Bloßer Verstoß gegen DSGVO kein Grund für Schadensersatz

Anfang Mai hat der Europäische Gerichtshof entschieden, dass der in der Datenschutzgrundverordnung vorgesehene Schadensersatzanspruch zwingend an drei Voraussetzungen geknüpft ist. Es muss ein Verstoß vorliegen, der aber auch einen Schaden verursacht hat. Und zwischen Verstoß und Schaden muss Kausalität vorhanden sein.
vom 7. Juli 2023
image

Ebenfalls entschieden hat der EuGH, dass es im Rahmen immaterieller Schäden nicht darauf ankommt, dass dieser erheblich ist. Die DSGVO liefere in dieser Hinsicht keinerlei Anhaltspunkte. Eine solche Beschränkung stünde außerdem mit dem vom Unionsgesetzgeber bewusst weit gewählten Verständnis des Begriffes „Schaden“ im Widerspruch. Der Urteilsspruch des Europäischen Gerichtshofes war mit Spannung erwartet worden, weil verschiedene Mitgliedstaaten und sogar die verschiedenen Gerichtsbarkeiten bis dato unterschiedliche Ansätze verfolgt hatten. Für einige reichte der bloße Verstoß gegen die DSGVO bereits aus, um einen Schadensersatzanspruch zu begründen, für andere nicht. „Die Wirtschaft hat sich außerdem seit längerem mit Fragen hinsichtlich des Umfangs des Schadensersatzes nach der Verordnung beschäftigen müssen, dies betraf in erster Linie den Bereich des immateriellen Schadens“, sagt Rebekka Weiß, Leiterin Vertrauen & Sicherheit beim Digitalverband Bitkom. „Bei Fehlentwicklungen können enorme und nicht tragbare Belastungen für die gesamte Wirtschaft entstehen.“ Entscheiden mussten die Richter in Luxemburg deshalb, weil der österreichische Gerichtshof den Fall eines klagenden Bürgers gegen die Österreichische Post bis zur Klärung wichtiger Rechtsfragen ausgesetzt und sich mit diesen an sie gewandt hatte. Die Post hatte Informationen aus der Bevölkerung gesammelt und politische Affinitäten einzelner Personen daraus abgeleitet. Unter Verwendung eines Algorithmus definierte sie anhand sozialer und demografischer Merkmale so genannte Zielgruppenadressen. An Dritte gab sie die Daten nicht weiter. Der Bürger wehrte sich gegen die Zuordnung zu einer bestimmten Partei. Wie er vor Gericht angab, sei er verärgert, fühle sich bloßgestellt und habe einen Vertrauensverlust erlitten. Aufgrund dieser vorgetragenen Beeinträchtigungen verlangte er Zahlung eines Schadensersatzes in Höhe von 1.000 Euro. Wie konnte es nun dazu kommen, dass im Falle des Verstoßes gegen die DSGVO an mancher Stelle kein Schadensnachweis zu führen war, um einen Anspruch gegen den Verletzer zu begründen? „Die unterschiedlichen Ansichten waren vor allem für die meisten deutschen Juristinnen und Juristen nicht nachvollziehbar, da Schadensersatzansprüche im deutschen Recht stets das Vorliegen eines – materiellen oder immateriellen – Schadens voraussetzen“, berichtet auch Felix Meurer, Rechtsanwalt und Associate bei der Sozietät Orth Kluth Rechtsanwälte. „Es ist aber so, dass andere Rechtsordnungen das Konzept des so genannten ‚Strafschadensersatzes‘ kennen – und dieses Prinzip wurde teilweise auch mit Blick auf die DSGVO-Ansprüche vertreten. Im Unionsrecht ist es allerdings die Ausnahme und der EuGH hat es auf dieser Grundlage nun auch abgelehnt.“ Dr. Jürgen Hartung, Partner bei Oppenhoff & Partner Rechtsanwälte, geht noch ein Stück weiter und sagt: „Meiner Meinung nach ist das dort, wo es vorgekommen ist, ein Versuch gewesen, die nationalen Grundsätze über das Europarecht auszuhebeln und auf das Trendthema Datenschutz aufzuspringen. Besonders das Thema Sanktionen für Unternehmen bei Verstößen gegen Datenschutz wurde mit Inkrafttreten der DSGVO hochgespielt.“ Bei den Bußgeldern nach Art. 83 und 84 der DSGVO sei eine Bestrafungs- und Lenkungsfunktion gegenüber Unternehmen durchaus gewollt. „Beim zivilrechtlichen Schadensersatz der einzelnen Betroffenen nach Art. 82 DSGVO geht es jedoch nicht um diese Funktion, sondern allein um eine Kompensation des Schadens – und das hat der EuGH jetzt bestätigt.“

