Rechtsgut Datenschutz?
Immaterieller Schadensersatz wegen Datenschutzverletzungen nach Art. 82 DSGVO im Lichte von EuGH C-300/21
Während materielle Schadensersatzansprüche für Datenschutzverletzungen in der Praxis eine untergeordnete Rolle zu spielen scheinen und verhältnismäßig einfach festzustellen und zu beziffern sind, bereitet die in Art. 82 DSGVO vorgesehene Ersatzfähigkeit immaterieller Schäden den Gerichten Kopfzerbrechen. Viele Gerichte verlangten hierfür bislang den Nachweis einer gewissen Erheblichkeit der infolge einer DSGVO-Verletzung eingetretenen Folgen und wiesen reihenweise Klagen ab, da diese „Erheblichkeitsschwelle“ nicht erreicht sei. Andere sprachen hingegen für verhältnismäßig geringfügige Rechtsverletzungen großzügig Schadensersatz zu. Den meisten Entscheidungen ist zudem gemein, dass sie sich sehr auf mögliche Gefühlsbeeinträchtigungen der betroffenen Personen konzentrieren und anderen Konsequenzen der Rechtsverletzung tendenziell wenig Beachtung schenken.
Eine richtungsweisende Entscheidung zu immateriellen Schadensersatzansprüchen für DSGVO-Verletzungen fällte der EuGH Anfang Mai 2023 in der Rechtssache C‑300/21. Es ist das erste Urteil aus einer langen Reihe an Vorabentscheidungsersuchen zur Auslegung des Art. 82 DSGVO. Anders als die Schlussanträge von Generalanwalt Sánchez-Bordona (zu diesen siehe VerfBlog, 2022/11/14), die eher rechtpolitische als juristische Argumente ins Feld führten und bedauerlich wenig zur Lösung der vorgelegten Fragen beitrugen, schafft das EuGH-Urteil auf mehreren Ebenen die notwendige Rechtssicherheit und scheint geeignet zur Vereinheitlichung der genannten divergierenden Rechtsprechungslinien zu Art. 82 DSGVO beizutragen.
Nach wie vor interpretationsbedürftig bleibt jedoch, wie ein immaterieller Schaden nun konkret festzustellen und zu bemessen ist. Nach einer kurzen Zusammenfassung der Kernaussagen des EuGH befasst sich dieser Beitrag daher mit diesem praxisrelevanten Problem und möchte – insbesondere unter Berücksichtigung etablierter Instrumentarien der deutschen und österreichischen Rechtspraxis – Lösungswege für die mitgliedstaatlichen Gerichte aufzeigen.
Schaden, Kausalität und Rechtswidrigkeit als Tatbestandsmerkmale von Art. 82 DSGVO
Zur ersten Vorlagefrage – ob für einen Schadensersatzanspruch bereits die Verletzung von Bestimmungen der DSGVO als solche ausreicht oder es darüber hinaus eines erlittenen Schadens bedarf – führt der EuGH wenig überraschend aus, dass die bloße Rechtsverletzung noch keinen Schadensersatzanspruch nach Art. 82 DSGVO zu begründen vermag. Vielmehr muss der betroffenen Person auch ein kausaler materieller oder immaterieller Schaden entstanden sein (Rn 36).
Keine Erheblichkeitsschwelle
In seiner Antwort zur dritten Vorlagefrage – ob ein immaterieller Schadensersatzanspruch eine Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht erfordert, die über den dadurch hervorgerufenen Ärger hinausgeht – lehnt der EuGH das damit angesprochene, der deutschen Rechtskultur entstammende Konzept einer „Erheblichkeitsschwelle“ unmissverständlich ab (Rn 51). Es stünde im Widerspruch zu dem unionsrechtlich auszulegenden, weiten Schadensbegriff (siehe Erwägungsgrund 146 DSGVO), wenn dieser auf Schäden mit einer gewissen Erheblichkeit beschränkt wäre (Rn 46). Damit ist klargestellt, dass auch Rechtsverletzungen mit geringfügigen Konsequenzen zu Schadensersatzansprüchen nach Art 82 DSGVO führen können.
