EuGH setzt Rechtsprechung zu Schadensersatzansprüchen nach der DSGVO konsequent fort

Urteil des EuGH, Rechtssache C-590/22

Der Europäische Gerichtshof (EuGH) hat in einer Reihe von Urteilen, insbesondere C-300/21, C-741/22, C-687/21 und nun in seinen jüngsten Urteilen vom 20.6.2024, C-590/22 und C-182/22, seine Rechtsprechung zu Schadensersatzansprüchen nach Art. 82 der Datenschutz-Grundverordnung (DSGVO) konsequent fortgesetzt und weiter präzisiert. Diese Entscheidungen bauen aufeinander auf und zeichnen ein immer klareres Bild davon, wie der Schadensersatzanspruch bei Datenschutzverstößen zu verstehen und anzuwenden ist. 

Der EuGH verfeinert die in den vorherigen Entscheidungen entwickelten Grundsätze. Er setzt damit seine Linie fort, einerseits die Rechte betroffener Personen zu stärken, andererseits aber auch überzogenen Schadensersatzforderungen einen Riegel vorzuschieben. Die Kontinuität in der Rechtsprechung des EuGH trägt  zur Rechtssicherheit bei und gibt nationalen Gerichten, Unternehmen und betroffenen Personen eine klarere Orientierung für die Anwendung des Art. 82 DSGVO, wenngleich es noch immer nicht klar ist, wie die Höhe zu bemessen ist; die bleibt Aufgabe der nationalen Gerichte. 

Sachverhalt

Im Fall C-182/22 ging es um Nutzer einer Trading-App, deren personenbezogene Daten durch unbekannte Dritte abgegriffen wurden. Die Betroffenen klagten auf Ersatz des immateriellen Schadens, der ihnen durch den Diebstahl ihrer in der App hinterlegten persönlichen Daten entstanden sein soll.

Der Fall C-590/22 betrifft ein Ehepaar, das Mandanten einer Steuerberatungskanzlei war. Die Kanzlei versandte versehentlich die Steuererklärung des Ehepaares, die sensible personenbezogene Daten enthielt, an die frühere Adresse der Mandanten. Neue Bewohner öffneten den Umschlag irrtümlich. Es blieb unklar, inwieweit diese vom Inhalt Kenntnis nahmen. Das Ehepaar klagte daraufhin auf Schadensersatz wegen immateriellen Schadens in Höhe von 15.000 Euro, basierend auf der Befürchtung, dass ihre Daten in fremde Hände gelangt sein könnten.

Die Fälle reihen sich ein in die vorherigen Entscheidungen: In C-300/21 ging es um die Verarbeitung von Daten über politische Affinitäten durch die Österreichische Post, in C-741/22 um die mehrfache Verarbeitung personenbezogener Daten für Werbezwecke trotz Widerspruchs und in C-687/21 um einen Kunden eines Elektronikgeschäfts, dessen personenbezogene Daten versehentlich kurzzeitig an einen anderen Kunden weitergegeben wurden. In allen Fällen geht es um die grundlegende Frage des Schadensersatzes bei immateriellen Schäden nach der DSGVO.

Urteil und zentrale Aussagen

Der Europäische Gerichtshof (EuGH) hat in seinem Urteil C-590/22 folgende Leitsätze formuliert:

1. Art. 82 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass ein Verstoß gegen diese Verordnung für sich genommen nicht ausreicht, um einen Anspruch auf Schadenersatz nach dieser Bestimmung zu begründen. Die betroffene Person muss auch das Vorliegen eines durch diesen Verstoß verursachten Schadens nachweisen, ohne dass dieser Schaden jedoch einen gewissen Schweregrad erreichen müsste.
2. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass die Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen diese Verordnung an Dritte weitergegeben wurden, ohne dass nachgewiesen werden kann, dass dies tatsächlich der Fall war, ausreicht, um einen Schadenersatzanspruch zu begründen, sofern diese Befürchtung samt ihrer negativen Folgen ordnungsgemäß nachgewiesen ist.
3. Art. 82 der Verordnung 2016/679 ist dahin auszulegen, dass die nationalen Gerichte bei der Festsetzung der Höhe des Schadenersatzes, der aufgrund des in diesem Artikel verankerten Schadenersatzanspruchs geschuldet wird, die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden haben, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden.
4. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass bei der Bemessung des Betrags des auf diese Bestimmung gestützten Anspruchs auf Schadenersatz zum einen die in Art. 83 dieser Verordnung vorgesehenen Kriterien für die Festsetzung des Betrags von Geldbußen nicht entsprechend anzuwenden sind und zum anderen diesem Anspruch auf Schadenersatz keine Abschreckungsfunktion beizumessen ist.
5. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass bei der Bemessung des Betrags des auf diese Bestimmung gestützten Anspruchs auf Schadenersatz zugleich verwirklichte Verstöße gegen nationale Vorschriften, die sich auf den Schutz personenbezogener Daten beziehen, aber nicht bezwecken, die Bestimmungen dieser Verordnung zu präzisieren, nicht zu berücksichtigen sind.

