22. August 2023Datenschutz
Auf einen Blick: Relevante Entscheidungen des EuGH zum Datenschutzrecht
Um angemessen auf aktuelle Entwicklungen im Datenschutzrecht reagieren zu können, ist es essenziell, die relevante Rechtsprechung des Europäischen Gerichtshofs (EuGH) im Auge zu behalten. Diese bietet wichtige Einblicke und Orientierung für den Umgang mit Datenschutzfragen und entwickelt sich kontinuierlich weiter. Gerade bei der Auslegung von autonomen Begriffen nach der Datenschutz-Grundverordnung (DSGVO) betont der EuGH auch stets, dass diese in allen Mitgliedstaaten einheitlich entsprechend den Vorgaben des EuGH ausgelegt werden müssen. Der EuGH hat insoweit über die letzten Jahre bereits eine Reihe wegweisender Urteile gefällt, die die Auslegung und Anwendung der DSGVO in den Mitgliedsstaaten maßgeblich beeinflusst haben.
Im Folgenden werden die aktuell bedeutendsten aktuellen Entscheidungen des EuGH im Bereich des Datenschutzrechts vorgestellt, wobei der neueste Beitrag stets oben angeführt wird.
Diese Entscheidungen betreffen verschiedenste Aspekte des Datenschutzes, wie beispielsweise die Übermittlung personenbezogener Daten in Drittländer, die Rechte betroffener Personen und die Verantwortlichkeiten von Unternehmen im Umgang mit personenbezogenen Daten. Es ist für Unternehmen und Organisationen ratsam, über die aktuellen Entwicklungen in der EuGH-Rechtsprechung informiert zu sein, um Prozesse und Praktiken entsprechend anzupassen und mögliche rechtliche Risiken minimieren zu können.
Sie haben Fragen zu aktuellen EuGH-Entscheidungen und benötigen datenschutzrechtliche Unterstützung? Zögern Sie nicht, uns zu kontaktieren.
Aktuelle Entscheidungen des EuGH zum Datenschutzrecht im Überblick
EuGH-Urteil vom 4. Juli 2023 – C-252/21: Prüfung von Datenschutzvorschriften bei Wettbewerbsuntersuchungen (Meta u. Facebook)
Der EuGH entschied in einem durch das OLG Düsseldorf angestrebten Vorabentscheidungsverfahren verschiedene Vorlagefragen, unter anderem zu den Kompetenzen nationaler Wettbewerbsbehörden in Bezug auf die Beurteilung datenschutzrechtlicher Fragestellungen. Hintergrund des Verfahrens vor dem OLG Düsseldorf war eine Abstellungsverfügung des Bundeskartellamtes gegen Meta Platforms, Meta Platforms Ireland und Facebook Deutschland, die unter Berufung auf Verstöße gegen die DSGVO die Ausnutzung einer marktbeherrschenden Stellung gem. §§ 19, 32 GWB feststellte. Grund der Verfügung war, dass Nutzer:innen zur Anmeldung auf Facebook sowohl den Nutzungsbedingungen als auch den Richtlinien zur Verwendung von Daten und Cookies zustimmen mussten. Diese wiederum sahen vor, dass Meta bzw. Facebook die Aktivitäten der Nutzer:innen sowohl innerhalb als auch außerhalb der Plattform trackte und diese „Off-Facebook-Daten“ bestehenden Konten zuordnete, um darauf basierend personalisierte Werbung auszuspielen. Facebook klagte gegen die Abstellungsverfügung vor dem OLG Düsseldorf.
Zusammenfassend hat der EuGH Folgendes entschieden:
1. DSGVO-Prüfung durch Wettbewerbsbehörden:
Nationale Kartellbehörden können sich im Rahmen von wettbewerbsrechtlichen Verfahren auch auf datenschutzrechtliche Verstöße stützen, so durfte das Bundeskartellamt etwa im vorliegenden Fall den durch Meta begangenen DSGVO-Verstoß als Indiz für eine marktbeherrschende Stellung im Sinne des GWB heranziehen. Die Kartellbehörden trifft hierbei allerdings eine Pflicht zur Abstimmung mit den Datenschutzaufsichtsbehörden sowie zur Loyalität, eine rechtliche Einschätzung der Aufsichtsbehörden hat für die Kartellbehörden Bindungswirkung. Die Auferlegung datenschutzrechtlicher Sanktionen und das Treffen „verbindlicher“ Entscheidungen steht ausschließlich den zuständigen Datenschutzaufsichtsbehörden zu.
