Schadensersatzanspruch bei DSGVO-Verstoß: EuGH-Linie festigt sich

Der EuGH hat bereits mehrfach zu den Voraussetzungen des Schadensersatzanspruchs nach Art. 82 DSGVO und insbesondere den Voraussetzungen für einen immateriellen Schadensersatz entschieden. Mit den letzten Urteilen hierzu festigt sich die bisherige Linie zunehmend. Wir werfen dafür einen besonderen Blick auf seine Urteile aus April und Juni 2024. Im Ergebnis: Immaterieller Schadensersatz hängt nicht davon ab, dass gestohlene Daten tatsächlich zum Identitätsbetrug verwendet wurden, es ist auch keine besondere Erheblichkeit des Schadens erforderlich. Der eingetretene Schaden muss aber vom Betroffenen konkret nachgewiesen werden.

Ausgangsverfahren 1: Juris

Das Landgericht (LG) Saarbrücken legte dem EuGH im Wege des Vorabentscheidungsverfahrens mehrere Fragen zu den Voraussetzungen und der Berechnung des Schadensersatzanspruchs nach Art. 82 DSGVO vor (Rs. C-741/21).

In dem Ausgangsverfahren vor dem LG Saarbrücken machte der Kläger, ein niedergelassener Rechtsanwalt, gegen die juris GmbH einen Anspruch auf Schadensersatz aus Art. 82 DSGVO geltend. Der Kläger war Kunde der juris GmbH, die eine juristische Datenbank betreibt. Nachdem der Kläger erfahren hatte, dass die juris GmbH seine personenbezogenen Daten auch für Zwecke der Direktwerbung nutzte, widerrief er seine Einwilligungen zum Erhalt von Informationen per E-Mail und Telefon und widersprach jeglicher Verarbeitung dieser Daten mit Ausnahme des Versands von Newslettern, die er weiterhin beziehen wollte. Dennoch erhielt der Kläger mehrfach Werbeschreiben, in denen er namentlich angeschrieben wurde, an seine Geschäftsadresse. Auch nachdem er die juris GmbH daraufhin auf seinen Widerspruch und die Rechtswidrigkeit der Verarbeitung seiner Daten hingewiesen und Schadensersatz gefordert hatte, erhielt er im Anschluss ein weiteres Werbeschreiben. Er erklärte daraufhin noch einmal seinen Widerspruch. Jedes dieser Werbeschreiben enthielt dabei einen persönlichen Code, der zu einer Bestellmaske auf der Website der juris GmbH führte, die Angaben zur Person des Klägers enthielt.

Der Kläger machte in dem Ausgangsverfahren den Ersatz seines materiellen Schadens, der ihm durch die Rechtsverfolgung entstanden ist, sowie seines immateriellen Schadens geltend. Das LG Saarbrücken hielt es für seine Entscheidungsfindung für erforderlich, dem EuGH Fragen zu den Voraussetzungen des Schadensersatzanspruchs, zur Zurechnung von Handlungen unterstellter Personen sowie zur Schadensberechnung zu stellen.

Voraussetzungen des Schadensersatzes nach Art. 82 DSGVO bei immateriellen Schäden

In seiner ersten Frage wollte das LG Saarbrücken wissen, ob der Begriff des immateriellen Schadens im Hinblick auf Erwägungsgrund 85 und 146 Satz 3 DSGVO in dem Sinne zu verstehen ist, dass er jede Beeinträchtigung der geschützten Rechtsposition erfasst, unabhängig von deren sonstigen Auswirkungen und deren Erheblichkeit.

Nach dem die juris GmbH die Zulässigkeit der Frage zunächst gerügt hat, stellte der EuGH zunächst fest, dass es allein Sache des vorlegenden Gerichts ist, die Erforderlichkeit einer Vorabentscheidung für den Erlass seines Urteils zu beurteilen. Dies gilt auch für die Erheblichkeit der Fragen, die es dem Gerichtshof vorlegt, wobei eine Vermutung für die Entscheidungserheblichkeit gilt. Der EuGH ist somit grundsätzlich gehalten über die ihm vorgelegten Fragen zu entscheiden. Etwas anderes gilt nur, wenn die erbetene Auslegung offensichtlich in keinem Zusammenhang mit den Gegebenheiten oder dem Gegenstand des Ausgangsrechtsstreits steht, das Problem hypothetischer Natur ist oder der EuGH nicht über die tatsächlichen und rechtlichen Angaben verfügt, die für eine zweckdienliche Beantwortung der Fragen erforderlich sind. All dies war vorliegend jedoch nicht der Fall.

