EuGH-Urteil: Klarheit bei DSGVO-Schadensersatzansprüchen – Bedeutung und Auswirkungen für die Praxis

Das heutige Urteil des Gerichtshofes der Europäischen Union (EuGH) zum Vorabentscheidungsverfahren „Österreichische Post“ (Rs. C-300/21) ist mit großer Spannung erwartet worden. Von der Entscheidung der Luxemburger Richter haben sich viele Praktiker Klarheit in Bezug auf die Anspruchsvoraussetzungen eines immateriellen Schadensersatzes nach Art. 82 DSGVO (DSGVO-Schadensersatz) erhofft. Die Frage, unter welchen Bedingungen einer betroffenen Person DSGVO-Schadensersatz zusteht, wurde auch vor deutschen Gerichten bereits kontrovers diskutiert. Der EuGH hat nun klargestellt, dass ein bloßer DSGVO-Verstoß noch keinen solchen Anspruch begründet. Zugleich sei der Zuspruch einer Entschädigung jedoch nicht davon abhängig, dass der immaterielle Schaden eine gewisse Erheblichkeit überschreite. Das Urteil kann insofern durchaus als Paukenschlag gewertet werden. Welche Auswirkungen der heutige Richterspruch zudem im Detail hat, lesen Sie im folgenden Artikel.

EuGH-Urteil: Bedeutung der Schadensersatzansprüche bei DSGVO-Verstößen ohne Datenweitergabe

Dem Vorabentscheidungsverfahren ging ein Rechtsstreit zwischen einem österreichischen Staatsbürger und der Österreichische Post AG (Österreichische Post) voraus. Die Österreichische Post hatte diesem eine Affinität zur rechten FPÖ zugeschrieben, was der Kläger als beleidigend, beschämend und kreditschädigend empfand. Das Unternehmen erhob seit 2017 ohne Einwilligung der betroffenen Personen Informationen zu den Parteiaffinitäten der österreichischen Bevölkerung. Die ermittelten soziodemographischen Merkmale nutzte das Unternehmen, um Bürger im Wege algorithmische Hochrechnung bestimmten politischen Zielgruppen zu zuweisen. Auch der Kläger war von einer solchen – allerdings falschen – Zuordnung betroffen. Eine Weitergabe dieser Daten an Dritte erfolgte jedoch nicht. Da das Verhalten der Österreichischen Post bei ihm ein großes Ärgernis und einen Vertrauensverlust sowie ein Gefühl der Bloßstellung ausgelöst habe (inneres Ungemach), machte der Kläger einen Anspruch auf DSGVO-Schadensersatz in Höhe von 1.000€ geltend.

Kein automatischer Schadensersatz: DSGVO-Verstoß und die Bedeutung des österreichischen Schadensrechts

Das Erstgericht wies die Klage ab, dies wurde vom Oberlandesgericht Wien in der Berufung bestätigt. Aus Sicht der Instanzgerichte liege infolge der fehlenden Einwilligung zwar möglicherweise ein DSGVO-Verstoß vor. Die Daten wurden jedoch nicht weitergegeben, weshalb dem Kläger kein tatsächlicher Schaden entstanden sei. Nicht jeder Verstoß gegen die DSGVO bedinge automatisch einen Schadensersatzanspruch nach Art. 82 DSGVO. Vielmehr ergänze das österreichische Schadensrecht – vergleichbar den Anforderungen nach deutschem Recht – die DSGVO. Ersatzfähig seien nur solche Schäden, die über bloßen Ärger oder Gefühlsschaden hinausgingen und eine gewisse Erheblichkeit aufweisen würden.

EuGH beantwortet Vorlagefragen des OGH: Klärung zu DSGVO durch wegweisendes Urteil

Gegen das Urteil wurde Revision beim Obersten Gerichtshof in Österreich (OGH Österreich) eingelegt. Da – aus Sicht des OGH – entscheidungsrelevante Unklarheiten in die Auslegungskompetenz des EuGH fielen, setzte der Gerichtshof das Revisionsverfahren aus und formulierte drei Vorlagefragen. Mit seinem heutigen Urteil hat der EuGH diese wie folgt beantwortet.


Das könnte Sie auch interessieren:


Darlegung des Schadens erforderlich: EuGH präzisiert Voraussetzungen für DSGVO-Schadensersatz

Mit seiner ersten Vorlagefrage wollte der OGH klären lassen, ob ein bloßer DSGVO-Verstoß für den Zuspruch eines Schadensersatzes nach Art. 82 DSGVO ausreiche oder ein tatsächlicher Schaden eingetreten sein müsse. Der EuGH hat nun festgestellt, dass nicht jeder DSGVO-Verstoß für sich genommen einen Schadensersatzanspruch eröffnet. Der Betroffene muss einen materiellen oder immateriellen Schaden konkret darlegen können.

