schadensersatzanspruch nach Art. 82 DSGVO nach dem Urteil des EuGH weiterhin Bedeutung behält. Der Unsitte, dass betroffene Personen aufgrund des Urteils auch für marginale „erlittene“ Beeinträchtigungen Schadensersatz verlangen, können und sollten nun die deutschen Gerichte entgegen treten. Die Definition und die Anforderungen an den Nachweis des immateriellen Schadens bieten hier ebenso Möglichkeiten wie die Festlegung einer etwaigen Schadenshöhe. Daher gilt für die Praxis, auch weiterhin Schadensersatzforderungen nach der DSGVO nicht einfach zu akzeptieren. Ein genauerer Blick, ob alle Voraussetzungen vorliegen und auch nachgewiesen werden können, wird sich (weiterhin) vielfach lohnen.
