EuGH zum DSGVO-Schadensersatz: Anspruchsvoraussetzungen und Schadenserheblichkeit

Der Schadensersatzanspruch nach der DSGVO ist ob seiner Anforderungen und Rechtsfolgen seit jeher umstritten, weil die Verordnung in den maßgeblichen Bestimmungen anstatt konkreter Kriterien unbestimmte Rechtsbegriffe verwendet. Nun hat sich der EuGH erstmalig zu den Anspruchsvoraussetzungen positioniert und darüber hinaus entschieden, ob ersatzfähige immaterielle Schäden eine gewisse Erheblichkeitsschwelle erreichen müssen. Dieser Beitrag zeigt, was nach EuGH für einen begründeten DSGVO-Schadensersatz erfüllt sein muss.

I. Der Ausgangsfall

Den abstrakten Rechtsfragen, über welche der EuGH zu befinden hatte, ging ein österreichisches Gerichtsverfahren voraus.

Die österreichische Post hatte im Jahr 2017 per Algorithmus anhand sozialer und demografischer Merkmale die politischen Affinitäten der Bevölkerung zu bestimmen versucht und aus den generierten Informationen Zielgruppenkreise gebildet, in denen die Sympathie mit politischen Parteien vermutet wurde.

Ein Bürger, welchem nach der Datenverarbeitung die ideologische Nähe zu einer bestimmten Partei zugeschrieben wurde, sah hierin eine rechtswidrige Verarbeitung seiner personenbezogenen Daten und klagte auf Schadensersatz nach Art. 82 DSGVO.

Die Unterstellung einer Nähe zur fraglichen Partei habe bei ihm ein großes Ärgernis verursacht und zu einem Vertrauensverlust sowie zu einem Gefühl der Bloßstellung geführt.

Dass die Aggregation von Informationen über demographische und soziale Umstände und deren algorithmusbasierte Auswertung zur Feststellung eines politischen Spektrums datenschutzwidrig, da ohne Einwilligung erfolgt war, stellte österreichische Justiz unzweideutig fest.

Problematisch sah der Oberste Gerichtshof, der als letzte Instanz mit dem Ersatzbegehren befasst war, aber die Auslegung des Art. 82 DSGVO als Anspruchsgrundlage für den Schadensersatz.

Die Vorschrift besagt in den Absätzen 1 und 2 Folgendes:

1. Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
2. Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.

Er setzte daher das Verfahren aus und legte dem EuGH zur Vorabscheidung unter anderem die Fragen vor, ob

• Anspruchsvoraussetzung für den DSGVO-Schadensersatz nur eine Verletzung von DSGVO-Bestimmungen oder auch ein konkreter Schaden ist, den der Betroffene aufgrund der Verletzung erlitten haben muss
• Voraussetzung eines ersatzfähigen immateriellen Schadens ist, dass die Folge der Rechtsverletzung eine gewisse Erheblichkeit aufweist und über einen bloßen, durch die Datenschutzverletzung hervorgerufenen Ärger hinausgeht

II. Die Entscheidung des EuGH

Mit Urteil vom 04.05.2023 (Az. C-300/21) urteilte der EuGH auf Vorlage des Österreichischen Obersten Gerichtshofes zu den Anspruchsvoraussetzungen des DSGVO-Schadensersatzes und zum Begriff des immateriellen Schadens.

1.) Konkreter Schadenseintritt erforderlich

Auf die erste Vorlagefrage hin stellte der Gerichtshof klar, dass ein begründeter Schadensersatz nicht aus einer bloßen Verletzung der DSGVO-Bestimmungen resultieren könne.

Vielmehr müsse eine Datenschutzverletzung auch in einem tatsächlichen Schaden resultieren.

Außerdem sei ein Kausalzusammenhang zwischen Datenschutzverletzung und Schaden erforderlich, die Verletzung müsse für den Schaden also gerade ursächlich sein.

Dass es sich beim Verstoß gegen eine DSGVO-Bestimmung einerseits und einen Schaden andererseits um unterschiedliche Anspruchsvoraussetzungen handle, ergebe bereits der Wortlaut des Art. 82 Abs. 2 DSGVO sowie aus den Erwägungsgründen 75 und 85.