Die Notwendigkeit einer entsprechenden Darlegung des eingetretenen Schadens war zwar bereits bisher von einigen Instanzgerichten bejaht worden. Zum einen werde der Eintritt eines Schadens im Wortlaut von Art. 82 DSGVO ausdrücklich als Voraussetzung genannt so die Argumentation, weshalb eine gegenteilige Auslegung kaum mit dem Wortlaut der Norm in Einklang zu bringen sei. Ohne Schadenserfordernis verliere die Norm zudem ihren Ausgleichscharakter und würde zu einer reinen Sanktionsvorschrift. Im Übrigen werde der Betroffene dank weiterer Rechtsbehelfe – beispielsweise der Beschwerde – dadurch nicht schutzlos gestellt. Es gab allerdings auch durchaus gewichtige gegenläufige Tendenzen. So hat z.B. das BAG in seinem Vorlagebeschluss an den EuGH eine gegenteilige Auffassung vertreten und argumentiert, dass bereits eine Rechtsverletzung infolge eines DSGVO-Verstoßes an sich zu einem auszugleichenden immateriellen Schaden nach Art. 82 DSGVO führen würde (BAG, Beschluss v. 22.09.2022 – 8 AZR 209/21 (A)). Entsprechenden Tendenzen in der Rechtsprechung erteilt der EuGH eine klare Absage und stellt klar, dass nicht jeder Verstoß gegen die DSGVO für sich genommen einen Schadensersatzanspruch eröffnet.

Bemessung des Schadensersatzes: EuGH bestätigt Anwendung nationaler Vorschriften unter Berücksichtigung unionsrechtlicher Grundsätze

Die zweite Vorlagefrage des OGH war darauf gerichtet, welche Regeln bei der Bemessung der Schadensersatzhöhe Anwendung finden sollen. Die DSGVO selbst enthält dahingehend keine Bestimmungen. Der EuGH hat nunmehr festgestellt, dass die Bemessung nach nationalen Vorschriften zu erfolgen habe, sofern die unionsrechtlichen Grundsätze der Effektivität und Äquivalenz beachtet werden.

Keine Bagatellgrenze für DSGVO-Schadensersatz: EuGH lehnt Erheblichkeitsschwelle ab und betont Notwendigkeit des Schadensnachweises

Mit seiner dritten Vorlagefrage wollte der OGH wissen, ob nationale Gerichte den Zuspruch eines DSGVO-Schadensersatzes davon abhängig machen dürfen, dass eine Konsequenz oder Folge der Rechtsverletzung von einigem Gewicht vorliegt (sog. „Bagatellgrenze“). Im Ergebnis hätte dies eine Untergrenze für geringfügige Beeinträchtigungen bedeutet. Damit wäre nicht jeder immaterielle Schaden automatisch ersatzfähig, sondern müsste eine gewisse Erheblichkeitsschwelle überschreiten. Diese Auffassung war bereits im Vorfeld heiß diskutiert und von vielen Vertretern befürwortet worden. Auch der zuständige Generalanwalt Sánchez-Bordona hatte in seinem Schlussantrag im Wege einer ausführlichen Begründung für die Möglichkeit einer Erheblichkeitsschwelle durch nationale Gerichte argumentiert.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

In seinem Urteil hat der EuGH dies nun im Rahmen einer weitaus weniger umfassenden Begründung verneint. Die DSGVO erwähne keine Erheblichkeitsschwelle, zudem stünde eine solche in Widerspruch zum weiten Verständnis des unionsrechtlichen Schadensbegriffes. Zugleich gefährde eine solche Beschränkung die mit der DSGVO verfolgte Kohärenz (einheitliche Rechtsanwendung), da die graduelle Abstufung je nach Gericht unterschiedlich ausfallen könne. Eine Regelung oder Praxis nationaler Gerichte, die eine solche Erheblichkeitsschwelle vorsehe, sei mit Art. 82 DSGVO nicht vereinbar. Die betroffene Person müsste jedoch gleichwohl dennoch den Nachweis erbringen, dass die negativen Folgen eines DSGVO-Verstoßes auch tatsächlich einen immateriellen Schaden darstellen.

