Kaum ein anderer Anspruch bietet zurzeit so viel Rechtsunsicherheit wie der Schadensersatzanspruch für immaterielle Schäden nach Art. 82 Datenschutzgrundverordnung (DSGVO). Und das, obwohl dieser an Popularität und Relevanz in den letzten Jahren deutlich zugenommen hat. Nicht selten urteilen Gerichte einen Schadensersatz im vierstelligen Bereich aus.
Wegen der erheblichen Unsicherheiten im Umgang mit der Norm haben zahlreiche europäische Gerichte dem Europäischen Gerichtshof (EuGH) Fragen zur Auslegung der Norm vorgelegt. Das erste Verfahren, welchem sich der Gerichtshof nun widmet, stammt aus Österreich. Der Generalanwalt am EuGH hat im Rahmen dieses Verfahrens im vergangenen Jahr seine Entscheidungsvorschläge unterbreitet (wir berichteten). Am 04. Mai 2023 hat nun der EuGH, knapp fünf Jahre nach Inkrafttreten der DSGVO, das lang ersehnte erste Grundsatzurteil hinsichtlich mehrerer offener Fragen gefällt.
1. Verletzung der DSGVO ist noch kein Schaden
Zunächst stellte der EuGH klar, dass eine Verletzung der Vorschriften der DSGVO für sich genommen noch keinen Schaden bedeutet und damit keinen Anspruch auf Schadensersatz begründet. Vielmehr ist ein über den Verstoß hinausgehender, konkreter Schaden bei der betroffenen Person erforderlich. Dieser muss kausal auf die Verletzung von DSGVO-Vorschriften zurückzuführen sein. Kurz gesagt: Eine Verletzung macht noch keinen Schaden.
2. Keine Erheblichkeitsschwelle
Weiterhin stellt der EuGH fest, dass der Schadenersatzanspruch nicht auf erhebliche immaterielle Schäden beschränkt ist. Dies sahen sowohl der Generalanwalt als auch zahlreiche nationale Gerichte bislang anders.
Der Generalanwalt führte hierzu aus, dass es Aufgabe des jeweiligen nationalen Gerichts sei, zwischen schwachen und vorrübergehenden (nicht ersatzfähigen) Emotionen auf der einen und stärkeren negativen (ersatzfähigen) Beeinträchtigungen auf der anderen Seite zu unterscheiden.
Dieser Ansicht schiebt der EuGH nun einen Riegel vor und stellt klar: Jeder feststellbare Schaden ist potenziell ersatzfähig. Die DSGVO kennt keine Erheblichkeitsschwelle! Eine solche Beschränkung stünde im Widerspruch zu dem vom Unionsgesetzgeber gewählten, weiten Verständnis des Begriffs „Schaden“.
3. Schadensbemessung ist Sache nationaler Gerichte / Kein Strafschadensersatz
Abschließend gibt der EuGH noch einige Hinweise zur Bemessung des Schadensersatzes.
Zunächst soll der Schadensersatzanspruch nach Art. 82 DSGVO den Schädiger – über den bloßen Ausgleich des Schadens hinaus – nicht bestrafen. Die DSGVO sieht einen solchen Strafschadensersatz nicht vor. Art. 82 DSGVO hat allein eine Ausgleichsfunktion.
Darüber hinaus stellt der EuGH fest, dass die DSGVO keine Bestimmungen zur Bemessung des Schadensersatzes enthält. Es ist daher Aufgabe der nationalen Gerichte, die Kriterien für die Ermittlung des Schadensersatzumfangs festzulegen. Dabei haben die nationalen Gerichte den Äquivalenz- und Effektivitätsgrundsatz zu beachten.
4. Und nun?
Es fragt sich, ob die langerwartete Grundsatzentscheidung tatsächlich dazu führt, dass der so unklare Schadensersatzanspruch nach Art. 82 DSGVO zukünftig sicherer und einheitlicher angewendet werden kann.
Die Antwort darauf: ein konsequentes „Jein“. Zwar bringt die Entscheidung insofern Rechtssicherheit, als dass nun zumindest das Erfordernis eines echten Schadens feststeht. Eine Klageflut aufgrund bloßer DSGVO-Verstöße ohne eigenen Schaden ist damit abgewendet. Allerdings war dies ohnehin die verbreitete Meinung der deutschen Gerichte (mit prominenter Ausnahme des Bundesarbeitsgerichts).
Im Übrigen ist die Entscheidung für den Rechtsanwender keine große Hilfe. Zwar steht nun fest, dass es keine Erheblichkeitsschwelle gibt. Diese Erkenntnis hilft aber nicht wirklich weiter. Denn die Problematik verlagert sich damit auf die Frage, wann überhaupt ein ersatzfähiger Schaden vorliegt. Hier gehen die Meinungen in den gerichtlichen Entscheidungen bisher weit auseinander. Auch zukünftig stehen wir also vor Fragen wie: Erleidet derjenige, der über die Umstände der Verarbeitung seiner personenbezogenen Daten im Unklaren ist, einen ersatzfähigen Schaden? Was ist mit Gefühlen wie „Stress und Sorge“? Und wie konkret muss z.B. "Ärger" oder "Unsicherheit" dargelegt werden, damit ein Schaden bejaht werden kann?
Es bleibt zu hoffen, dass der EuGH im Rahmen der Beantwortung der weiteren – zahlreichen – Vorlageverfahren zu Art. 82 DSGVO praxistauglichere Antworten liefert.