Basierend auf diesem und den vorherigen Urteilen hat der Europäische Gerichtshof (EuGH) wichtige Klarstellungen zu Schadensersatzansprüchen nach Art. 82 der DSGVO vorgenommen:

1. Ein Verstoß gegen die DSGVO allein reicht nicht aus, um einen Schadensersatzanspruch zu begründen. Die betroffene Person muss einen tatsächlich erlittenen Schaden nachweisen, wobei dieser keinen bestimmten Schweregrad erreichen muss. Dies bestätigt die Aussagen aus den Urteilen C-300/21, C-741/22, C-687/21 und C-182/22.
2. Die bloße Befürchtung einer Datenweitergabe kann einen Schadensersatzanspruch begründen, sofern diese Befürchtung und ihre negativen Folgen nachgewiesen werden. Das Urteil C-687/21 präzisiert, dass in einem Fall, in dem ein Dokument mit personenbezogenen Daten an einen unbefugten Dritten weitergegeben wurde, der diese Daten erwiesenermaßen nicht zur Kenntnis genommen hat, nicht schon deshalb ein "immaterieller Schaden" vorliegt, weil die betroffene Person eine künftige Weiterverbreitung oder einen Missbrauch befürchtet. Im Urteil C-182/22 stellt der EuGH klar, dass der Begriff "Identitätsdiebstahl" nur dann erfüllt ist, wenn ein Dritter die Identität einer betroffenen Person tatsächlich angenommen hat. Jedoch kann der Ersatz eines durch den Diebstahl personenbezogener Daten verursachten immateriellen Schadens nicht auf solche Fälle beschränkt werden.
3. Bei der Bemessung des Schadensersatzes sind weder die Kriterien für Geldbußen nach Art. 83 DSGVO anzuwenden, noch ist eine Abschreckungsfunktion zu berücksichtigen. Dies steht im Einklang mit den Aussagen aus C-300/21, C-741/22, C-687/21 und C-182/22, dass der Schadenersatz eine Ausgleichsfunktion hat und keinen Strafcharakter haben soll.
4. Parallel verwirklichte Verstöße gegen nationale Datenschutzvorschriften, die nicht der Präzisierung der DSGVO dienen, sind bei der Schadensersatzbemessung nach Art. 82 DSGVO nicht zu berücksichtigen. Das Urteil C-687/21 ergänzt, dass die Schwere des Verstoßes bei der Bemessung des Schadensersatzes nicht zu berücksichtigen ist. C-182/22 bekräftigt, dass weder der Grad der Schwere noch die etwaige Vorsätzlichkeit des Verstoßes bei der Schadensersatzbemessung zu berücksichtigen sind.
5. Im Urteil C-182/22 stellt der EuGH klar, dass im Rahmen der Festlegung der Höhe des Schadenersatzes davon auszugehen ist, dass ein durch eine Verletzung des Schutzes personenbezogener Daten verursachter Schaden seiner Natur nach nicht weniger schwerwiegend ist als eine Körperverletzung.
6. Der EuGH bestätigt in C-182/22, dass ein nationales Gericht bei fehlender Schwere des Schadens diesen ausgleichen kann, indem es der betroffenen Person einen geringfügigen Schadenersatz zuspricht, sofern dieser Schadenersatz geeignet ist, den entstandenen Schaden in vollem Umfang auszugleichen.

Besonders hervorzuheben ist die Klarstellung des EuGH zum Nachweis des Schadens:

Die betroffene Person muss nachweisen, dass sie tatsächlich einen materiellen oder immateriellen Schaden erlitten hat. Eine bloße Behauptung oder Befürchtung ohne nachgewiesene negative Folgen reicht nicht aus. Der EuGH betont, dass der Schaden zwar ordnungsgemäß nachgewiesen werden muss, aber kein bestimmter Schweregrad erforderlich ist. Auch ein geringfügiger Schaden kann demnach zu einem Schadensersatzanspruch führen, solange er konkret belegt werden kann.

