EuGH: DSGVO-Verstoß allein verpflichtet nicht zum Schadensersatz – Entscheidung bringt ersehnte Klärung

EuGH: DSGVO-Verstoß allein verpflichtet nicht zum Schadensersatz – Entscheidung bringt lang ersehnte Klärung.

Der EuGH hat nun zwei Grundsatzfragen zum Schadensersatz wegen DSGVO-Verletzung (Art. 82 DSGVO) geklärt, die auch unter den deutschen Gerichten bisher heftig umstritten waren.

Der Fall:

Die österreichische Post führte 2017 einen Algorithmus zur Bestimmung der politischen Richtung von Postkunden ein. Der Algorithmus sollte anhand von soziodemografischer Daten sog. „Zielgruppenadressen“ ermitteln, denen er eine Nähe zu unterschiedlichen politischen Parteien zuschrieb, gleich, ob die betroffenen Kunden tatsächlich Mitglieder bestimmter Parteien waren oder ihnen nahestanden. Die betreffenden Daten und Ergebnisse verblieben bei der Post und wurden nicht an Dritte, insbesondere nicht an die politischen Parteien, weitergegeben.

Ein Postkunde, der sich über die ihm zugeschriebene Nähe zu einer bestimmten politischen Partei besonders ärgerte und sich bloßgestellt fühlte, hat gerichtlich Schadensersatz von der österreichischen Post verlangt.

Der Fall ist durch die Instanzen gegangen. Bei dem Österreichischen Obersten Gerichtshof (OGH) war bereits geklärt, dass die österreichische Post den Algorithmus nicht im Einklang mit dem geltenden Datenschutzrecht nutzte. Allerdings blieben die zwei folgenden ungeklärten Fragen offen, mit denen sich der OGH an den Europäischen Gerichtshof (EuGH) wandte.

Der OGH fragte sich, ob schon ein DSGVO-Verstoß – wie hier die Nutzung des Algorithmus – ausreicht, um den konkreten Verantwortlichen der Datenverarbeitung zum Schadensersatz zu verpflichten, oder ob darüber hinaus ein konkreter Schaden entstanden sein muss.

Zweitens fragte der OGH, ob ein sog. „immaterieller“ Schaden, also ein Schaden, der nicht das Vermögen des Postkunden betrifft, eine gewisse Schwere haben muss, um Schadensersatz verlangen zu können.

Die Entscheidung:

Der EuGH hat mit seiner Entscheidung vom 4. Mai 2023 (C-300/22) die langersehnte Klärung dieser Fragen herbeigeführt. Auch im deutschen Recht und unter deutschen Gerichten waren diese Fragen heftig umstritten. Die Arbeitsgerichte gingen eher von einer strengeren Haftung aus. Zum Teil wurden Arbeitnehmern beachtliche Schadensersatzansprüche allein deswegen zugesprochen, weil der Arbeitgeber die DSGVO verletzt hatte. Großzügiger war dahingegen die Rechtsprechung der allgemeinen Zivilgerichte. Dort bildete sich in den letzten Jahren die Praxis heraus, dass die von Datenschutzverletzungen betroffenen Personen auch einen Schaden vortragen müssen, um zum Ersatz berechtigt zu sein.

Letzteres hält auch der EuGH für richtig: Da die DSGVO in Art. 82 vorschreibt, dass der für die Datenverarbeitung Verantwortliche bei Verletzung der DSGVO den aus der Verletzung entstehenden Schaden ersetzen muss, sei klar, dass die Datenschutzrechtsverletzung allein nicht genügt, um einen Schadensersatzanspruch zu begründen. Demnach habe ein Anspruch auf Schadensersatz drei Voraussetzungen:

1.  Verstoß gegen die DSGVO

2.  Entstehung eines Schadens bei der betroffenen Person

3.  Ursachenzusammenhang zwischen DSGVO-Verstoß und Schaden

Weiter klärte der EuGH, dass der Anspruch auf Ersatz eines immateriellen Schadens keine gewisse Schwere oder Erheblichkeit des Schadens voraussetzt, sondern dass jeder Schadenseintritt zu einem Schadensersatzanspruch führt, sei dieser auch noch so gering bzw. unerheblich. Dies begründet der EuGH damit, dass die DSGVO keine Bestimmung über eine gewisse Schadensschwelle enthält. Die im österreichischen – und deutschen – Recht für den immateriellen Schadensersatz angenommenen Erheblichkeitsschwellen dürfen also von den entscheidenden Gerichten nicht als Maßstab herangezogen werden.

Ob allerdings eine „bloße Verärgerung“ oder „bloßes Unwohlsein“ bereits als immaterieller Schaden gilt und welcher Zusammenhang erforderlich ist, um eine Ersatzpflicht auszulösen, bleibt unbeantwortet.

Fazit und Hinweise für die Praxis:

Der Entscheidung ist zuzustimmen. Denn sie ist klar und deutlich aus den Bestimmungen der DSGVO abgeleitet. Betroffene von Datenschutzrechtsverletzungen müssen also künftig, wenn sie Schadensersatz verlangen, auch einen Schaden erlitten haben und diesen gerichtlich auch nachvollziehbar darlegen. Für den Schadensersatz genügt dabei schon jede spürbare Beeinträchtigung der betroffenen Person. Dass diese Beeinträchtigung von außen betrachtet unerheblich erscheinen mag, spielt nur eine Rolle bei der Beantwortung der Frage, wie hoch der Schadensersatzanspruch zu beziffern ist.

Bestreitet der für die Datenverarbeitung Verantwortliche, dass der behauptete Schaden tatsächlich erlitten wurde, stellt sich die weitere Frage, ob der Schaden auch vor Gericht bewiesen werden muss. Aufgrund der Rechtsentwicklung in Deutschland ist davon auszugehen, dass die sich durchsetzende Praxis der Zivilgerichte sich weiter fortsetzen wird. Ob die Arbeitsgerichte in diesem Punkt Beweiserleichterungen erlauben – dies hat das Bundesarbeitsgericht zuletzt in einer anderen EuGH-Vorlage angedeutet -, bleibt abzuwarten.

Mit der EUGH-Entscheidung hat sich in jedem Fall eine Tendenz herausgebildet, sog. „DSGVO-Hoppern“ keine gerichtliche Plattform zu bieten. Gerade im Zusammenhang mit Kündigungsschutzklagen von Arbeitnehmern kam es in letzter Zeit häufig zu Anfragen auf Datenauskunft und -kopie (Art. 15 DSGVO). Die Beantwortung solcher Auskunftsansprüche ist für die Arbeitgeber häufig sehr lästig. Da Arbeitnehmer dies wissen, liegt die Vermutung nahe, dass der hinter dem Auskunftsverlangen drohende Schadensersatzanspruch genutzt wird, um eine etwaige Abfindung im Kündigungsschutzprozess aufzuwerten. Das Urteil des EuGH versetzt dieser Praxis zumindest vorläufig einen „Dämpfer“.

Unternehmen können mit dieser Entscheidung die Risiken, die aus Datenschutzverletzungen resultieren, deutlich genauer abschätzen. Sie sollten aber nicht nur darauf achten, Verstöße zu vermeiden, sondern auch – auf eine erfolgte rechtswidrige Verarbeitung personenbezogener Daten – den Schaden der betroffenen Person so gering wie möglich zu halten.

Autoren: Christian Hrach und Oliver Korth