Ermittlung von Schadenseintritt und -bemessung als Gretchenfrage
EuGH betont Äquivalenz und Effektivität des Unionsrechts
Mit der zweiten Vorlagefrage wollte der vorlegende österreichische Oberste Gerichtshof wissen, ob für die Bemessung des Schadensersatzes nach Art 82 DSGVO neben den Grundsätzen der Effektivität und Äquivalenz weitere Vorgaben des Unionsrechts bestehen. In seiner knappen Antwort hierzu verweist der EuGH auf das Recht der Mitgliedstaaten, welchem die Ausgestaltung von Klageverfahren zum Schutz der aus Art. 82 DSGVO erwachsenden Rechte und die Festlegung der Kriterien für die Ermittlung des Umfangs geschuldeten Schadensersatzes obliege (Rn 59). Dabei sind jedoch die Grundsätze der Äquivalenz und der Effektivität des Unionsrechts zu beachten (Rn 54) und ein „vollständiger und wirksamer Schadensersatz für den erlittenen Schaden“ sicherzustellen (Rn 57).
Viele dahinterstehende, in der Praxis entscheidende Fragen sind damit unter Bedachtnahme auf das mitgliedstaatliche Recht zu lösen. Die Anforderungen, die an einen Schadenseintritt, dessen Nachweis und zuletzt auch die Bemessung des statthaften Ersatzes zu stellen sind, müssen dabei äquivalent zu jenen für andere immaterielle Schadensersatzansprüche sein und müssen darüber hinaus eine effektive Wiedergutmachung ermöglichen.
Ersatz nicht bloß für Gefühlsbeeinträchtigungen – Datenschutz als eigenständiges Rechtsgut
Wann liegt also ein ersatzfähiger immaterieller Schaden durch eine DSGVO-Verletzung vor? Um eine sachgerechte Lösung dieser Problematik zu finden, muss zu allererst von dem (verbreiteten) Gedanken Abschied genommen werden, dass sich immaterielle Schäden für Datenschutzverletzungen ausschließlich auf der Gefühlsebene der betroffenen Person abspielen. Das in Art. 8 GRCh vorgesehene Grundrecht auf Datenschutz und seine Ausdifferenzierung in der DSGVO stellen schließlich ein eigenständiges Rechtsgut dar. Immaterieller Schadensersatz für die Verletzung dieses Rechtsguts ist insofern ein Novum und kann nicht alleine mit der Metrik der Gefühlsbeeinträchtigung gemessen werden.
Dabei ist insbesondere zu bedenken, dass Gefühlsbeeinträchtigungen regelmäßig andere Rechtsgüter berühren. Hat eine solche Beeinträchtigung infolge einer Datenschutzverletzung bereits Krankheitswert erreicht, ist die physische Integrität des Geschädigten – und damit ein anderes Rechtsgut, das schon nach Art. 3 Abs. 1 GRCh geschützt ist – verletzt. Diesfalls bedürfte es des Art. 82 DSGVO gar nicht, um einen Schadensersatzanspruch – in Form eines Schmerzensgeldes für die erlittene psychische Beeinträchtigung – zu bejahen. Bei einer auf die Gefühlsebene der betroffenen Person konzentrierten Lesart blieben für Art. 82 DSGVO nur Gefühlsbeeinträchtigungen ohne Krankheitswert relevant, wobei es keine „Erheblichkeitsschwelle“ gibt, die „allzu geringe“ Beeinträchtigungen von der Ersatzfähigkeit ausschließt. Immaterieller Schadensersatz nach Art. 82 DSGVO wäre damit nur ein „Ersatz für Ärger und Frust“ über rechtswidrige Verarbeitungen. Ein derart enges Verständnis ist indes mit dem vom EuGH unterstrichenen weiten Schadensbegriff (siehe Erwägungsgrund 146 DSGVO) unvereinbar.