Bezüglich der ersten Frage führte der EuGH sodann aus, dass der bloße Verstoß gegen die DSGVO nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Es ist vielmehr erforderlich, dass der Kläger, der auf Grundlage von Art. 82 Abs. 1 DSGVO den Ersatz eines immateriellen Schadens verlangt, nicht nur den bloßen Verstoß gegen die Bestimmungen der DSGVO nachweist, sondern auch, dass ihm durch diesen Verstoß ein Schaden entstanden ist. Allerdings darf der Ersatz eines nachgewiesenen immateriellen Schadens nicht davon abhängig gemacht werden, dass der Schaden einen gewissen Schweregrad erreicht hat. Der EuGH weist auch darauf hin, dass Erwägungsgrund Nr. 85 der DSGVO ausdrücklich den „Verlust der Kontrolle“ zu den Schäden zählt, die durch eine Verletzung personenbezogener Daten verursacht werden können. Der EuGH knüpft damit an seine bisherige Rechtsprechung zum immateriellen Schadensersatz an (siehe dazu hier). Es ist somit erforderlich, aber auch ausreichend, dass die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat.

Verantwortlicher trägt Beweislast für Exkulpation

Mit seiner zweiten Frage möchte das LG Saarbrücken wissen, ob es für eine Befreiung des Verantwortlichen von seiner Haftung nach Art. 82 Abs. 3 DSGVO ausreicht, dass er geltend macht, dass der in Rede stehende Schaden durch ein Fehlverhalten einer ihm im Sinne von Art. 29 DSGVO unterstellten Person verursacht wurde.

Der EuGH hat dies verneint. Für eine Befreiung genügt es nicht, wenn der Verantwortliche nachweist, dass er den ihm im Sinne von Art. 29 dieser Verordnung unterstellten Personen Weisungen erteilt hat, welche nicht befolgt wurden damit zum Eintritt des in Rede stehenden Schadens beigetragen wurde. Die Haftungsbefreiung nach Art. 82 Abs. 3 DSGVO kann dem Verantwortlichen nur zugutekommen, wenn er nachweist, dass es keinerlei Kausalzusammenhang zwischen der etwaigen Verletzung der ihm nach der DSGVO obliegenden Pflichten und dem der betroffenen Person entstandenen Schaden gibt.

Höhe des Schadensersatzanspruchs hängt vom Schaden ab

Mit seiner dritten und vierten Frage, die der EuGH zusammen prüft, möchte das LG Saarbrücken zum einen wissen, ob bei der Bemessung des immateriellen Schadenersatzes eine Orientierung an den in Art. 83 DSGVO, insbesondere Art. 83 Abs. 2 und Abs. 5 DSGVO, genannten Zumessungskriterien erlaubt bzw. geboten ist. Zum anderen soll der EuGH beantworten, ob zu berücksichtigen ist, dass die Person, die Schadenersatz verlangt, von mehreren Verstößen gegen die Verordnung betroffen ist, die sich auf denselben Verarbeitungsvorgang beziehen.

