04.11.2022 | IT-Recht und Datenschutz
1. Art. 82 DSGVO und seine vielen offenen Fragen
Kaum ein anderer Anspruch bietet derzeit so viel Rechtsunsicherheit wie der Schadensersatzanspruch für immaterielle Schäden (auch als Schmerzensgeldanspruch bezeichnet) aufgrund von Datenschutzverletzungen. Dennoch hat der Anspruch an Popularität und Relevanz in den letzten Jahren deutlich zugenommen. Dies hat einen Grund: Während es in der Vor-DSGVO-Zeit im Bundesdatenschutzgesetz nur einen Anspruch auf den Ersatz materieller Schäden gab und immaterielle Schäden im deutschen Zivilrecht nur unter sehr strengen Voraussetzungen in Ausnahmefällen ersetzt wurden, sind die Hürden für die Geltendmachung eines solchen Schadens mit Einführung der DSGVO erheblich gesunken. Mittlerweile urteilen nicht selten Gerichte einen immateriellen Schadensersatz im vierstelligen Bereich aus.
Das Problem an dem eigenständigen, unionsrechtlichen Anspruch aus Art. 82 DSGVO ist jedoch, dass nahezu alle Tatbestandsvoraussetzungen in der Rechtsprechung und unter den Juristen umstritten sind. So wird der Anspruch teilweise vollkommen anders ausgelegt und angewendet, als dies bis dato im deutschen Schadensrecht üblich war.
Diese Unsicherheit hat bislang mehrere deutsche sowie europäische Gerichte dazu bewogen, dem EuGH Fragen zur Auslegung des Anspruchs zur Beantwortung vorzulegen. Eines der ersten Vorabentscheidungsersuchen stammt vom Obersten Gerichtshof Österreichs (OGH). Zu dessen Vorlagefragen (C-300/21) hat sich der Generalanwalt jüngst in seinen am 6. Oktober 2022 veröffentlichten Schlussanträgen geäußert. Da der EuGH erfahrungsgemäß in der Regel den Schlussanträgen des Generalanwalts folgt, haben diese schon jetzt eine nicht zu unterschätzende Bedeutung.
Dieser Beitrag stellt die für die Praxis wichtigsten Erkenntnisse aus den Schlussanträgen vor.
2. Schadensersatz ohne Schaden?
Die erste Frage, der sich der Generalanwalt in seinen Ausführungen annimmt, scheint auf den ersten Blick banal. Der OGH wollte wissen, ob der Zuspruch von Schadenersatz nach Art. 82 DSGVO neben einem Verstoß gegen die DSGVO auch erfordert, dass der Kläger einen Schaden erlitten hat. Einfach gesagt: Gibt es einen Schadensersatz auch ohne Schaden? Für das deutsche Schadensrecht, das vom Kompensationsgedanken geprägt ist, eigentlich undenkbar.
Bisweilen sind sich die deutschen und europäischen Gerichte diesbezüglich jedoch uneins. Das Bundesarbeitsgericht (BAG) führte beispielsweise in einem Beschluss vom 26.08.2021 (8 AZR 253/20 (A)) im Rahmen einer arbeitsrechtlichen Streitigkeit aus, dass der Anspruch auf immateriellen Schadenersatz nach der DSGVO über eine Verletzung der DSGVO hinaus nicht zusätzlich erfordert, dass die verletzte Person einen (weiteren) von ihr erlittenen Schaden darlegt. Mit dieser Auffassung steht das BAG jedoch nahezu allein da. Die deutliche Mehrheit in der Rechtsprechung geht von der Notwendigkeit eines konkret erlittenen immateriellen Schadens aus (u.a. das LG Hamburg [324 S 9/19], das LG Köln [5 O 84/21] und das LG Frankfurt am Main [2-01 S 191/20]).
Dieser Ansicht schließt sich nun auch der Generalanwalt an. Dies begründet er mit einem Verweis auf den Wortlaut der Norm. Dieser differenziert nämlich eindeutig zwischen dem „Verstoß“ als solchem und einem erlittenen „Schaden“. Der Schadensersatz werde gerade deshalb gewährt, weil der betroffenen Person ein Schaden entstanden sei. Ohne einen Schaden würde Art. 82 DSGVO seine Ausgleichsfunktion verlieren und eher die Rechtsnatur einer Sanktion erhalten, so der Generalanwalt.
Im weiteren Verlauf stellt der Generalanwalt außerdem klar, dass die Verletzung der Vorschriften der DSGVO auch nicht die unwiderlegbare Vermutung für das Vorliegen eines Schadens begründe. In der Praxis hätte eine solche Vermutung wohl annähernd die gleiche Folge, wie wenn der Schadensersatz an den bloßen Verstoß gegen eine Norm anknüpfen würde. Anlass war hierfür die Annahme des Klägers vor dem OGH, ein Verstoß führe zwangsläufig zu einem Verlust der Kontrolle über die Daten, was per se einen nach Art. 82 DSGVO ersatzfähigen Schaden darstelle. Dem stimmte der Generalanwalt jedoch nicht zu.
Ein Schadensersatz ohne Schaden bleibt daher wohl auch zukünftig ausgeschlossen.