2. Verarbeitung besonderer Kategorien personenbezogener Daten:
Auch etwa Log-Daten von Nutzer:innen beim Besuch von Websites oder Apps können wohl als Verarbeitung besonderer Kategorien personenbezogener Daten i.S.d. Art. 9 Abs. 1 DSGVO betrachtet werden, etwa beim Besuch von Dating- oder gesundheitsbezogenen Seiten. Konkret kann laut EuGH eine entsprechende Verarbeitung schon dann vorliegen, wenn „Daten über den Aufruf der fraglichen Websites oder Apps solche Informationen offenbaren [können], ohne dass die Nutzer dort Informationen eingeben müssten, indem sie sich registrieren oder Online-Bestellungen aufgeben“. Der bloße Besuch einer Website stellt dabei kein „offensichtliches Öffentlichmachen“ i.S.d. Art. 9 Abs. 2 lit. e DSGVO dar, damit gilt auch diese Ausnahmebestimmung des Generalverbots in Art. 9 Abs. 1 DSGVO nicht.
3. Art. 6 Abs. 1 lit. b, f DSGVO:
Die Verarbeitung personenbezogener Daten für personalisierte Werbung aufgrund eines berechtigten Interesses durch Meta war in der oben beschriebenen Konstellation nicht zulässig, dies gelte trotz der Finanzierung von Facebook durch ebendiese personalisierte Werbung. Trotz der aktuellen Entscheidung bleibt die Möglichkeit personalisierter Werbung auf Basis legitimer Interessen wohl grundsätzlich weiter bestehen. Dies sollte zumindest dort gelten, wo der Verantwortliche nach sorgfältig erfolgter Interessenabwägung ein berechtigtes Interesse nachweisen kann.
Soll eine Verarbeitung auf Art. 6 Abs. 1 lit. b DSGVO erfolgen, schärft der EuGH die Voraussetzung der „Erforderlichkeit [der Verarbeitung] für die Vertragserfüllung“ dahingehend, dass eine entsprechende Verarbeitung tatsächlich „objektiv unerlässlich“ für die Erfüllung des Vertrages sein müsse. Das Gericht macht zudem klar, dass Art. 6 Abs. 1 lit. f DSGVO keine taugliche Rechtsgrundlage für die Informierung von Strafverfolgungs- und Vollstreckungsbehörden darstellt, sofern es sich bei den Verantwortlichen um „private Wirtschaftsteilnehmer“ handelt.
4. Einwilligung gegenüber marktbeherrschenden Unternehmen:
Eine Einwilligung kann grundsätzlich auch von marktbeherrschenden Unternehmen eingeholt werden, auch sie können Verarbeitungen also zumindest theoretisch auf Art. 6 Abs. 1 lit. a DSGVO stützen. Es sollte allerdings sorgfältig geprüft werden, ob die betroffene Person diese auch tatsächlich freiwillig abgeben konnte. Hierbei ist insbesondere zu berücksichtigen, dass Umstände wie das Innehaben einer „marktbeherrschenden Stellung“ dazu führen können, dass die “ betroffene Person nicht über eine echte Wahlfreiheit verfügt oder nicht in der Lage ist, ihre Einwilligung zu verweigern oder zu widerrufen, ohne Nachteile zu erleiden“.
Zusammenfassend hat der EuGH Folgendes entschieden:
1. DSGVO-Prüfung durch Wettbewerbsbehörden:
Nationale Kartellbehörden können sich im Rahmen von wettbewerbsrechtlichen Verfahren auch auf datenschutzrechtliche Verstöße stützen, so durfte das Bundeskartellamt etwa im vorliegenden Fall den durch Meta begangenen DSGVO-Verstoß als Indiz für eine marktbeherrschende Stellung im Sinne des GWB heranziehen. Die Kartellbehörden trifft hierbei allerdings eine Pflicht zur Abstimmung mit den Datenschutzaufsichtsbehörden sowie zur Loyalität, eine rechtliche Einschätzung der Aufsichtsbehörden hat für die Kartellbehörden Bindungswirkung. Die Auferlegung datenschutzrechtlicher Sanktionen und das Treffen „verbindlicher“ Entscheidungen steht ausschließlich den zuständigen Datenschutzaufsichtsbehörden zu.
