Wann müssen Unternehmen wie Facebook oder Deezer Schadensersatz dafür leisten, wenn sie leichtfertig mit unseren personenbezogenen Daten umgehen und damit gegen die DSGVO verstoßen? Diese Frage ist bislang umstritten – nun wird der EuGH am 4. Mai Klarheit bringen. Was wird das bahnbrechende Urteil für Betroffene bedeuten?

By Cédric Puisney from Brussels, Belgium – European Court of Justice – Luxembourg, CC BY 2.0.

Der Europäische Gerichtshof (EuGH) wird am 4. Mai 2023 eine wegweisende Entscheidung zum immateriellen Schadensersatz nach Art. 82 Abs. 1 Datenschutzgrundverordnung (DSGVO) treffen (Rs. C-300/21). Konkret geht es um folgende drei Fragen, die der Oberste Gerichtshof (ÖOGH) dem EuGH (sinngemäß) gestellt hat (Beschl. v. 12.05.2021, Az. 6 Ob 35/21x):

  1. Reicht bereits die Verletzung der DSGVO, um Schadensersatz zuzusprechen, oder braucht es einen tatsächlichen Schaden?
  2. Macht das Unionsrecht weitere Vorgaben für diesen Schadensersatzanspruch?
  3. Muss für die Zuerkennung vom Schadensersatz eine Folge von zumindest einigem Gewicht vorliegen, die über bloßen Ärger hinausgeht?

Reicht Ärger über DSGVO-Verstoß für Schadensersatz?

Im Fall aus Österreich hatte die Post AG ohne Einwilligung Daten verarbeitet, um die politische Auffassung von Personen zu prognostizieren und diese Informationen dann weiterzuverkaufen. Ein Betroffener, dem eine Affinität zur rechtsnationalen FPÖ zugeschrieben wurde, verlangte deshalb 1000 Euro Schadensersatz. Die ihm zugeschriebene politische Affinität habe ihn sehr geärgert, er fühlte sich beschämt und bloßgestellt, außerdem sei sie kreditschädigend.

Der ÖOGH ist allgemein der Auffassung, dass es für den Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO einen konkreten und spürbaren Schaden braucht, der über die reine Verletzung von datenschutzrechtlichen Vorschriften hinausgeht. Um diese grundsätzliche Frage zu klären, hat er dem EuGH die drei oben genannten Fragen vorgelegt.

Hierzu hat der Generalanwalt Sánchez-Bordona die Auffassung vertreten, dass es einen tatsächlichen Schaden braucht, um Schmerzensgeld verlangen zu können. Die bloße Verletzung einer DSGVO-Vorschrift reiche nicht aus – ebenso wenig der bloße Ärger eines Betroffenen darüber. Es sei allerdings Aufgabe der nationalen Gerichte, herauszufinden, welcher Grad von subjektivem Unwohlseins ausreiche, um einen ersatzfähigen immateriellen Schaden anzunehmen. In jedem Fall müsse es sich um eine länger anhaltende Beeinträchtigung handeln.

Soforthilfe vom Anwalt

Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.

Wir sind bekannt aus

Uneinheitliche Rechtsauffassungen

Das österreichische Verfahren ist eines von neun Vorabentscheidungsersuchen nationaler Gerichte zu dieser Rechtsfrage.

Am Donnerstag, den 27. April, hat Generalanwalt Pitruzzella in seinen Schlussanträge in einem bulgarischen Verfahren folgende Meinung vertreten (Rs. C‑340/21): Der Schaden, der in der nachgewiesenen Befürchtung eines möglichen künftigen Missbrauchs der personenbezogenen Daten bestehe, könne einen immateriellen Schaden darstellen, der einen Schadensersatzanspruch begründe. Dies gelte aber nur, wenn es sich um einen realen und sicheren emotionalen Schaden und nicht nur um ein Ärgernis oder eine Unannehmlichkeit handele. In dem Verfahren geht es – ähnlich wie beim Facebook-Datenleck – um Schadensersatz wegen eines Hackerangriffs, durch den personenbezogene Daten ins Internet gelangten. Hierzu hat der Generalanwalt außerdem vorgetragen, dass der Verantwortliche für mutmaßliches Verschulden haften soll. Für eine Haftungsbefreiung müsse der Verantwortliche nachweisen, dass er für den Umstand, durch den der Schaden eingetreten ist, in keinerlei Hinsicht verantwortlich sei.