3. Schadensersatz als Bestrafung?
Noch interessanter ist die Frage nach dem Charakter des Schadensersatzes in der DSGVO. Soll dieser den Verantwortlichen oder den Auftragsverarbeiter über den Schadensausgleich hinaus bestrafen? Würde man dies annehmen, könnten die ausgeurteilten Summen deutlich in die Höhe schnellen. Ein solcher Strafschadensersatz ist im amerikanischen Recht unter dem Begriff „punitive damages“ bekannt, dem deutschen Recht ist er aber fremd. Das deutsche Schadensrecht hat nicht das Ziel, den Schädiger zu sanktionieren. Vielmehr soll der Geschädigte allein einen Ausgleich für seinen Schaden erhalten.
Einig ist man sich aufgrund der Rechtsprechung des EuGH bezüglich europarechtlich verankerter Schadensersatzansprüche insoweit, als dass dem Anspruch des Art. 82 DSGVO zumindest eine „abschreckende Wirkung“ zukommen soll. Des Weiteren stellt der Verordnungsgeber in den Erwägungsgründen der DSGVO selbst klar, dass betroffene Personen einen „vollständigen“ und „wirksamen“ Schadensersatz erhalten sollen. Vor diesem Hintergrund gehen einige nationale Gerichte davon aus, dass die beabsichtigte abschreckende Wirkung nur durch "empfindliche" und damit überkompensatorische Schmerzensgelder erreicht werden kann.
Der Generalanwalt setzt sich mit dieser Frage in besonderem Umfang auseinander und kommt zu dem Ergebnis, dass der Schadensersatzanspruch geeignet sein müsse, den Schaden zu kompensieren. Der Anspruch aus Art. 82 DSGVO habe jedoch nicht den Zweck, den Schädiger zu bestrafen. Die Ausgleichsfunktion des Art. 82 DSGVO und die Sanktionsfunktion des Art. 83 DSGVO, der es Aufsichtsbehörden erlaubt, Bußgelder zu verhängen, seien voneinander strikt zu trennende Mittel für die Gewährleistung eines effektiven Datenschutzes.
4. „Ärger“ als Schaden?
Zuletzt setzt sich der Generalanwalt mit der Frage auseinander, ob nur dann Schadensersatz zu leisten ist, wenn die Rechtsverletzung beim Betroffenen von einem gewissen Gewicht ist. Diese Frage betrifft das viel diskutierte Problem, ob eine Untergrenze an Beeinträchtigungen existiert, unterhalb derer kein Ersatz geleistet werden muss (also eine Erheblichkeitsschwelle).
Wenn das Überschreiten einer Bagatellgrenze nicht erforderlich wäre, so könnte bereits das „ungute Gefühl“, ein Unbefugter könnte Zugang zu personenbezogenen Daten erhalten haben oder das Gefühl der Hilflosigkeit für einen Schadensersatzanspruch ausreichend sein. Auch Komfort- und Zeiteinbußen könnten einen ersatzfähigen Schaden darstellen. Mit diesem Verständnis hat das OLG Köln (15 U 137/21) einem Kläger EUR 500,00 zugesprochen, weil er aufgrund einer verspäteten Auskunft „Stress und Sorge“ verspürte.
Andere Gerichte sehen das jedoch kritisch und halten eine Bagatellgrenze für dringend geboten, andernfalls drohe ein nahezu voraussetzungsloser Schadensersatzanspruch mit erheblichem Missbrauchsrisiko.
Auch der Generalanwalt spricht sich für eine solche Erheblichkeitsschwelle aus. Bei negativen Gefühlslagen sei es Aufgabe der Gerichte, zwischen schwachen und vorübergehenden (nicht ersatzfähigen) Emotionen auf der einen und stärkeren negativen (ersatzfähigen) Beeinträchtigungen auf der anderen Seite zu unterscheiden. Dabei räumt er ein, dass es sich dabei mitunter um eine fließende Grenze handelt. Einige deutsche Gerichte sprechen bisweilen von einer notwendigen „ernsthaften Beeinträchtigung“. Andere meinen, der betroffenen Person müsse ein „spürbarer Nachteil entstanden sein, und es muss um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen“.
Wenn der EuGH letzten Endes ebenfalls eine Bagatellschwelle für geboten erachtet, ist die (Rechtsprechungs-)Praxis gefordert, diese Grenze auszuloten. Dass dies kein einfaches Unterfangen ist, zeigen zwei Entscheidungen des Landgerichts Darmstadt und des Landgerichts Köln: Während das Landgericht Darmstadt für die versehentliche Weiterleitung von Bewerbungsdaten einen immateriellen Schadensersatz von EUR 1.000,- ausurteilte, hielt das Landgericht Köln die versehentliche Versendung von Kontoauszügen an einen Dritten für eine nicht ersatzfähige Bagatelle.
5. Fazit
Ob der EuGH den Schlussanträgen des Generalanwalts folgt, bleibt abzuwarten. Die Erfahrung hat jedoch gezeigt, dass der Gerichtshof sich regelmäßig den Empfehlungen des Generalanwalts anschließt, weshalb die Ausführungen bereits einen beachtenswerten Schritt in Richtung Rechtssicherheit darstellen.
Dies ist insgesamt zu begrüßen, denn die Bedeutung des Anspruchs wird weiter zunehmen. Dies nicht zuletzt aufgrund der europäischen Verbandsklagerichtlinie (2020/1828), die bis Dezember 2022 in Deutschland umzusetzen ist und zukünftig wohl DSGVO-Sammelklagen auf Schadensersatz ermöglichen wird.