Meurer

„Zur Begründung immaterieller Schadensersatzansprüche müssen Anspruchsteller nachweisen, dass sich die mit einer Datenverarbeitung einhergehenden Risiken tatsächlich realisiert haben.“

Felix Meurer
Associate,
Orth Kluth Rechtsanwälte Partnerschaftsgesellschaft

Wie der Nachweis des Schadens gelingt

 

Es herrscht nun also Klarheit, dass ein Schaden zwingend vorliegen muss, um einen Anspruch wegen Verstoßes gegen die DSGVO durchsetzen zu können. Der Nachweis immerhin muss gelingen. „Im Falle der Geltendmachung eines immateriellen Schadens ist die Orientierung an der Rechtsprechung zu den Verletzungen des Allgemeinen Persönlichkeitsrechts ein probates Mittel“, schätzt Prof. Dr. Dieter Kugelmann, Landesbeauftragter für den Datenschutz und die Informationsfreiheit in Rheinland-Pfalz. Ein Beispiel dafür ist, dass das Internet nichts vergisst – was dort einmal steht, ist nur schwer wieder herauszubekommen. „Dadurch ist ein Betroffener oder eine Betroffene im sozialen Geltungsanspruch beeinträchtigt“, so Kugelmann. „Bei einer rein psychischen Belastung können etwa ärztliche Atteste beziehungsweise Bestätigungen eine Rolle spielen oder auch der Nachweis vielfältiger Anstrengungen, mit dem ursächlichen Datenschutzverstoß umzugehen“, ergänzt Oppenhoff-Partner Hartung. Ein Positiv-Beispiel wäre hier die Darlegung eines Reputationsschadens durch Veröffentlichung sensitiver Gesundheitsdaten, die zu einer psychischen Belastung führen. Oder es gelingt der Nachweis des – zeitlichen und psychischen – Aufwands, der entsteht, wenn sich jemand nach Diebstahl seiner Kreditkarten- und Bankdaten um die Sperrung und Neuausgabe kümmern muss. „Ein Negativ-Beispiel ist sicherlich eine vereinzelt zugesandte unverlangte Werbe-E-Mail, die mit einem Klick gelöscht werden kann oder von der sich Empfänger ohne Weiteres abmelden können“, führt Hartung weiter aus. Eine weitere Voraussetzung, die Erheblichkeit des Schadens, lehnte der EuGH in seinem Urteil ab, übrigens entgegen der Auffassung des Generalanwalts Manuel Campos Sànchez-Bordona, der diese im Rahmen seines Schlussplädoyers noch forderte, wiewohl unter dem Hinweis, dass die Einführung einer Erheblichkeitsschwelle „schwierig“ wäre. Aus dem Wortlaut der DSGVO lässt sich diese Voraussetzung für einen Schadensersatzanspruch jedenfalls nicht entnehmen. „Woran sollte man eine Erheblichkeit festmachen?“, fragt Hartung. „Nur am Wert, selbst wenn es ein klarer und offensichtlicher Verstoß ist? An der Art der Beeinträchtigung?“ Für Felix Meurer würde die Annahme einer Erheblichkeitsschwelle nur „zu neuen Rechtsunsicherheiten führen und darüber hinaus dem Ziel der DSGVO, ein hohes Datenschutzniveau in der Union zu gewährleisten, entgegenstehen.“ Ähnlich sieht das auch Dieter Kugelmann: „Es ist gut, auf eine Tatbestandsvoraussetzung der Erheblichkeit zu verzichten. Das hätte möglicherweise zu einer uneinheitlichen Auslegung innerhalb der Europäischen Union geführt, weil man beispielsweise in Schweden darunter etwas anderes versteht als in Griechenland. Der EuGH muss aber an einheitlichen Regeln interessiert sein und insofern die Harmonisierungswirkung der DSGVO hochhalten.“ Nicht ganz glücklich zeigt sich Bitkom-Vertreterin Rebekka Weiß. „Durch die Ablehnung eines Schadens in jedem Fall des DSGVO-Verstoßes hat der EuGH klar- und sichergestellt, dass der immaterielle Schadensersatz nicht völlig ausufert. Eine gewisse Spürbarkeitsschwelle hätte aus unserer Sicht dennoch festgelegt werden sollen. Nun sind alle Anwender wieder darauf angewiesen, dass die Auslegung der Schadensnormen unter Heranziehung des nationalen Rechts ausbalanciert wird.“