2. Verarbeitung besonderer Kategorien personenbezogener Daten:
Auch etwa Log-Daten von Nutzer:innen beim Besuch von Websites oder Apps können wohl als Verarbeitung besonderer Kategorien personenbezogener Daten i.S.d. Art. 9 Abs. 1 DSGVO betrachtet werden, etwa beim Besuch von Dating- oder gesundheitsbezogenen Seiten. Konkret kann laut EuGH eine entsprechende Verarbeitung schon dann vorliegen, wenn „Daten über den Aufruf der fraglichen Websites oder Apps solche Informationen offenbaren [können], ohne dass die Nutzer dort Informationen eingeben müssten, indem sie sich registrieren oder Online-Bestellungen aufgeben“. Der bloße Besuch einer Website stellt dabei kein „offensichtliches Öffentlichmachen“ i.S.d. Art. 9 Abs. 2 lit. e DSGVO dar, damit gilt auch diese Ausnahmebestimmung des Generalverbots in Art. 9 Abs. 1 DSGVO nicht.
3. Art. 6 Abs. 1 lit. b, f DSGVO:
Die Verarbeitung personenbezogener Daten für personalisierte Werbung aufgrund eines berechtigten Interesses durch Meta war in der oben beschriebenen Konstellation nicht zulässig, dies gelte trotz der Finanzierung von Facebook durch ebendiese personalisierte Werbung. Trotz der aktuellen Entscheidung bleibt die Möglichkeit personalisierter Werbung auf Basis legitimer Interessen wohl grundsätzlich weiter bestehen. Dies sollte zumindest dort gelten, wo der Verantwortliche nach sorgfältig erfolgter Interessenabwägung ein berechtigtes Interesse nachweisen kann.
Soll eine Verarbeitung auf Art. 6 Abs. 1 lit. b DSGVO erfolgen, schärft der EuGH die Voraussetzung der „Erforderlichkeit [der Verarbeitung] für die Vertragserfüllung“ dahingehend, dass eine entsprechende Verarbeitung tatsächlich „objektiv unerlässlich“ für die Erfüllung des Vertrages sein müsse. Das Gericht macht zudem klar, dass Art. 6 Abs. 1 lit. f DSGVO keine taugliche Rechtsgrundlage für die Informierung von Strafverfolgungs- und Vollstreckungsbehörden darstellt, sofern es sich bei den Verantwortlichen um „private Wirtschaftsteilnehmer“ handelt.
4. Einwilligung gegenüber marktbeherrschenden Unternehmen:
Eine Einwilligung kann grundsätzlich auch von marktbeherrschenden Unternehmen eingeholt werden, auch sie können Verarbeitungen also zumindest theoretisch auf Art. 6 Abs. 1 lit. a DSGVO stützen. Es sollte allerdings sorgfältig geprüft werden, ob die betroffene Person diese auch tatsächlich freiwillig abgeben konnte. Hierbei ist insbesondere zu berücksichtigen, dass Umstände wie das Innehaben einer „marktbeherrschenden Stellung“ dazu führen können, dass die “ betroffene Person nicht über eine echte Wahlfreiheit verfügt oder nicht in der Lage ist, ihre Einwilligung zu verweigern oder zu widerrufen, ohne Nachteile zu erleiden“.
EuGH-Urteil vom 4. Mai 2023 – C-300/21: Klarheit bei DSGVO-Schadensersatzansprüchen
Das heutige Urteil des Gerichtshofes der Europäischen Union (EuGH) zum Vorabentscheidungsverfahren „Österreichische Post“ (Rs. C-300/21) ist mit großer Spannung erwartet worden. Von der Entscheidung der Luxemburger Richter haben sich viele Praktiker Klarheit in Bezug auf die Anspruchsvoraussetzungen eines immateriellen Schadensersatzes nach Art. 82 DSGVO (DSGVO-Schadensersatz) erhofft. Die Frage, unter welchen Bedingungen einer betroffenen Person DSGVO-Schadensersatz zusteht, wurde auch vor deutschen Gerichten bereits kontrovers diskutiert. Der EuGH hat nun klargestellt, dass ein bloßer DSGVO-Verstoß noch keinen solchen Anspruch begründet. Zugleich sei der Zuspruch einer Entschädigung jedoch nicht davon abhängig, dass der immaterielle Schaden eine gewisse Erheblichkeit überschreite. Das Urteil kann insofern durchaus als Paukenschlag gewertet werden. Welche Auswirkungen der heutige Richterspruch zudem im Detail hat, lesen Sie im Folgenden.