Insofern scheint es weitaus sachgerechter, alle negativen Konsequenzen der Rechtsverletzung zu betrachten. Dies betrifft etwa die Zeit und Mühe (abseits materieller Rechtsverfolgungskosten), die eine betroffene Person zur Behebung (der Folgen) der Datenschutzverletzung aufwenden musste (so bereits das LArbG Baden-Württemberg). Ebenso kann an eine mögliche Bloßstellung, Rufschädigung oder Diskriminierung infolge der Datenverarbeitung oder ein Kontrollverlust – in Erwägungsgrund 85 DSGVO im Zusammenhang mit Data Breaches angesprochen – einen Schaden darstellen. Der Umstand, dass eine betroffene Person keine Möglichkeit mehr hat, die Verarbeitung der eigenen Daten nachzuvollziehen, geschweige denn darauf Einfluss nehmen zu können, stellt einen in natura nicht wiedergutzumachenden Schaden dar, der selbst dann geldwerten Ersatz verlangt, wenn die betroffene Person darunter nicht emotional gelitten hat. Auch die Beauskunftung personenbezogener Daten, die erst nach jahrelangen Verfahren vor Aufsichtsbehörden oder Gerichten vollständig erfolgt, führt zu einem Informationsnachteil, der nur noch finanziell ausgeglichen werden kann.
Wie schwierig sich die Praxis mit dem Gedanken eines „Rechtsgut Datenschutz“ tut, zeigen die Schlussanträge von Generalanwalt Pitruzzella in der Rechtssache C‑340/21. Zwar hat der Generalanwalt keine generellen Bedenken, in der Befürchtung eines möglichen künftigen Datenmissbrauchs einen ersatzfähigen Schaden zu erblicken – allerdings setzt auch er voraus, dass die betroffene Person einen individuellen „emotionalen Schaden“ erlitten hat. Es bleibt insofern abzuwarten, wie der EuGH sich zu dieser grundlegenden Frage äußert.
Feststellung und Nachweisbarkeit des Schadenseintritts
Im gegenständlichen Urteil betont der EuGH, dass eine betroffene Person nicht von dem Nachweis befreit sein soll, dass die negativen Folgen einer rechtswidrigen Verarbeitung auch einen immateriellen Schaden darstellen (Rn 50). Dies ist konsequent, da ja die bloße Rechtsverletzung – egal wie gravierend – für sich genommen keinen Anspruch nach Art. 82 DSGVO begründet (siehe Punkt 1.).
Der Nachweis immaterieller Schäden ist naturgemäß schwierig, da sich der Schadeneinstritt in der Regel in der Sphäre der geschädigten betroffenen Person abspielt. Dennoch dürfen wegen der – vom EuGH hervorgehobenen – Grundsätze der Äquivalenz und der Effektivität (siehe Punkt 3.1.) keine künstlich strengen Erfordernisse an den Eintritt eines Schadens gestellt werden. Nimmt man nur in Extremfällen einen Schaden an, droht die Einführung einer „Erheblichkeitsschwelle“ durch die Hintertür.
Für die Praxis empfiehlt sich ein Vergleich zu altbekannten immateriellen Schadensersatzansprüchen: So wird bei Körperverletzungen zumeist grundsätzlich vom Eintritt eines über die materiellen Heilungskosten hinausgehenden Schmerzensgeldanspruchs ausgegangen – ein weiterer Nachweis von konkreten Schmerzen ist nicht erforderlich. Bei Eingriffen in das Rechtsgut Datenschutz sollte im Sinne der Äquivalenz und Effektivität ein ähnlicher Maßstab zur Anwendung gelangen, wonach bei bestimmten typischen Rechtsverletzungen auch typischerweise ein Schadenseintritt anzunehmen ist.
Freilich wird es von dieser Grundannahme abweichende Situationen geben, in denen ein Schadenseitritt nicht plausibel oder unwahrscheinlich erscheint bzw. tatsächlich nur in Einzelfällen gegeben sein könnte – etwa bei minimal verspäteter Beantwortung eines Auskunftsbegehrens. In vielen Fällen, wie etwa Data Breaches mit endgültigem Kontrollverlust, jahrelangen Verarbeitungen ohne geeignete Rechtsgrundlage oder Datenübermittlungen in Drittländer ohne geeigneten Mechanismus nach Kapitel V DSGVO wird es aber in einer Vielzahl an Fällen zu immateriellen Schäden kommen, sodass keine allzu strengen Anforderungen an den vom EuGH geforderten Schadensachweis gestellt werden kann. Mit anderen Worten: Bei einer Körperverletzung zweifelt kein Gericht ernsthaft daran, dass dem Geschädigten prinzipiell ein Schmerzensgeldanspruch zusteht. Nichts Anderes sollte bei Datenschutzverletzungen gelten, in denen davon auszugehen ist, dass eine „durchschnittliche betroffene Person“ im Sinne einer „objektiven Maßfigur“ einen immateriellen Schaden erlitten hat.
