open search
close
Datenschutz Digitalisierung in Unternehmen Neueste Beiträge

Schadensersatz nach der DSGVO für Bagatellen?

Print Friendly, PDF & Email

Der Schadensersatzanspruch nach Art. 82 DSGVO setzt keine Erheblichkeit des Schadens voraus. Dies hat der EuGH am 4.5.2023 (Az: C-300/21) entschieden. Wenngleich die Entscheidung in der juristischen Argumentation nachvollziehbar ist, hat der EuGH doch die Gelegenheit verpasst, den Ersatz von Bagatellschäden auszuschließen. Jedoch hat das Gericht die Kriterien für die Schadensbemessung in die Hände der nationalen Gerichte gelegt. Das gibt Anlass zur Hoffnung, dass ausufernden Schadensersatzbegehren Einhalt geboten werden kann.

Die DSGVO ist nun schon seit fast fünf Jahren anwendbar. Nur wenige Rechtsfragen sind in dieser Zeit durch den EuGH verbindlich geklärt worden. Es finden sich noch immer vielfältige Themenkomplexe und Fragestellungen, die noch einer abschließenden Klärung bedürfen. Hierzu zählte auch die Frage, ob ein Bagatellschaden nach Art. 82 DSGVO zu ersetzen ist oder ob eine Erheblichkeitsschwelle besteht. Hierüber bestanden in der Rechtsprechung der deutschen Gerichte sowie in der datenschutzrechtlichen Literatur unterschiedliche Auffassungen. Das Urteil des EuGH löst diesen Streit nun einerseits auf. Andererseits bleibt die Ausgestaltung des Schadensersatzanspruchs offen. Hier beschränkt sich das Urteil auf allgemeine Hinweise zur Behandlung von Schadensersatzansprüchen nach der DSGVO.

Sachverhalt

Anlass für den Rechtsstreit gab die österreichische Post, die personenbezogene Daten sammelt und mittels eines Algorithmus Adressatengruppen für zielgerichtete Werbung definiert. Dem Kläger sprach sie aufgrund der Datenverarbeitung eine Affinität zu einer bestimmten politischen Partei zu. Hierdurch fühlte sich der Kläger beleidigt, bloßgestellt und war sehr verärgert. Er erhob daher Klage auf Unterlassung der Datenverarbeitung und verlangte Schadensersatz. Der ÖOGH sah das Ärgernis nicht als ausreichend an für einen Schadensersatz. Der ÖOGH legte jedoch dem EuGH die folgenden Fragen vor (gekürzt):

  • Ist neben einer Verletzung der DSGVO auch ein Schaden Voraussetzung für einen Schadensersatzanspruch?
  • Nach welchen Grundsätzen erfolgt die Bemessung des Schadensersatzes?
  • Muss ein immaterieller Schaden eine Erheblichkeitsschwelle überschreiten?

Voraussetzungen des Schadensersatzanspruchs

Zunächst bestätigt das Gericht, dass der Schadensersatzanspruch nach Art. 82 DSGVO drei kumulative Voraussetzungen hat: Ein Verstoß gegen die DSGVO, einen Schaden und der Kausalzusammenhang zwischen beiden. Ein kausal durch den Verstoß verursachter Schaden ist damit zwingende Voraussetzung. Allein ein Verstoß gegen die DSGVO ist nicht ausreichend, um einen Schadensersatz zu begründen.

Bei flüchtiger Lektüre der Entscheidung könnte man meinen, der EuGH habe zugleich entschieden, dass ein Verarbeitungsvorgang nicht Voraussetzung für einen Schadensersatzanspruch ist. Diese Frage beschäftigt aktuell die deutsche Arbeitsgerichtsbarkeit (siehe Blogbeitrag vom 4.5.2023). Das Gegenteil ist indes der Fall: In der Begründung des EuGH findet man Hinweise, was der EuGH unter einem „Verstoß gegen die DSGVO“ versteht. So verweist der EuGH u.A. auf Art. 82 Abs. 2 DSGVO, der die Haftungsregelung nach Abs. 1 „präzisiere“ und den Erwägungsgrund 146 Satz 1 DSGVO. Insbesondere erläutert der EuGH, dass Art. 82 Abs. 2 DSGVO „die drei Voraussetzungen für die Entstehung des Schadensersatzanspruchs [übernehme]“. Art. 82 Abs. 2 DSGVO sowie der Erwägungsgrund 146 DSGVO sprechen jedoch von Schäden, die „aufgrund einer Verarbeitung“ personenbezogener Daten entstehen. Damit liefert das Urteil Argumente für die Auslegung, dass ein Schaden durch eine Datenverarbeitung verursacht worden sein muss und damit nicht jeder Verstoß gegen die DSGVO ausreichend ist. Für die Entscheidung bedurfte es hierzu keiner Ausführungen, da die österreichische Post unzweifelhaft Daten verarbeitet hatte.

Keine Erheblichkeitsschwelle

Wenig überraschend stellt der EuGH klar, dass ein Schaden keine Erheblichkeitsschwelle überschreiten müsse. Die DSGVO verlange eine autonome einheitliche unionsrechtliche Definition des „Schadens“. Dabei müsse die Zielsetzung der DSGVO berücksichtigt werden, innerhalb der Union ein gleichmäßig hohes Schutzniveau der personenbezogenen Daten zu gewährleisten.  Laut Erwägungsgrund 146 Satz 3 DSGVO müsse der Begriff des Schadens diesen Zielen in vollem Umfange entsprechen. Jedoch weist der EuGH ebenfalls darauf hin, dass eine Person durch diese Auslegung nicht von der Pflicht entbunden wird, das Vorliegen der Voraussetzungen einschließlich des Schadens nachzuweisen. Diese Ausführung erlaubt den Schluss, dass die bloße Behauptung nicht ausreicht, man habe sich schlicht geärgert. Ärger scheint noch kein immaterieller Schaden zu sein. Aber im Hinblick auf immaterielle Schäden ist das eigentliche Problem damit nicht gelöst. Es stellt sich nunmehr die Frage, wann denn ein immaterieller Schaden im unionsrechtlichen Sinne vorliegt. Wann ist ein „Ärgernis“ groß genug, um als immaterieller Schaden anerkannt zu werden? Und wie weist man das Vorliegen dieses Schadens nach?