Auch vom Bundesarbeitsgericht (BAG) ist ein Verfahren beim EuGH anhängig (Az. des BAG: 8 AZR 253/20 (A)). Das BAG befürwortet hingegen eine sehr weite Auslegung des Schadensbegriffs, wonach jeder Verstoß gegen die Vorgaben der DSGVO zugleich einen ersatzfähigen immateriellen Schaden begründen soll. Die Haftung nach Art. 82 DSGVO setzt aus Sicht des BAG auch kein schuldhaftes Handeln voraus.

Bisher beurteilten die deutschen Gerichte diese Frage unterschiedlich. So auch in den zahlreichen Klagen zum Facebook-Datenleck, in denen wir tausende Mandanten vertreten und für sie 1000 Euro Schadensersatz erstreiten wollen.

Mögliche Konsequenzen der EuGH-Entscheidung

Wir halten es für unwahrscheinlich, dass der EuGH am 4. Mai der Auffassung des Generalanwalts im österreichischen Verfahren folgen wird. Zum einen widerspricht diese Auffassung dem Grundgedanken der DSGVO, die Rechte Betroffener umfassend vor rechtswidrigen Verarbeitungen zu schützen. So steht in Erwägungsgrund 146: „Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht.“ Außerdem „Die betroffenen Personen sollten einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten.“ Auch der generalpräventive Aspekt der DSGVO, datenverarbeitende Stellen von Rechtsverletzungen abzuhalten, würde verletzt. Die Auffassung des Generalanwalts entspricht hingegen offenbar dem rein wirtschaftlichen Gedanken, die Risiken für Unternehmen zu minimieren, wenn diese gegen die DSGVO verstoßen.

Auch das Ziel der DSGVO, die Rechtsprechung zum Schadensersatzrecht zu harmonisieren, würde unterminiert. Eine solche Rechtsprechung würde dazu führen, dass jedes nationale Gericht seine eigenen Kriterien aufstellen müsste, wann nun ein ersatzfähiger Schaden entstanden ist und wann nicht.

Sollte der EuGH dem Generalanwalt folgen, wäre das zwar ein Rückschlag für Betroffene. Dennoch würde das nicht bedeuten, dass sie nun schutzlos schweren Datenschutzverletzungen gegenüberstünden. Hier müssten die nationalen Gerichte zwar konkrete Kriterien für den immateriellen Schadensersatz entwickeln. Gerade in Fällen wie dem Facebook-Datenleck, in denen der Datenschutzverstoß Facebooks eine Vielzahl an Personen betraf, dürften aber weiterhin hohe Schadensersatzsummen in Betracht kommen. Denn als Opfer eines Datenlecks ärgert man sich nicht nur über den Rechtsverstoß, sondern läuft auch ganz tatsächlich Gefahr, Opfer von Kriminellen zu werden. In Erwägungsgrund 85 wird außerdem explizit der „Verlust der Kontrolle“ über personenbezogene Daten als möglicher Schaden genannt, gleichwertig neben etwa „Identitätsdiebstahl oder -betrug, unbefugter Aufhebung der Pseudonymisierung oder Rufschädigung. Tatsächlich klagen unsere Mandanten nicht nur über vermehrte Spam-Mails, sondern auch über Phishing-Mails oder Social Engineering-Angriffe.

Wir hoffen jedoch, dass diese Argumentation nicht notwendig sein wird. Nun hat der EuGH die Gelegenheit, das hohe Schutzniveau der DSGVO auch in der Praxis durchzusetzen, Betroffenen zu ihrem guten Recht zu verhelfen und Unternehmen, die zu sorglos mit Daten umgehen, zu besserem Datenschutz zu motivieren. Zudem besteht die Chance auf mehr Einheitlichkeit und Klarheit in der bislang sehr diffusen Rechtsprechung zum datenschutzrechtlichen Schadensersatz. So hat der EuGH die Gelegenheit, den nationalen Gerichten konkrete Anhaltspunkte an die Hand zu geben, nach denen sie bemessen können, wann und in welcher Höhe immaterieller Schadensersatz zugesprochen werden kann.

Wir werden über das EuGH-Urteil berichten.

ahe