2.) (Wohl) keine Erheblichkeitsschwelle für immaterielle Schäden

In Bezug auf die Rechtsfrage, inwiefern die Anerkennung eines immateriellen Schadens im Sinne der DSGVO von einer gewissen Erheblichkeit abhängt, positionierte sich der EuGH weniger eindeutig.

In Anlehnung daran, dass der Schadensbegriff in der DSGVO nicht definiert sei, der Unionsgesetzgeber aber ein weites Verständnis intendiert habe, könne nicht von dem Erfordernis einer gewissen Gewichtigkeit für eine Ersatzfähigkeit ausgegangen werden.

Anderenfalls bestünde die Gefahr einer heterogenen Handhabung des Schadensersatzanspruches in den verschiedenen Mitgliedsstaaten dadurch, dass angerufene Gerichte die Kriterien der Erheblichkeit und mithin die Anerkennung oder Ablehnung der Ersatzfähigkeit unterschiedlich bewerten würden.

An dem eigentlichen Kern der Fragestellung, ob bereits ein bloß aufgrund der Datenschutzverletzung empfundenes Ärgernis einen immateriellen Schaden begründen könne, manövrierten die Richter allerdings vorbei.

Eine Aussage dazu, ob bei schwachen und vorübergehenden Emotionen im Zusammenhang mit Verstößen gegen Vorschriften über die Datenverarbeitung bereits ein immaterieller Schaden anzunehmen sei, traf der EuGH nicht.

Dies ist insbesondere deswegen problematisch, weil er im selben Urteil Rechtsverletzung und Schaden zu zwei unterschiedlichen Anspruchsvoraussetzungen erklärte.

Ließe man aber auch Gefühle eines bloßen Ärgernisses, die einer Datenschutzverletzung immanent sein und natürlich durch diese hervorgerufen werden dürften, als immateriellen Schaden gelten, würde die Dualität der Anspruchsvoraussetzungen gerade wieder verwässert bzw. sogar aufgehoben.

Insofern sprach sich auch der EuGH-Generalanwalt in seinen Schlussanträgen vom 06.10.2022 dafür aus, bloße subjektive Unmutsgefühle als Resultate einer Datenschutzverletzung nicht als hinreichenden immateriellen Schaden anzusehen.

Auch in der deutschen Rechtsprechung ist anerkannt, dass ein immaterieller Schaden nur vorliegt, wenn dem Betroffenen ein spürbarer Nachteil entstanden ist, der aus einer objektiv nachvollziehbaren, mit gewissem Gewicht erfolgten Beeinträchtigung von persönlichkeitsbezogenen Belangen resultiert.

Inwiefern daran im Lichte der Entscheidung des EuGH noch festgehalten werden kann, bleibt abzuwarten.

Schließlich äußerte sich der EuGH nicht dazu, was überhaupt als „immaterieller Schaden“ anzuerkennen sei, sondern urteilte nur, dass die Ersatzfähigkeit eines Schadens – sofern einmal angenommen – nicht von dessen Erheblichkeit abhänge.

III. Fazit

Mit Urteil vom 04.05.2023 (Az. C-300/21) entschied der EuGH über die Anspruchsvoraussetzungen des DSGVO-Schadensersatzanspruchs und die Ersatzfähigkeit immaterieller Schäden.

Während das Gericht eindeutig feststelle, dass nicht bereits eine bloße Datenschutzverletzung zum Schadensersatz berechtige, sondern vielmehr durch die Verletzung auch ein konkreter und kausaler Schaden eingetreten sein müsse, wich es der sehr entscheidungserheblichen Frage danach, was als immaterieller Schaden anzuerkennen sei, aus.

Der EuGH urteilte insofern, dass die Ersatzfähigkeit eines immateriellen Schadens nicht von einer gewissen Erheblichkeit abhänge, hielt sich ob der Frage, inwiefern bereits ein bloßes Unmutsgefühl über eine erlittene Datenschutzverletzung die Annahme eines Schadens rechtfertigen könne, bedeckt.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.