News

Immaterieller Schadens­ersatz schon bei Ärger über Datenschutz­verstoß?

06.10.2022

Generalanwalt konkretisiert Voraussetzungen des Art. 82 Abs. 1 DSGVO

Noch herrscht auch bei deutschen Gerichten erhebliche Rechtsunsicherheit, in welchen Fällen von Datenschutzverstößen Betroffenen immaterieller Schadensersatz zuzusprechen ist. Die heute veröffentlichten Schlussanträge des Generalanwalts am Europäischen Gerichtshof (EuGH) bringen nun ein wenig Licht ins Dunkle und geben erste Hinweise, wie der immaterielle Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO auszulegen ist. Der Generalanwalt neigt zu einer eher ausgewogenen Auslegung und hält jedenfalls den reinen „Ärger“ über eine Pflichtverletzung des Verantwortlichen als nicht ersatzfähig. Sollte der EuGH den Schlussanträgen folgen, würde den teils von deutschen Gerichten sehr exzessiv zugesprochenen Schadensersatzansprüchen vorerst ein Riegel vorgeschoben. Aufatmen können Unternehmen jedoch nicht: Sollte es Klägern gelingen, etwa spürbare negative Gefühle nachzuweisen, könnten Gerichte weiterhin immateriellen Schadensersatz zusprechen. Insbesondere in Fällen, in denen ein Datenschutzverstoß eine Vielzahl an Personen betrifft, drohen Unternehmen daher weiterhin mit hohen Schadenssummen konfrontiert zu werden.

Hintergrund 

Der Oberste Gerichtshof (Österreich) hat dem EuGH am 12.05.2021 mehrere Vorlagefragen zur Auslegung des Art. 82 Abs. 1 DSGVO vorgelegt. Dem Vorabentscheidungsersuchen lag folgender Fall zugrunde: Eine beklagte Adresshändlerin verknüpfte ohne eine entsprechende Einwilligung Daten von Umfrageinstituten und Wahlstatistiken, um zu Personen in ihrer Kartei die Information zu speichern, an welcher Parteiwerbung die Person interessiert sein könnte. Der Kläger, dessen prognostizierte Parteiaffinität bisher nicht gegenüber Dritten offengelegt wurde, war verärgert über den Vorgang und die ihm zugeordnete Parteiaffinität. Für das österreichische Gericht stellte sich nun die Frage, ob und in welcher Höhe dem Kläger für den einzig vorgetragenen „Ärger“ ein immaterieller Schadensersatzanspruch zusteht. Es legte dem EuGH folgende Vorlagefragen vor: (1) Genügt bereits die Pflichtverletzung, um einem Betroffenen einen immateriellen Schadensersatz zuzusprechen oder muss der Betroffene darüber hinaus einen Schaden nachweisen? (2) Wie ist der immaterielle Schaden der Höhe nach zu bemessen? (3) Liegt ein immaterieller Schaden nur vor, wenn die Beeinträchtigung eine gewisse Erheblichkeitsschwelle überschreitet oder stellt zum Beispiel schon der Ärger einen ersatzfähigen Schaden dar? Der Generalanwalt stellt in seinen Schlussanträgen (Verfahren C-300/21) folgende Grundsätze auf, wie seiner Meinung nach der Schadensersatzanspruch zu verstehen ist:

Kein Schadensersatzanspruch ohne Schaden

Der Generalanwalt stellt klar, dass ein Schadensersatzanspruch nur entsteht, wenn ein Schaden nachgewiesen wird. Dies folge bereits aus dem Wortlaut der Norm. Außerdem habe der Schadensersatzanspruch die Funktion, einen zugefügten Schaden auszugleichen. Art. 82 Abs. 1 DSGVO habe nicht den Zweck, Unternehmen für datenschutzwidriges Verhalten zu bestrafen.

Dieses Ergebnis dürfte deutschen Gerichten nicht fremd sein. Auch zivilrechtliche Schadensersatzansprüche nach nationalem Recht verlangen hierzulande regelmäßig die Darlegung eines Schadens. So gab es bisher auch in Deutschland wenig Gerichte, die vertreten haben, ein Schadensersatzanspruch bestehe unabhängig von einem nachgewiesenen Schaden.