EuGH-Urteil: Bedeutung der Schadensersatzansprüche bei DSGVO-Verstößen ohne Datenweitergabe
Dem Vorabentscheidungsverfahren ging ein Rechtsstreit zwischen einem österreichischen Staatsbürger und der Österreichische Post AG (Österreichische Post) voraus. Die Österreichische Post hatte diesem eine Affinität zur rechten FPÖ zugeschrieben, was der Kläger als beleidigend, beschämend und kreditschädigend empfand. Das Unternehmen erhob seit 2017 ohne Einwilligung der betroffenen Personen Informationen zu den Parteiaffinitäten der österreichischen Bevölkerung. Die ermittelten soziodemographischen Merkmale nutzte das Unternehmen, um Bürger im Wege algorithmische Hochrechnung bestimmten politischen Zielgruppen zu zuweisen. Auch der Kläger war von einer solchen – allerdings falschen – Zuordnung betroffen. Eine Weitergabe dieser Daten an Dritte erfolgte jedoch nicht. Da das Verhalten der Österreichischen Post bei ihm ein großes Ärgernis und einen Vertrauensverlust sowie ein Gefühl der Bloßstellung ausgelöst habe (inneres Ungemach), machte der Kläger einen Anspruch auf DSGVO-Schadensersatz in Höhe von 1.000€ geltend.
Kein automatischer Schadensersatz: DSGVO-Verstoß und die Bedeutung des österreichischen Schadensrechts
Das Erstgericht wies die Klage ab, dies wurde vom Oberlandesgericht Wien in der Berufung bestätigt. Aus Sicht der Instanzgerichte liege infolge der fehlenden Einwilligung zwar möglicherweise ein DSGVO-Verstoß vor. Die Daten wurden jedoch nicht weitergegeben, weshalb dem Kläger kein tatsächlicher Schaden entstanden sei. Nicht jeder Verstoß gegen die DSGVO bedinge automatisch einen Schadensersatzanspruch nach Art. 82 DSGVO. Vielmehr ergänze das österreichische Schadensrecht – vergleichbar den Anforderungen nach deutschem Recht – die DSGVO. Ersatzfähig seien nur solche Schäden, die über bloßen Ärger oder Gefühlsschaden hinausgingen und eine gewisse Erheblichkeit aufweisen würden.
EuGH beantwortet Vorlagefragen des OGH: Klärung zu DSGVO durch wegweisendes Urteil
Gegen das Urteil wurde Revision beim Obersten Gerichtshof in Österreich (OGH Österreich) eingelegt. Da – aus Sicht des OGH – entscheidungsrelevante Unklarheiten in die Auslegungskompetenz des EuGH fielen, setzte der Gerichtshof das Revisionsverfahren aus und formulierte drei Vorlagefragen. Mit seinem heutigen Urteil hat der EuGH diese wie folgt beantwortet.
Darlegung des Schadens erforderlich: EuGH präzisiert Voraussetzungen für DSGVO-Schadensersatz
Mit seiner ersten Vorlagefrage wollte der OGH klären lassen, ob ein bloßer DSGVO-Verstoß für den Zuspruch eines Schadensersatzes nach Art. 82 DSGVO ausreiche oder ein tatsächlicher Schaden eingetreten sein müsse. Der EuGH hat nun festgestellt, dass nicht jeder DSGVO-Verstoß für sich genommen einen Schadensersatzanspruch eröffnet. Der Betroffene muss einen materiellen oder immateriellen Schaden konkret darlegen können.
Die Notwendigkeit einer entsprechenden Darlegung des eingetretenen Schadens war zwar bereits bisher von einigen Instanzgerichten bejaht worden. Zum einen werde der Eintritt eines Schadens im Wortlaut von Art. 82 DSGVO ausdrücklich als Voraussetzung genannt so die Argumentation, weshalb eine gegenteilige Auslegung kaum mit dem Wortlaut der Norm in Einklang zu bringen sei. Ohne Schadenserfordernis verliere die Norm zudem ihren Ausgleichscharakter und würde zu einer reinen Sanktionsvorschrift. Im Übrigen werde der Betroffene dank weiterer Rechtsbehelfe – beispielsweise der Beschwerde – dadurch nicht schutzlos gestellt. Es gab allerdings auch durchaus gewichtige gegenläufige Tendenzen. So hat z.B. das BAG in seinem Vorlagebeschluss an den EuGH eine gegenteilige Auffassung vertreten und argumentiert, dass bereits eine Rechtsverletzung infolge eines DSGVO-Verstoßes an sich zu einem auszugleichenden immateriellen Schaden nach Art. 82 DSGVO führen würde (BAG, Beschluss v. 22.09.2022 – 8 AZR 209/21 (A)). Entsprechenden Tendenzen in der Rechtsprechung erteilt der EuGH eine klare Absage und stellt klar, dass nicht jeder Verstoß gegen die DSGVO für sich genommen einen Schadensersatzanspruch eröffnet.