Im Fall einer Datenschutzverletzung kann beispielsweise der Verlust der Kontrolle über personenbezogene Daten, selbst wenn nur vorübergehend, als immaterieller Schaden anerkannt werden. Die betroffene Person muss jedoch die negativen Auswirkungen dieses Kontrollverlusts darlegen und nachweisen. Das Urteil C-687/21 präzisiert, dass ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten nicht zu einer Entschädigung führen kann.

Zudem hat der EuGH in C-687/21 klargestellt, dass der Umstand, dass Mitarbeiter des für die Verarbeitung Verantwortlichen irrtümlich ein Dokument mit personenbezogenen Daten an einen unbefugten Dritten weitergegeben haben, für sich genommen nicht ausreicht, um davon auszugehen, dass die getroffenen technischen und organisatorischen Maßnahmen nicht "geeignet" im Sinne der Art. 24 und 32 DSGVO waren.

Fazit

Die Urteile des EuGH, insbesondere C-300/21, C-741/22, C-687/21, C-590/22 und C-182/22, haben wichtige Klarstellungen zur Auslegung des Schadensersatzanspruchs nach Art. 82 DSGVO gebracht. Sie betonen den Ausgleichscharakter des Schadensersatzes und grenzen diesen klar von Geldbußen ab. Für Unternehmen bedeutet dies einerseits mehr Rechtssicherheit, da nun immer gefestigt ist, dass nicht jeder Verstoß automatisch zu einem Schadensersatzanspruch führt und dass die Schwere des Verstoßes bei der Bemessung keine Rolle spielen soll.

Andererseits bleibt eine zentrale Frage weiterhin offen: 

Wie hoch sollen die Schmerzensgeldbeträge im Einzelfall ausfallen? 

Der EuGH hat bewusst darauf verzichtet, konkrete Beträge oder Berechnungsmethoden vorzugeben. Stattdessen hat er diese Aufgabe explizit den nationalen Gerichten übertragen. Diese müssen nun im Rahmen der vom EuGH gesetzten Leitlinien - insbesondere der Betonung der Ausgleichsfunktion und der Ablehnung einer Straf- oder Abschreckungsfunktion - angemessene Beträge festlegen.

Dies führt zu einer Situation, in der möglicherweise erhebliche Unterschiede zwischen den Mitgliedstaaten entstehen könnten. Nationale Gerichte werden ihre eigenen Maßstäbe entwickeln müssen, wie sie den immateriellen Schaden, der durch Datenschutzverstöße entsteht, monetär bewerten. Dabei werden sie wahrscheinlich auf bestehende nationale Rechtsprechung zu Schmerzensgeld in anderen Rechtsbereichen zurückgreifen.

Für Unternehmen und betroffene Personen bedeutet dies zunächst eine Phase der Rechtsunsicherheit. Es wird voraussichtlich einige Zeit dauern, bis sich in den einzelnen Mitgliedstaaten eine gefestigte Rechtsprechung zur Höhe der Schmerzensgelder bei DSGVO-Verstößen herausbildet. Zudem könnten sich die Beträge von Land zu Land erheblich unterscheiden, was im Hinblick auf das Ziel der DSGVO, ein einheitliches Datenschutzniveau in der EU zu schaffen, problematisch sein könnte.

Insgesamt haben die EuGH-Urteile zwar wichtige Grundsatzfragen geklärt, aber die konkrete Umsetzung und Quantifizierung des Schadensersatzes bleibt eine Herausforderung für die nationale Rechtsprechung. Es ist zu erwarten, dass in den kommenden Jahren weitere Fälle den EuGH erreichen werden, um zusätzliche Klarheit in dieser komplexen Materie zu schaffen.

Bereits eine weitere Vorlagefrage des BGH steht zur Entscheidung an (Rechtssache C-655/23 Quirin Privatbank):

"4. Ist Art. 82 Abs. 1 DSGVO dahingehend auszulegen, dass für die Annahme eines immateriellen Schadens im Sinne dieser Bestimmung bloße negative Gefühle wie z. B. Ärger, Unmut, Unzufriedenheit, Sorge und Angst, die an sich Teil des allgemeinen Lebensrisikos und oft des täglichen Erlebens sind, genügen? Oder ist für die Annahme eines Schadens ein über diese Gefühle hinausgehender Nachteil für die betroffene natürliche Person erforderlich?"

Weiterführende Links:

Das Urteil C-590/22 ist hier abrufbar: CURIA
Die Urteile C-182/22 und C-189/22 sind hier abrufbar: CURIA
Vorlagefragen des BGH in C-655/23: CURIA