Hartung

„Im Endeffekt obliegt es den nationalen Gerichten, mit der Zeit entsprechende Anforderungen für den Nachweis aufzustellen, die die Geltendmachung von trivialen Schäden unattraktiv machen.“

Dr. Jürgen Hartung
Partner,
Oppenhoff & Partner Rechtsanwälte Steuerberater

Schadensbemessung bleibt offen

 

Dass sich der europäische Gesetzgeber noch einmal näher mit den Voraussetzungen eines Schadensersatz auslösenden Verstoßes im Sinne des Art. 82 DSGVO beschäftigt, ist unwahrscheinlich. „Schon bei der letzten Evaluation hat die Kommission gesagt, dass sie keine Änderungen bei den inhaltlichen Vorschriften plant. Weder sie, die den entsprechenden Vorschlag einreichen müsste, noch das Parlament, haben ein Interesse daran“, berichtet Kugelmann. Mit einer jetzt einsetzenden Klagewelle ist auch nicht zu rechnen. Oppenhoff-Anwalt Hartung denkt zwar an die Einführung der Verbandsklage und daran, dass Anwaltskanzleien und Legal-Tech-Unternehmen auf die Idee kommen könnten, bei massenhaften Verstößen auch kleinere Summen einzuklagen, die sonst wegen einer Erheblichkeitsschwelle wenig Aussicht auf Erfolg gehabt hätten. „Gerade hier wird aber die Anforderung des EuGH zur Darlegung und Nachweis eines konkreten Schadens als Verteidigungsstrategie eingreifen: Standard-Textbausteine ohne Berücksichtigung der individuellen Beeinträchtigungen, auf denen Massenklagen derzeit häufig basieren, werden nicht ausreichen.“ Auch Kugelmann betont die hohe Individualbezogenheit bei immateriellen Ansprüchen und zeigt sich auch im Hinblick auf die möglicherweise zu erzielenden Schadenssummen entspannt. Wenn wenige tausend Euro im Raum stehen, werden viele im Hinblick auf Prozessrisiko und Erfolgsaussichten schon abwägen, ob das die Sache wirklich wert ist. Bleibt die Frage offen, wie die Höhe des Schadensersatzes zu bemessen ist. Und diese Frage hat auch der EuGH vollkommen offen und unbeantwortet gelassen. Er wies bei seiner Entscheidung lediglich darauf hin, dass die Bemessung mangels einschlägiger DSGVO-Vorschriften Sache der Mitgliedstaaten und der dortigen Gerichte ist. Meurer kritisiert das: „Begriffe im EU-Recht, wie der Begriff des Schadens in der DSGVO, müssen unionsweit autonom und einheitlich ausgelegt werden – was unmittelbare Aufgabe des EuGH ist. Sie können grundsätzlich nicht mitgliedstaatlichem Verständnis überlassen bleiben.“ Das, was als Argument beim Verzicht auf die Erheblichkeit plausibel erscheint, unterlässt das Gericht an dieser Stelle. Die Konsequenz liegt auf der Hand: Es wird in den einzelnen Staaten – und in den Gerichtsbarkeiten – zu sehr unterschiedlichen Auslegungen kommen. Dass sich eine einheitliche Rechtsprechung zur Bemessung des Schadensersatzes selbst bei den deutschen Gerichten nicht über Nacht einstellen wird, befürchtet auch Jürgen Hartung. „Im Moment scheinen uns etwa die Arbeitsgerichte teilweise sehr großzügig Schadensersatz zuzusprechen, wobei dies häufig einer Gemengelage mit anderen Ansprüchen im Rahmen von Kündigungsschutzprozessen zuzuschreiben ist.“ Zivilgerichte seien hingegen größtenteils eher zurückhaltend. Zwar existieren seit geraumer Zeit Regeln und Gepflogenheiten bei der Bemessung immateriellen Schadensersatzes und Äquivalenz- und Effektivitätsgrundsatz sind Leitlinien. „Ohne Vergleich mit dem von anderen Gerichten angewandten Prinzipien wäre dies allein jedoch schwerlich ausreichend.“ Deshalb dürfe man gespannt sein, „ob sich der EuGH bei unterschiedlicher Anwendung durch nationale Gerichte nicht doch noch einmal mit der Frage der richtigen Bemessung auseinandersetzen muss.“