Bemessung des Schadensersatzes: EuGH bestätigt Anwendung nationaler Vorschriften unter Berücksichtigung unionsrechtlicher Grundsätze
Die zweite Vorlagefrage des OGH war darauf gerichtet, welche Regeln bei der Bemessung der Schadensersatzhöhe Anwendung finden sollen. Die DSGVO selbst enthält dahingehend keine Bestimmungen. Der EuGH hat nunmehr festgestellt, dass die Bemessung nach nationalen Vorschriften zu erfolgen habe, sofern die unionsrechtlichen Grundsätze der Effektivität und Äquivalenz beachtet werden
Keine Bagatellgrenze für DSGVO-Schadensersatz: EuGH lehnt Erheblichkeitsschwelle ab und betont Notwendigkeit des Schadensnachweises
Mit seiner dritten Vorlagefrage wollte der OGH wissen, ob nationale Gerichte den Zuspruch eines DSGVO-Schadensersatzes davon abhängig machen dürfen, dass eine Konsequenz oder Folge der Rechtsverletzung von einigem Gewicht vorliegt (sog. „Bagatellgrenze“). Im Ergebnis hätte dies eine Untergrenze für geringfügige Beeinträchtigungen bedeutet. Damit wäre nicht jeder immaterielle Schaden automatisch ersatzfähig, sondern müsste eine gewisse Erheblichkeitsschwelle überschreiten. Diese Auffassung war bereits im Vorfeld heiß diskutiert und von vielen Vertretern befürwortet worden. Auch der zuständige Generalanwalt Sánchez-Bordona hatte in seinem Schlussantrag im Wege einer ausführlichen Begründung für die Möglichkeit einer Erheblichkeitsschwelle durch nationale Gerichte argumentiert.
In seinem Urteil hat der EuGH dies nun im Rahmen einer weitaus weniger umfassenden Begründung verneint. Die DSGVO erwähne keine Erheblichkeitsschwelle, zudem stünde eine solche in Widerspruch zum weiten Verständnis des unionsrechtlichen Schadensbegriffes. Zugleich gefährde eine solche Beschränkung die mit der DSGVO verfolgte Kohärenz (einheitliche Rechtsanwendung), da die graduelle Abstufung je nach Gericht unterschiedlich ausfallen könne. Eine Regelung oder Praxis nationaler Gerichte, die eine solche Erheblichkeitsschwelle vorsehe, sei mit Art. 82 DSGVO nicht vereinbar. Die betroffene Person müsste jedoch gleichwohl dennoch den Nachweis erbringen, dass die negativen Folgen eines DSGVO-Verstoßes auch tatsächlich einen immateriellen Schaden darstellen.
Mehr Rechtssicherheit bei Schadensersatzansprüchen nach Art. 82 DSGVO: EuGH-Urteil und Möglichkeiten der Abwehr von unbegründeten Forderungen
Das Urteil verschafft den Rechtsanwendern durchaus in gewichtigen, wenn auch nicht allen offenen Fragestellungen im Zusammenhang mit Art. 82 DSGVO, erheblich mehr Rechtssicherheit. Die Feststellung, dass es eines tatsächlichen Schadens bedarf, erteilt gegenläufigen Tendenzen in der Rechtsprechung einiger Gerichte (insbesondere Arbeitsgerichte) eine Absage. Betroffene müssen einen tatsächlichen immateriellen Schaden nachweisen und können sich gegenüber dem Verantwortlichen nicht lediglich auf einen DSGVO-Verstoß berufen. Der Begriff des Schadens wird jedoch leider nicht weiter umrissen. Indem der EuGH die teils von mitgliedstaatlichen Gerichten geforderte Beeinträchtigung „von einigem Gewicht“ als mit Art. 82 DSGVO unvereinbar ansieht, droht der unionsrechtliche Schadensbegriff weiterhin konturlos zu werden. In der bisherigen nationalen Rechtsprechungspraxis wurden Schadenersatzansprüche teilweise wegen Unterschreitung einer „Bagatellschwelle“ abgelehnt. Künftig dürfen Gerichte den Zuspruch eines solchen Anspruchs jedoch nicht mehr davon abhängig machen, ob der immaterielle Schaden tatsächlich erheblich ist. Grundsätzlich können somit auch geringfügige Beeinträchtigungen zu einem Anspruch des Betroffenen führen. Allerdings müssen entsprechende Beeinträchtigungen auch nach dem EuGH-Urteil konkret dargelegt werden. Floskelartige Begründungen wie der Verweis auf ein Stör- oder Unmutsgefühl dürften nicht ohne Weiteres ausreichen. Dies im Einzelfall zu entscheiden, obliegt allerdings den Gerichten der EU-Mitgliedsstaaten. In dieser Hinsicht hat das jetzige Urteil tatsächlich nicht unbedingt zu mehr Klarheit geführt.