Schaden kann in stärkeren negativen Gefühlen liegen, nicht allerdings in vorrübergehendem Ärger 

Nach Ansicht des Generalanwaltes verlangt das Unionrechts, einen immateriellen Schadensersatzanspruch nur in solchen Fällen zuzusprechen, in denen die beim Betroffenen verursachte Benachteiligung eine gewisse Erheblichkeitsschwelle überschritten hat. Bei negativen Gefühlslagen sei es Aufgabe des Gerichts, zwischen schwachen und vorrübergehenden Emotionen und Gefühlen auf der einen Seite (nicht ersatzfähig) und stärkeren negativen Beeinträchtigungen auf der anderen Seite (ersatzfähig) zu unterscheiden. Damit verlangt er, dass ein Kläger darlegt und gegebenenfalls beweist, dass die Pflichtverletzung kausal negative Konsequenzen bei ihm verursacht haben, die auch das jeweilige Gericht als ersatzfähig zu beurteilen vermag. Dass diese Grenze mitunter schwimmend sein kann, räumt auch der Generalanwalt ein. Es bleibt daher abzuwarten, wo nationale Gerichte die Grenze ziehen. Die Erheblichkeitsschwelle liegt aber wohl nicht so hoch, wie aus § 253 BGB bekannt.

In diesem Zusammenhang auch erwähnenswert ist, dass ein Schaden nach Ansicht des Generalanwaltes nicht allein in dem Kontrollverlust an Daten liegt. Kläger müssen weiterhin nachweisen, welche darüberhinausgehenden Beeinträchtigungen sie durch den häufig bei Datenlecks vorkommenden Kontrollverlust erlitten haben.

Schadensersatz muss Schaden kompensieren, Unternehmen aber nicht bestrafen

Der Generalanwalt stellt klar, dass der Schadensersatzanspruch geeignet sein muss, den Schaden zu kompensieren. Der Anspruch habe dagegen nicht den Zweck, ein Unternehmen zu bestrafen, wie es z.B. im US-Recht unter sog. „punitive damages“ anerkannt ist. Kläger könnten daher nur einen Ausgleich verlangen, der erforderlich ist, um die bei ihnen entstandenen Beeinträchtigungen auszugleichen. Aus Sanktionsgründen überhöhte Schadensersatzansprüche sind daher nicht mehr möglich – sollte der EuGH den Einschätzungen des Generalanwaltes folgen.

Fazit

Der Generalanwalt stellt ausgewogene Prinzipien für den immateriellen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO auf und stellt klar, dass Kläger weiterhin einen konkreten Schaden darlegen und gegebenenfalls beweisen müssen. Er erinnert daran, dass das Datenschutzrecht nicht den Zweck haben soll, die Verarbeitung personenbezogener Daten systematisch zu begrenzen, sondern sie unter strengen Voraussetzungen zu legitimieren. Er nimmt daher auch die berechtigten Interessen der Unternehmen und der Gesellschaft am wirtschaftlichen und sozialen Fortschritt in den Blick. Ob der EuGH seinem Ansatz folgt, wird sich zeigen. Einen Termin zur Verkündung des Urteils gibt es bisher nicht.

Es bleibt aber dabei, dass der immaterielle Schadensersatz neben den behördlichen Bußgeldern ein signifikantes finanzielles Risiko für Unternehmen nach einem Datenschutzverstoß ist. Denn in vielen Fällen mag es Klägern gelingen, spürbare, länger anhaltende negative Gefühle wegen eines Datenschutzverstoßes nachzuweisen. Für Unternehmen ist es daher nach wie vor wichtig, sich frühzeitig und strategisch mit den Herausforderungen, Chancen und Risiken der Data Protection Litigation auseinanderzusetzen. Unser eingespieltes Team aus anerkannten Datenschutz- und Litigation Experten berät Sie gerne.