Mehr Rechtssicherheit bei Schadensersatzansprüchen nach Art. 82 DSGVO: EuGH-Urteil und Möglichkeiten der Abwehr von unbegründeten Forderungen

Das Urteil verschafft den Rechtsanwendern durchaus in gewichtigen, wenn auch nicht allen offenen Fragestellungen im Zusammenhang mit Art. 82 DSGVO, erheblich mehr Rechtssicherheit. Die Feststellung, dass es eines tatsächlichen Schadens bedarf, erteilt gegenläufigen Tendenzen in der Rechtsprechung einiger Gerichte (insbesondere Arbeitsgerichte) eine Absage. Betroffene müssen einen tatsächlichen immateriellen Schaden nachweisen und können sich gegenüber dem Verantwortlichen nicht lediglich auf einen DSGVO-Verstoß berufen. Der Begriff des Schadens wird jedoch leider nicht weiter umrissen. Indem der EuGH die teils von mitgliedstaatlichen Gerichten geforderte Beeinträchtigung „von einigem Gewicht“ als mit Art. 82 DSGVO unvereinbar ansieht, droht der unionsrechtliche Schadensbegriff weiterhin konturlos zu werden. In der bisherigen nationalen Rechtsprechungspraxis wurden Schadenersatzansprüche teilweise wegen Unterschreitung einer „Bagatellschwelle“ abgelehnt. Künftig dürfen Gerichte den Zuspruch eines solchen Anspruchs jedoch nicht mehr davon abhängig machen, ob der immaterielle Schaden tatsächlich erheblich ist. Grundsätzlich können somit auch geringfügige Beeinträchtigungen zu einem Anspruch des Betroffenen führen. Allerdings müssen entsprechende Beeinträchtigungen auch nach dem EuGH-Urteil konkret dargelegt werden. Floskelartige Begründungen wie der Verweis auf ein Stör- oder Unmutsgefühl dürften nicht ohne Weiteres ausreichen. Dies im Einzelfall zu entscheiden, obliegt allerdings den Gerichten der EU-Mitgliedsstaaten. In dieser Hinsicht hat das jetzige Urteil tatsächlich nicht unbedingt zu mehr Klarheit geführt.

Erfolgreiche Abwehr von Schadensersatzansprüchen: Möglichkeiten und Argumentationsspielraum im Lichte des EuGH-Urteils

Beklagte Unternehmen sollten weiterhin Forderungen nach Schadensersatzansprüchen sehr sorgfältig überprüfen. Auch im Lichte des EuGH-Urteils bieten sich nach wie vor Möglichkeiten, unbegründete Forderungen erfolgreich abzuwehren. So können viele Kläger schon den behaupteten Verstoß und auch den geltend gemachten Schaden nicht ausreichend darlegen und beweisen. Auch im Rahmen der notwendigen Ursächlichkeit des DSGVO-Verstoßes für den Schaden besteht häufig Argumentationsspielraum.

Ausblick DSGVO-Schadensersatz: Das EuGH-Urteil als Auftakt – Weitere Rechtsfragen und anhängige Verfahren

Mit der heutigen Entscheidung des EuGH ist das letzte Wort zum DSGVO-Schadensersatz noch nicht gesprochen. Das Urteil bildet vielmehr den Auftakt zur Klärung weiterer Rechtsfragen im Zusammenhang mit Art. 82 DSGVO. Mit den Vorabentscheidungsersuchen des bulgarischen Obersten Verwaltungsgerichts (VB) (Rs. C-340/21) und des LG Saarbrücken (C-741/21) sind diesbezüglich unter anderem weitere Verfahren anhängig. Der VB möchte insbesondere klären lassen, ob Sorgen und Ängste vor einem möglichen Datenmissbrauch einen immateriellen Schaden darstellen und somit zum Schadensersatz berechtigen. Das Thema bleibt somit für Verantwortliche und Betroffene gleichermaßen spannend und aktuell. Sollten Sie Unterstützung benötigen oder Fragen haben, stehen wir Ihnen als erfahrene Kanzlei mit umfassender Expertise im Bereich des DSGVO-Schadensersatzes gerne zur Verfügung. Kontaktieren Sie uns jetzt für eine individuelle Beratung.

Sie haben tiefergehenden Beratungsbedarf zum DSGVO-Schadensersatz?

Weitere Informationen darüber, wie wir mit Ihren personenbezogenen Daten umgehen und welche Rechte Sie haben, finden Sie in unserer Datenschutzerklärung.

Erfolg im digitalen Zeitalter: Der Data Act 2024 und seine Chancen für Ihr Unternehmen

Jetzt lesen

KG Berlin: Immaterielle Schadensersatzansprüche aus Art. 82 DSGVO müssen konkret dargelegt werden

Jetzt lesen

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.