Grundsätze für die Bemessung des Schadens

An dieser Stelle endet nun die Zuständigkeit des EuGH. Da die DSGVO selbst keine Bestimmungen für die Bemessung des Schadensersatzes treffe, sei es Aufgabe des Rechts der einzelnen Mitgliedsstaaten, die Kriterien festzulegen. Dabei seien lediglich die Grundsätze der Effizienz und Äquivalenz zu beachten. Das bedeutet, dass die innerstaatlichen Kriterien für unionsrechtliche Sachverhalte nicht ungünstiger ausfallen als für solche, die dem innerstaatlichen Recht unterfallen (Äquivalenz). Auch dürfen die Kriterien die Durchsetzung der Rechte aus dem Unionsrecht nicht praktisch unmöglich machen oder übermäßig erschweren (Effektivität). Dies deutet darauf hin, dass die allgemeinen deutschen Bemessungsgrundsätze für den Schadensersatz auch beim Schadensersatz nach Art. 82 DSGVO Anwendung finden.

Praxishinweise

Es steht zu erwarten, dass der Schadensersatzanspruch nach Art. 82 DSGVO nach dem Urteil des EuGH weiterhin Bedeutung behält. Der Unsitte, dass betroffene Personen aufgrund des Urteils auch für marginale „erlittene“ Beeinträchtigungen Schadensersatz verlangen, können und sollten nun die deutschen Gerichte entgegen treten. Die Definition und die Anforderungen an den Nachweis des immateriellen Schadens bieten hier ebenso Möglichkeiten wie die Festlegung einer etwaigen Schadenshöhe. Daher gilt für die Praxis, auch weiterhin Schadensersatzforderungen nach der DSGVO nicht einfach zu akzeptieren. Ein genauerer Blick, ob alle Voraussetzungen vorliegen und auch nachgewiesen werden können, wird sich (weiterhin) vielfach lohnen.

Christine Norkus

Rechtsanwältin

Associate
Christine Norkus berät nationale und internationale Unternehmen überwiegend zu Fragen des Beschäftigtendatenschutzes, sowie zu sämtlichen Bereichen des individuellen und kollektiven Arbeitsrechts. Neben Restrukturierungsprojekten berät sie ihre Mandanten zudem in Kündigungsrechtsstreitigkeiten, im Bereich des Betriebsverfassungsrechts sowie in der Vertragsgestaltung. Sie ist Mitglied der Fokusgruppe "Datenschutz".
Verwandte Beiträge
Individualarbeitsrecht Neueste Beiträge

Fehler bei der Massenentlassungsanzeige – nun soll der EuGH helfen

Kurz vor Weihnachten zeichnete sich im vergangenen Jahr noch eine beachtenswerte Rechtsprechungsänderung des BAG zur Massenentlassungsanzeige ab. Der 6. Senat kündigte an, von der bisherigen Rechtsprechungspraxis des BAG abweichen zu wollen, wonach Fehler bei der Massenentlassungsanzeige automatisch zur Unwirksamkeit der ausgesprochenen Kündigungen führen. Wir berichteten hierzu in unserem Blogbeitrag vom 22. Dezember 2023. Nun geht es in nächste Runde – allerdings zunächst vor dem EuGH….
Datenschutz Individualarbeitsrecht Neueste Beiträge

„Auskunft, sonst Schadensersatz!“ – Handlungsoptionen für Arbeitgeber bei Auskunftsansprüchen

Datenschutzrechtliche Auskunftsansprüche gegen den Arbeitgeber gehören für Arbeitnehmer(-vertreter) vor allem in Kündigungsstreitigkeiten zum Regelrepertoire. Mittlerweile wird auch vermehrt über arbeitnehmerseitige Schadensersatzansprüche aufgrund nicht oder nicht vollständig erteilter Auskünfte gestritten. Die Rechtsprechung befindet sich noch im Fluss, sodass sich für viele Arbeitgeber Unklarheiten darüber ergeben, wie mit fragwürdigen Auskunftsbegehren umzugehen ist. Dieser Beitrag soll einen Überblick liefern und Handlungsoptionen aufzeigen. Der datenschutzrechtliche Auskunftsanspruch ist mittlerweile ein…
Individualarbeitsrecht Neueste Beiträge

Schadenersatz nach dem AGG bei Stellenanzeigen – Wann eine Benachteiligung wegen des Alters zulässig sein kann

Bei der Formulierung von Stellenausschreibungen ist bekanntlich Vorsicht geboten. Bewerberinnen und Bewerber dürfen aus Gründen des Geschlechts, der Rasse, der ethnischen Herkunft, der Religion oder Weltanschauung, einer Behinderung, des Alters oder der sexuellen Identität bei geplanten Einstellungen im Unternehmen keine weniger günstige Behandlung erfahren als andere Personen (sog. Benachteiligungsverbot). Sind Stellenausschreibungen so verfasst, dass bestimmte Gruppen von Bewerbern von einem Arbeitsplatz ausgeschlossen werden, wird eine…
Abonnieren Sie den kostenfreien KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

 

Die Abmeldung ist jederzeit möglich.