Beide Fragen verneinte der EuGH. Die in Art. 83 DSGVO vorgesehenen Kriterien für die Festsetzung des Betrags von Geldbußen sind nicht entsprechend anzuwenden. Zu berücksichtigen ist auch nicht, dass die Person, die Schadenersatz verlangt, von mehreren Verstößen gegen die Verordnung betroffen ist, die sich auf denselben Verarbeitungsvorgang beziehen. Der EuGH stellte fest, dass die DSGVO selbst keine Bestimmungen zur Bemessung des Schadensersatzanspruchs enthält und insofern von den nationalen Gerichten grundsätzlich die innerstaatlichen Vorschriften anzuwenden sind, sofern diese die unionsrechtlichen Grundsätze der Äquivalenz und Effektivität beachten. In diesem Zusammenhang hebt der EuGH hervor, dass der Schadensersatz nach Art. 82 DSGVO, anders als die Bußgeldbestimmungen nach Art. 83 DSGVO, keine Straf- sondern eine Ausgleichsfunktion hat. Daraus hat der EuGH abgeleitet, dass die Schwere des Verstoßes gegen die DSGVO, durch den der jeweilige Schaden entstanden ist, sich nicht auf die Höhe des Schadenersatzes auswirken kann. Deshalb kann auch der Umstand, dass der Verantwortliche mehrere Verstöße gegenüber derselben betroffenen Person begangen hat, nicht als relevantes Kriterium für die Bemessung des dieser Person gemäß Art. 82 dieser Verordnung zu gewährenden Schadenersatzes herangezogen werden.

Ausgangsfall 2: Scalable

Der immaterielle Schadensersatz nach der DSGVO ist beim EuGH ein beliebtes Thema: In einem weiteren Vorabentscheidungsverfahren beschäftigte er sich erneut mit den Voraussetzungen des Art. 82 DSGVO (verb. Rs. C-182/22 und C-189/22). Konkret wurde in diesen Scalable-Verfahren gefragt, ob ein Identitätsdiebstahl i.S.d. Erwägungsgrund 75 DSGVO vorliegt, wenn Straftäter über Daten verfügen, die den Betroffenen identifizieren oder ob ein Anspruch auf Schadensersatz erst begründet ist, wenn sich Straftäter tatsächlich als die betroffene Person ausgegeben haben.

Es geht bei den durch das AG München vorgelegten Fragen um zwei weitgehend vergleichbare Klagen gegen das Unternehmen Scalable Capital GmbH („Scalable“). Die beiden Kläger haben bei einer von der Scalable betriebenen Trading-App ein Nutzerkonto angelegt und zur Identifizierung personenbezogene Daten wie Name, Geburtsdaten sowie digitale Kopien ihrer Personalausweise hinterlegt. Diese Daten konnten von unbekannten Straftätern gestohlen werden. Das AG München war der Auffassung, dass den Klägern grundsätzlich ein Schadensersatz nach Art. 82 DSGVO zusteht. Um die Höhe des zu gewährenden Schadensersatzanspruchs zu bestimmen, hat das AG München das Verfahren ausgesetzt und dem EuGH Fragen zur Auslegung von Art. 82 DSGVO vorgelegt. Die Schlussanträge des Generalanwalts Collins zu diesem Verfahren haben wir bereits in unserem Newsletter vorgestellt. Diesen schließt sich der EuGH an und entschied:

  • Der Begriff „Identitätsdiebstahl“ ist nur dann erfüllt, wenn ein Dritter die Identität einer Person, die von einem Diebstahl personenbezogener Daten betroffen ist, tatsächlich angenommen hat.
  • Der Ersatz eines immateriellen Schadens, der durch den Datendiebstahl verursacht wurde, darf allerdings nicht auf die Fälle beschränkt werden, in denen nachgewiesen wird, dass der Datendiebstahl zu einem Identitätsdiebstahl oder -betrug geführt hat. Der Betroffene muss mithin den vollen Schadensbeweis führen.

Fazit

Die Rechtsprechungslinie des EuGH festigt sich zunehmend. Ein DSGVO-Verstoß kann zu einem zu ersetzenden immateriellen Schaden führen, der für einen Ersatzanspruch auch nicht erheblich sein muss. Exkulpieren können sich Verantwortliche nur, wenn sie nachweisen, dass sie keinerlei Verschulden trifft. Allerdings ist dieser Schaden vom Betroffenen konkret und detailliert nachzuweisen, ihn trifft die volle Beweislast dafür. Allgemein behauptete „Sorgen“ oder „Ängste“ reichen nicht. Bei Fragen hierzu melden Sie sich immer sehr gerne bei uns!