Was können Unternehmensjuristen tun?
 
Zwar liegt nun eine Entscheidung des EuGH vor, die auch eine Orientierung ermöglicht. Dennoch sind einige Aspekte nach wie vor unklar, was insbesondere für die Unternehmen unbefriedigend ist. Wie können sich Unternehmensjuristinnen und -juristen auf die neue Situation einstellen? In erster Linie müssen sie aufmerksam die Entwicklungen in der Rechtsprechung beobachten. Prof. Dr. Kugelmann empfiehlt darüber hinaus, hypothetische Schadensszenarien durchzuspielen, denkbare Verstöße gegen die DSGVO und Schäden zu identifizieren, die Kausalität zu prüfen und daraus Verhaltensweisen und Maßnahmen abzuleiten. „Es sind zwar nur Trockenübungen, sie können aber auf den Fall der Fälle die richtige Vorbereitung sein.“
 
Alexander Pradka
Beitrag von Alexander Pradka

Dies könnte Sie auch interessieren

Twitter Illustrations The X app, formerly Twitter is seen on the Apple App Store is seen in this photo illustration on 1
Hätte, hätte, Lieferkette
Kinderarbeit, Ausbeutung und Naturzerstörung in der globalen Produktion von Waren 
verhindern – das ist das Ziel des EU-Lieferkettengesetzes. Ob es wirklich...
Twitter Illustrations The X app, formerly Twitter is seen on the Apple App Store is seen in this photo illustration on 1
Kräfte bündeln auf Informationsbasis
206 Milliarden Euro Schaden entstehen laut Angaben des Digitalverbandes Bitkom jährlich der 
deutschen Wirtschaft infolge von Sabotage, Spionage und Datendiebstahl....
Top Earning Brand Illustrations The Dyson logo is seen in this photo illustration on 23 November, 2023 in Warsaw, Poland
EU
Dyson scheitert mit Schadensersatzklage gegen EU-Kommission
Endgültig zurückgewiesen hat der Europäische Gerichtshof die Schadensersatzklage des Staubsaugerherstellers Dyson gegen die Europäische Kommission. Anlass...