In einem denkwürdigen Dreiklang hat der EuGH Anfang Mai verschiedene, für den Datenschutz wegweisende, Urteile gefällt (wir berichteten). In diesem Beitrag soll es um das Urteil des EuGH in der Rechtssache C-300/21 gehen, das sich mit den Voraussetzungen eines Schadensersatzanspruchs nach der DSGVO beschäftigt.
Politische Vorlieben, gesammelt durch die Post, führten zu Ärgernis und gefühlter Bloßstellung
Hintergrund des Urteils sind Vorlagefragen des Obersten Gerichtshofs von Österreich (OGH). Die Österreichische Post AG sammelte Informationen über politische Vorlieben der Bevölkerung und leitete aus den Daten für bestimmte Bürger bestimmte Affinitäten zu bestimmten Parteien ab. Ein betroffener Bürger beschwerte sich über die Zuordnung seiner Person zu einer bestimmten Partei. Dies sei ein „großes Ärgernis und […] ein Gefühl der Bloßstellung“ seiner Person. Als Schmerzensgeld verlangte er vor den österreichischen Gerichten einen Betrag in Höhe von 1.000 Euro von der Post.
Der OHG fragte in diesem Zusammenhang den EuGH, ob neben einer Verletzung der DSGVO auch ein Schaden erforderlich ist und ob die Folge einer Rechtsverletzung von einigem Gewicht vorliegen muss (Entscheidung vom 15.04.2021, GZ: 6Ob35/21x).
Voraussetzungen für einen Schadensersatzanspruch
Der EuGH nannte für die Entstehung eines Schadensersatzanspruchs drei Voraussetzungen, die alle vorliegen müssen (siehe Rn 36):
- Die Verarbeitung personenbezogener Daten unter Verstoß gegen die DSGVO,
- ein entstandener Schaden für die betroffene Person und
- ein Kausalzusammenhang zwischen rechtswidriger Verarbeitung und dem entstandenen Schaden.
Der EuGH ließ sich hierbei vom Wortlaut der DSGVO leiten. Die DSGVO spreche in Art. 82 Abs. 1 im ersten Satz von „Schäden“ und in ErwG 85 davon, dass die Verletzung des Schutzes personenbezogener Daten einen Schaden nach sich ziehen könne. Daraus ergibt sich nach dem EuGH, dass die Entstehung eines Schadens keine zwingende Folge eines Datenschutzverstoßes ist. Es muss ein kausaler Zusammenhang vorhanden sein, was bedeutet, dass der Verstoß gegen die DSGVO die Ursache für einen eingetretenen Schaden sein muss. Zugleich weist der EuGH darauf hin, dass die betroffene Person den Nachweis für einen immateriellen Schaden erbringen muss.
Keine Erheblichkeitsschwelle für einen Schaden
Zur Erheblichkeit eines Schadens stellte der EuGH ausdrücklich fest, dass nach dem Wortlaut des Art. 82 Abs. 1 DSGVO keine Erheblichkeitsschwelle für einen Anspruch auf Schadensersatz erforderlich ist. Es stünde im Widerspruch zu dem vom Gesetzgeber weiten Verständnis des Begriffs „Schaden“, wenn der Begriff durch eine Erheblichkeitsschwelle eingeschränkt wäre.
Bemessung des Schadens ist Sache der Mitgliedstaaten
Außerdem fragte der OGH, ob für die Bemessung des Schadensersatzes neben den Grundsätzen der Effektivität und Äquivalenz weitere europarechtliche Vorgaben bestehen.
Der Grundsatz der Äquivalenz meint, dass bei Vollzug von Unionsrecht in den Mitgliedstaaten unionsrechtlich gelagerte Sachverhalte nicht schlechter behandelt werden dürfen als nationale Sachverhalte. Bei dem Grundsatz der Effektivität (effet utile) geht es um den Anwendungsvorrang des Europarechts vor dem nationalen Recht, damit die Vertragsziele der Europäischen Union (bspw. der gemeinsame Binnenmarkt) erreicht werden können.
Der EuGH stellte fest, dass die DSGVO keine Regelungen zur Bemessung des Schadensersatzes enthalte. Dies sei Sache der Mitgliedstaaten, die dabei aber die oben genannten Grundsätze berücksichtigen müssen. Der EuGH wies hier lediglich darauf hin, dass der ErwG 146 besagt, dass die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten sollen.
Licht und Schatten für die Unternehmen
Für Unternehmen ist es zu begrüßen, dass ein Datenschutzverstoß nicht gleichzeitig einen Schaden beinhaltet und eine Kausalität zwischen Verstoß und Schaden erforderlich ist. Die verspätete Auskunft nach Art. 15 DSGVO dürfte daher in Zukunft nur schwer als Schaden anerkannt werden. Ebenso dürfte der Hinweis auf die Beweislast bei der betroffenen Person dazu führen, dass das pauschale Vorbringen von Unwohlsein und Ärgernis als Schaden im Prozess kaum erfolgsversprechend sein wird.
Problematisch wird die Ablehnung einer Erheblichkeitsschwelle sein. In Hinblick auf die EU-Verbandsklage, deren Regelungen ab dem 25.06.2023 angewendet werden müssen, eröffnet sich für sog. qualifizierte Verbraucherverbände und qualifizierte Einrichtungen (wie z. B. Verbraucherzentralen) die Möglichkeit, Ansprüche von Verbrauchern vor Gericht zu vertreten, ohne, dass diese selbst klagen müssen. Inwieweit dies bei Schmerzensgeldansprüchen relevant wird, bleibt abzuwarten. Die Hürde des Nachweises eines immateriellen Schadens ist nicht zu unterschätzen. Die Stiftung Warentest bietet z. B. wegen einer Datenpanne bei Facebook einen Musterbrief zur Erlangung von Schadensersatz für betroffene Personen an, macht aber gleichzeitig deutlich, dass der Erfolg nicht garantiert ist. Dazu verweist sie auf das Landgericht Bielefeld (Urteil vom 19.12.2022, Az.: 8 O 182/22), welches eine Klage eines betroffenen Facebook-Nutzers abwies. Das Gericht habe nicht erkennen können, dass der Kläger wegen der Veröffentlichung seiner Mobilnummer aufgrund eines Datenabflusses hilflos gewirkt oder Sorgen oder Ängste gehabt habe. Zu erkennen sei lediglich ein verständlicher Ärger gewesen. Ärger reicht aber für Schmerzensgeld nicht aus.
Ob ein Massenverfahren im Bereich des Schmerzensgeldes daher praktikabel ist, da jede Person „Schmerzen“ auch subjektiv empfindet, ist fraglich.
Ähnliches gilt bei einzelnen Massenabmahnern. Hier darf man wohl eher die Gewinnmaximierung im Vordergrund sehen und nicht die Erfüllung der Genugtuungsfunktion des Schmerzensgeldes.
Am Ende des Tages werden die Hürden für Schmerzensgeldansprüche durch den EuGH höhergeschraubt worden sein, was für mehr Rechtssicherheit gesorgt hat.