Erfolgreiche Abwehr von Schadensersatzansprüchen: Möglichkeiten und Argumentationsspielraum im Lichte des EuGH-Urteils
Beklagte Unternehmen sollten weiterhin Forderungen nach Schadensersatzansprüchen sehr sorgfältig überprüfen. Auch im Lichte des EuGH-Urteils bieten sich nach wie vor Möglichkeiten, unbegründete Forderungen erfolgreich abzuwehren. So können viele Kläger schon den behaupteten Verstoß und auch den geltend gemachten Schaden nicht ausreichend darlegen und beweisen. Auch im Rahmen der notwendigen Ursächlichkeit des DSGVO-Verstoßes für den Schaden besteht häufig Argumentationsspielraum.
Ausblick DSGVO-Schadensersatz: Das EuGH-Urteil als Auftakt – Weitere Rechtsfragen und anhängige Verfahren
Mit der heutigen Entscheidung des EuGH ist das letzte Wort zum DSGVO-Schadensersatz noch nicht gesprochen. Das Urteil bildet vielmehr den Auftakt zur Klärung weiterer Rechtsfragen im Zusammenhang mit Art. 82 DSGVO. Mit den Vorabentscheidungsersuchen des bulgarischen Obersten Verwaltungsgerichts (VB) (Rs. C-340/21) und des LG Saarbrücken (C-741/21) sind diesbezüglich unter anderem weitere Verfahren anhängig. Der VB möchte insbesondere klären lassen, ob Sorgen und Ängste vor einem möglichen Datenmissbrauch einen immateriellen Schaden darstellen und somit zum Schadensersatz berechtigen. Das Thema bleibt somit für Verantwortliche und Betroffene gleichermaßen spannend und aktuell.
EuGH-Urteil: Bedeutung der Schadensersatzansprüche bei DSGVO-Verstößen ohne Datenweitergabe
Dem Vorabentscheidungsverfahren ging ein Rechtsstreit zwischen einem österreichischen Staatsbürger und der Österreichische Post AG (Österreichische Post) voraus. Die Österreichische Post hatte diesem eine Affinität zur rechten FPÖ zugeschrieben, was der Kläger als beleidigend, beschämend und kreditschädigend empfand. Das Unternehmen erhob seit 2017 ohne Einwilligung der betroffenen Personen Informationen zu den Parteiaffinitäten der österreichischen Bevölkerung. Die ermittelten soziodemographischen Merkmale nutzte das Unternehmen, um Bürger im Wege algorithmische Hochrechnung bestimmten politischen Zielgruppen zu zuweisen. Auch der Kläger war von einer solchen – allerdings falschen – Zuordnung betroffen. Eine Weitergabe dieser Daten an Dritte erfolgte jedoch nicht. Da das Verhalten der Österreichischen Post bei ihm ein großes Ärgernis und einen Vertrauensverlust sowie ein Gefühl der Bloßstellung ausgelöst habe (inneres Ungemach), machte der Kläger einen Anspruch auf DSGVO-Schadensersatz in Höhe von 1.000€ geltend.
Kein automatischer Schadensersatz: DSGVO-Verstoß und die Bedeutung des österreichischen Schadensrechts
Das Erstgericht wies die Klage ab, dies wurde vom Oberlandesgericht Wien in der Berufung bestätigt. Aus Sicht der Instanzgerichte liege infolge der fehlenden Einwilligung zwar möglicherweise ein DSGVO-Verstoß vor. Die Daten wurden jedoch nicht weitergegeben, weshalb dem Kläger kein tatsächlicher Schaden entstanden sei. Nicht jeder Verstoß gegen die DSGVO bedinge automatisch einen Schadensersatzanspruch nach Art. 82 DSGVO. Vielmehr ergänze das österreichische Schadensrecht – vergleichbar den Anforderungen nach deutschem Recht – die DSGVO. Ersatzfähig seien nur solche Schäden, die über bloßen Ärger oder Gefühlsschaden hinausgingen und eine gewisse Erheblichkeit aufweisen würden.