Schadensbemessung: Vollständiger und wirksamer Ausgleich und richterliches Ermessen
Auch bei der Bemessung des Schadens liefert das Abstellen auf eine „objektive Maßfigur“ sachgerechtere Ergebnisse als der Versuch, das individuell erlittene Ungemach festzustellen und mit einem angemessenen Geldbetrag zu beziffern. Gemäß der Schadensersatzrechtlichen Ausgleichsfunktion im Sinne des vom EuGH verlangten „vollständigen und wirksamen Ausgleich“ sollte die Frage daher lauten: „Mit welchem Betrag würde eine durchschnittliche Person die erlittene Beeinträchtigung als abgegolten ansehen?“ (siehe hierzu bereits VerfBlog, 2022/11/14).
Hierfür muss das Rad nicht neu erfunden werden, vielmehr kann Anleihe bei den „Schmerzensgeldtabellen“ für Körperverletzungen genommen werden, welche die ständige Rechtsprechung in vielen Mitgliedsstaaten wiedergeben. So kann nach und nach für typische Konstellationen von Datenschutzverletzungen mit negativen Folgen für betroffene Personen ein typischerweise zustehender Schadensersatz herausgearbeitet werden. Hat sich eine entsprechende obergerichtliche Rechtsprechung einmal etabliert, liegen die Vorteile der damit geschaffenen Rechtssicherheit auf der Hand. Sowohl Geschädigter als auch Schädiger können abschätzen, welche Schadensersatzforderungen in welchen Verletzungskonstellationen möglich sind.
Die Gefahr des Einklagens unrealistisch hoher Schadensersatzforderungen und der damit verknüpften Prozesskostentragung wird für Geschädigte reduziert. Gleichzeitig hat der regelmäßige Zuspruch von nur geringem Schadensersatz für geringe Rechtsverletzungen dämpfende Effekte. Bei neuartigen Datenschutzverletzungen letztlich wird es dem Gericht vereinfacht, relativ großzügig von der Möglichkeit Gebrauch zu machen, den Ersatzbetrag nach freiem richterlichem Ermessen zu schätzen (siehe § 287 der deutschen bzw. § 273 der österreichischen ZPO), indem sachgerechte Vergleiche zu bekannten Verletzungskonstellationen gezogen werden.
Das Ziel vieler deutscher Gerichte, Schadensersatz für minimale Datenschutzverletzungen über eine „Erheblichkeitsschwelle“ zu verwehren, ist bei einer realistischen Schadensbemessung schon wirtschaftlich schnell erreicht. Wie auch bei sonstigen Schadensersatzforderungen, wird sich kaum jemand die Mühe machen zu klagen, wenn etwa ein Auskunftsersuchen ein paar Wochen zu spät beantwortet wurde und man hierfür etwa einen Ersatzanspruch von € 50 ansetzt.
Mit Hinblick auf die Verbandsklagerichtlinie (Richtlinie (EU) 2020/1828), die auch die kollektive Rechtsdurchsetzung betreffend DSGVO-Verletzungen ermöglicht, ist zudem zu bedenken, dass eine komplette Einzelfallbetrachtung für die Bemessung der Schadenshöhe dazu führen könnte, dass viele Verfahren schlicht nicht administrierbar wären. Immaterielle Schäden gemäß Art. 82 DSGVO werden häufig aus gleichgelagerten Sachverhalten entstehen, die tausende oder gar Millionen Menschen betreffen (zu denken ist an große Data Breaches oder die in EuGH C‑446/21 gegenständlichen Verarbeitungen durch Meta ohne geeignete Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO). Wird nicht auf eine „objektive Maßfigur“ und einen typischerweise entstehenden Schaden, sondern einzig auf die individuelle Gefühlsbeeinträchtigung abgestellt, müsste das Gericht entsprechend tausende Kläger:innen zu ihrem individuell erlittenen Schaden befragen, was dem vom EuGH verlangten Grundsatz der Effektivität widerspricht.