EuGH beantwortet Vorlagefragen des OGH: Klärung zu DSGVO durch wegweisendes Urteil
Gegen das Urteil wurde Revision beim Obersten Gerichtshof in Österreich (OGH Österreich) eingelegt. Da – aus Sicht des OGH – entscheidungsrelevante Unklarheiten in die Auslegungskompetenz des EuGH fielen, setzte der Gerichtshof das Revisionsverfahren aus und formulierte drei Vorlagefragen. Mit seinem heutigen Urteil hat der EuGH diese wie folgt beantwortet.
Darlegung des Schadens erforderlich: EuGH präzisiert Voraussetzungen für DSGVO-Schadensersatz
Mit seiner ersten Vorlagefrage wollte der OGH klären lassen, ob ein bloßer DSGVO-Verstoß für den Zuspruch eines Schadensersatzes nach Art. 82 DSGVO ausreiche oder ein tatsächlicher Schaden eingetreten sein müsse. Der EuGH hat nun festgestellt, dass nicht jeder DSGVO-Verstoß für sich genommen einen Schadensersatzanspruch eröffnet. Der Betroffene muss einen materiellen oder immateriellen Schaden konkret darlegen können.
Die Notwendigkeit einer entsprechenden Darlegung des eingetretenen Schadens war zwar bereits bisher von einigen Instanzgerichten bejaht worden. Zum einen werde der Eintritt eines Schadens im Wortlaut von Art. 82 DSGVO ausdrücklich als Voraussetzung genannt so die Argumentation, weshalb eine gegenteilige Auslegung kaum mit dem Wortlaut der Norm in Einklang zu bringen sei. Ohne Schadenserfordernis verliere die Norm zudem ihren Ausgleichscharakter und würde zu einer reinen Sanktionsvorschrift. Im Übrigen werde der Betroffene dank weiterer Rechtsbehelfe – beispielsweise der Beschwerde – dadurch nicht schutzlos gestellt. Es gab allerdings auch durchaus gewichtige gegenläufige Tendenzen. So hat z.B. das BAG in seinem Vorlagebeschluss an den EuGH eine gegenteilige Auffassung vertreten und argumentiert, dass bereits eine Rechtsverletzung infolge eines DSGVO-Verstoßes an sich zu einem auszugleichenden immateriellen Schaden nach Art. 82 DSGVO führen würde (BAG, Beschluss v. 22.09.2022 – 8 AZR 209/21 (A)). Entsprechenden Tendenzen in der Rechtsprechung erteilt der EuGH eine klare Absage und stellt klar, dass nicht jeder Verstoß gegen die DSGVO für sich genommen einen Schadensersatzanspruch eröffnet.
Bemessung des Schadensersatzes: EuGH bestätigt Anwendung nationaler Vorschriften unter Berücksichtigung unionsrechtlicher Grundsätze
Die zweite Vorlagefrage des OGH war darauf gerichtet, welche Regeln bei der Bemessung der Schadensersatzhöhe Anwendung finden sollen. Die DSGVO selbst enthält dahingehend keine Bestimmungen. Der EuGH hat nunmehr festgestellt, dass die Bemessung nach nationalen Vorschriften zu erfolgen habe, sofern die unionsrechtlichen Grundsätze der Effektivität und Äquivalenz beachtet werden
Keine Bagatellgrenze für DSGVO-Schadensersatz: EuGH lehnt Erheblichkeitsschwelle ab und betont Notwendigkeit des Schadensnachweises
Mit seiner dritten Vorlagefrage wollte der OGH wissen, ob nationale Gerichte den Zuspruch eines DSGVO-Schadensersatzes davon abhängig machen dürfen, dass eine Konsequenz oder Folge der Rechtsverletzung von einigem Gewicht vorliegt (sog. „Bagatellgrenze“). Im Ergebnis hätte dies eine Untergrenze für geringfügige Beeinträchtigungen bedeutet. Damit wäre nicht jeder immaterielle Schaden automatisch ersatzfähig, sondern müsste eine gewisse Erheblichkeitsschwelle überschreiten. Diese Auffassung war bereits im Vorfeld heiß diskutiert und von vielen Vertretern befürwortet worden. Auch der zuständige Generalanwalt Sánchez-Bordona hatte in seinem Schlussantrag im Wege einer ausführlichen Begründung für die Möglichkeit einer Erheblichkeitsschwelle durch nationale Gerichte argumentiert.