Resümee und Ausblick
Das Urteil in der Rechtssache C‑300/21 ist ein wichtiger Meilenstein am Weg zur unionsweit einheitlichen Behandlung immaterieller Schadensersatzansprüche nach Art. 82 DSGVO. Insbesondere was es die Schadensqualität erlittener Beeinträchtigungen und die Schadensbemessung anbelangt, besteht aber der Bedarf, eine einheitliche Rechtsprechung zu entwickeln. Besonders deutlich wird dies in rezenten Entscheidungen zweier Landgerichte aus Nordrhein-Westfalen, die trotz weitgehend identischen Sachverhalts kaum unterschiedlicher hätten ausfallen können. Während das LG Bonn einen Kontrollverlust als ersatzfähigen Schaden infolge unzureichender Maßnahmen gegen „Scraping“ auf Facebook feststellte und EUR 250 zusprach, nahm das LG Köln bloßen Ärger und Unmutsgefühle an, die es als mögliche Schadensposition zurückwies.
Weitere Klärung – sowohl zum Schadenseintritt als auch zu dessen Bemessung – ist von den übrigen anhängigen Vorabentscheidungsersuchen zu erhoffen. Neben der oben erwähnten Rechtssache C‑340/21, zu der bereits die Schlussanträge vorliegen, ist insbesondere auf die Rechtssachen C‑182/22 und C‑189/22 hinzuweisen. In diesen fragt das vorlegende Gericht unter anderem, ob der dem Schadensersatz nach Art. 82 DSGVO neben der Ausgleichsfunktion auch eine individuelle Genugtuungsfunktion zukommt und inwieweit sich der Grad des Verschuldens auf die Schadensbemessung auswirkt. Letztere Frage wird auch der Rechtssache C‑667/21 gestellt, wo das Gericht zudem nach einem möglichen spezial- bzw. generalpräventiven Charakter von Art. 82 DSGVO fragt.
Insgesamt bleibt zu hoffen, dass der EuGH den mitgliedstaatlichen Gerichten praxistaugliche Werkzeuge zur Schadensermittlung in die Hand gibt, die eine unionsweit einheitliche Behandlung immaterieller Schadensersatzansprüche ermöglichen. Die Bedeutung der Ersatzfähigkeit immaterieller Schäden aus Datenschutzverletzungen darf dabei nicht unterschätzt werden. Auch wenn diesen Ansprüchen kein präventiver Charakter zukommen dürfte, können sie in der Praxis genau diesen Effekt erzielen und weit besser als Bußgelder nach Art. 83 DSGVO zur Rechtstreue datenverarbeitender Verantwortlicher beitragen
Disclaimer: noyb steht mit der betroffenen Person, die im Ausgangsrechtsstreit des EuGH Verfahrens C-300/21 vor den österreichischen Gerichten gemäß Art. 82 DSGVO auf immateriellen Schadenersatz geklagt hat, seit der Anhängigkeit des Vorabentscheidungsersuchens beim EuGH in Kontakt und hat diese im Zusammenhang mit dem Vorabentscheidungsersuchen unentgeltlich beraten und unterstützt.
Thank you for the great overview.
A question that concerns me personally these times strongly: Where do you see the limit of deliberate self-harm reached in order to be able to generate claims for pain and suffering first? I consider the potential for abuse of the GDPR to be considerable.
Thank you and best regards
Dr. Max Greger
Interessanter Beitrag. Eine sprachliche Anmerkung: Richtig heißt es nicht „immaterieller Schadenersatz“, sondern „Ersatz für immateriellen Schaden“ (vgl Rami, Saure Zeiten und geheime Rechte, ÖJZ 2010, 882; ders, Bewegliche Gedanken über versuchte Täter, ÖJZ 2014, 699).