In seinem Urteil hat der EuGH dies nun im Rahmen einer weitaus weniger umfassenden Begründung verneint. Die DSGVO erwähne keine Erheblichkeitsschwelle, zudem stünde eine solche in Widerspruch zum weiten Verständnis des unionsrechtlichen Schadensbegriffes. Zugleich gefährde eine solche Beschränkung die mit der DSGVO verfolgte Kohärenz (einheitliche Rechtsanwendung), da die graduelle Abstufung je nach Gericht unterschiedlich ausfallen könne. Eine Regelung oder Praxis nationaler Gerichte, die eine solche Erheblichkeitsschwelle vorsehe, sei mit Art. 82 DSGVO nicht vereinbar. Die betroffene Person müsste jedoch gleichwohl dennoch den Nachweis erbringen, dass die negativen Folgen eines DSGVO-Verstoßes auch tatsächlich einen immateriellen Schaden darstellen.
Mehr Rechtssicherheit bei Schadensersatzansprüchen nach Art. 82 DSGVO: EuGH-Urteil und Möglichkeiten der Abwehr von unbegründeten Forderungen
Das Urteil verschafft den Rechtsanwendern durchaus in gewichtigen, wenn auch nicht allen offenen Fragestellungen im Zusammenhang mit Art. 82 DSGVO, erheblich mehr Rechtssicherheit. Die Feststellung, dass es eines tatsächlichen Schadens bedarf, erteilt gegenläufigen Tendenzen in der Rechtsprechung einiger Gerichte (insbesondere Arbeitsgerichte) eine Absage. Betroffene müssen einen tatsächlichen immateriellen Schaden nachweisen und können sich gegenüber dem Verantwortlichen nicht lediglich auf einen DSGVO-Verstoß berufen. Der Begriff des Schadens wird jedoch leider nicht weiter umrissen. Indem der EuGH die teils von mitgliedstaatlichen Gerichten geforderte Beeinträchtigung „von einigem Gewicht“ als mit Art. 82 DSGVO unvereinbar ansieht, droht der unionsrechtliche Schadensbegriff weiterhin konturlos zu werden. In der bisherigen nationalen Rechtsprechungspraxis wurden Schadenersatzansprüche teilweise wegen Unterschreitung einer „Bagatellschwelle“ abgelehnt. Künftig dürfen Gerichte den Zuspruch eines solchen Anspruchs jedoch nicht mehr davon abhängig machen, ob der immaterielle Schaden tatsächlich erheblich ist. Grundsätzlich können somit auch geringfügige Beeinträchtigungen zu einem Anspruch des Betroffenen führen. Allerdings müssen entsprechende Beeinträchtigungen auch nach dem EuGH-Urteil konkret dargelegt werden. Floskelartige Begründungen wie der Verweis auf ein Stör- oder Unmutsgefühl dürften nicht ohne Weiteres ausreichen. Dies im Einzelfall zu entscheiden, obliegt allerdings den Gerichten der EU-Mitgliedsstaaten. In dieser Hinsicht hat das jetzige Urteil tatsächlich nicht unbedingt zu mehr Klarheit geführt.
Erfolgreiche Abwehr von Schadensersatzansprüchen: Möglichkeiten und Argumentationsspielraum im Lichte des EuGH-Urteils
Beklagte Unternehmen sollten weiterhin Forderungen nach Schadensersatzansprüchen sehr sorgfältig überprüfen. Auch im Lichte des EuGH-Urteils bieten sich nach wie vor Möglichkeiten, unbegründete Forderungen erfolgreich abzuwehren. So können viele Kläger schon den behaupteten Verstoß und auch den geltend gemachten Schaden nicht ausreichend darlegen und beweisen. Auch im Rahmen der notwendigen Ursächlichkeit des DSGVO-Verstoßes für den Schaden besteht häufig Argumentationsspielraum.
Ausblick DSGVO-Schadensersatz: Das EuGH-Urteil als Auftakt – Weitere Rechtsfragen und anhängige Verfahren
Mit der heutigen Entscheidung des EuGH ist das letzte Wort zum DSGVO-Schadensersatz noch nicht gesprochen. Das Urteil bildet vielmehr den Auftakt zur Klärung weiterer Rechtsfragen im Zusammenhang mit Art. 82 DSGVO. Mit den Vorabentscheidungsersuchen des bulgarischen Obersten Verwaltungsgerichts (VB) (Rs. C-340/21) und des LG Saarbrücken (C-741/21) sind diesbezüglich unter anderem weitere Verfahren anhängig. Der VB möchte insbesondere klären lassen, ob Sorgen und Ängste vor einem möglichen Datenmissbrauch einen immateriellen Schaden darstellen und somit zum Schadensersatz berechtigen. Das Thema bleibt somit für Verantwortliche und Betroffene gleichermaßen spannend und aktuell.
Newsletter
Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.
Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.