Die bisherige Praxis zu immateriellen Schadenersatzansprüchen nach Art. 82 Abs. 1 DSGVO wird durch nationale Gerichte sehr uneinheitlich entschieden. In einer aktuellen Entscheidung des EuGH (Urteil v. 04.05.2023 Az. C-300/21) stellt dieser fest, dass der bloße Verstoß gegen die DSGVO nicht automatisch einen immateriellen Schadenersatzanspruch begründet. Zudem stellt der EuGH klar, welche kumulativen Voraussetzungen für einen solchen Anspruch vorliegen müssen und welche Maßstäbe für die Ermittlung des Umfangs eines Schadenersatzes gelten.

I. Was ist passiert?

Im (österreichischen) Ausgangsverfahren hatte der Kläger gegen die österreichische Post AG als Beklagte einen immateriellen Schadenersatzanspruch geltend gemacht. Die Beklagte hatte mit Hilfe eines Algorithmus anhand sozialer und demografischer Merkmale sog. „Zielgruppenadressen“ definiert, aus denen sich im Wege einer statistischen Hochrechnung eine hohe Affinität des Klägers zu einer bestimmten Partei ableiten ließ. Die Verarbeitung hatte den Zweck, Wahlwerbung für Parteien zu ermöglichen. Eine Einwilligung für diese Verarbeitung hatte die Beklagte nicht eingeholt. Die Daten wurden nicht an Dritte übermittelt. 

Der Kläger begehrte daraufhin (immateriellen) Schadenersatz i. H. v. 1.000 EUR. Sowohl die erste als auch die zweite Instanz wiesen die Klage jeweils zurück. Der Oberste Gerichtshof bat den EuGH um Klärung von drei Vorlagefragen (Vorlagebeschluss v. 12.05.2021, Az.: 6 Ob 35/21 x).

Der EuGH sollte insbesondere die Frage klären, ob es für einen Zuspruch von Schadenersatz nach Art. 82 Abs. 1 DSGVO genügt, wenn eine Verletzung von DSGVO-Vorschriften stattgefunden hat, oder ob ein Kläger einen (immateriellen) Schaden darlegen muss. Zudem sollte der EuGH die Fragen beantworten, ob für einen Schadenersatzanspruch eine gewisse Erheblichkeitsschwelle überschritten sein muss und ob für die Bemessung des Schadenersatzes (neben den Grundsätzen der Effektivität und Äquivalenz) weitere Vorgaben des Unionsrechts bestehen.

II. Maßstäbe für einen immateriellen Schadenersatzanspruch nach dem EuGH

Der EuGH stellt in seinem Urteil zunächst fest, dass der Schadenersatzanspruch aus Art. 82 Abs. 1 DSGVO an drei kumulative Voraussetzungen geknüpft ist, nämlich (i) ein Verstoß gegen die DSGVO, (ii) das Vorliegen eines materiellen oder immateriellen Schadens, der aus diesem Verstoß resultiert und (iii) ein Kausalzusammenhang zwischen dem entstandenen Schaden und dem Verstoß.

Daraus folgt, dass nicht bereits ein reiner Verstoß gegen die DSGVO zwangsläufig zu einem Schadenersatzanspruch führt, sondern es vielmehr eines Kausalzusammenhang zwischen einem solchen Verstoß und dem entstanden Schaden bedarf. Eine andere Auslegung sei mit dem Wortlaut von Art. 82 Abs. 1 DSGVO nicht vereinbar.

Daneben stellt der EuGH klar, dass sich weder aus dem Wortlaut von Art. 82 Abs. 1 DSGVO noch aus der vom Unionsgesetzgeber gewählten weiten Verständnis des Begriffs „Schaden“ eine Erheblichkeitsschwelle ergibt. Eine Erheblichkeitsprüfung würde zudem dem gleichmäßigen und hohen Schutzniveau der DSGVO für natürliche Personen entgegenlaufen, da die graduelle Abstufung von einer solchen Schwelle von der Beurteilung des nationalen Gerichts abhinge.

Zuletzt macht der EuGH deutlich, dass die DSGVO keine Bestimmungen enthält, die die Bemessung des Schadenersatzes regeln. Daher müssen die Mitgliedsstaaten die innerstaatlichen Vorschriften über den Umfang der finanziellen Entschädigung anwenden und dabei die unionsrechtlichen Grundsätze der Äquivalenz und Effektivität beachten. Zudem müsse die Ausgleichsfunktion des Schadenersatzanspruchs nach Art. 82 Abs. 1 DSGVO im nationalen Recht sichergestellt werden, wonach ein vollständiger und wirksamer Schadenersatz für einen erlittenen Schaden erforderlich ist.

III. Folgen für die Praxis: Was sollten Verantwortliche zukünftig beachten?

• Zunächst ist die Klarstellung, dass nicht jeder (formelle) Verstoß gegen die DSGVO automatisch zu einem Schadenersatzanspruch des Betroffenen führt, für Verantwortliche positiv zu bewerten So werden insbesondere in arbeitsgerichtlichen Verfahren häufig bereits kleinste Verstöße des Arbeitgebers gegen die DSGVO (z.B. unvollständiger oder verspäteter Auskunftsanspruch nach Art. 15 DSGVO) mit einem Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO verbunden. Die gerichtliche Praxis ist bis dato sehr uneinheitlich. Durch die Entscheidung des EuGH dürfte die Hemmschwelle für die Geltendmachung eines solchen Anspruchs zumindest höher sein. 

• Geltend gemachte Schadenersatzansprüche sind daher genau zu prüfen. Dabei sollte insbesondere Augenmerk auf eine (nicht) bestehende Kausalität zwischen dem (vermeintlichen) Verstoß und Schaden gelegt werden.

• Eine gute Dokumentation (Durchführung von Betroffenenrechten, bestehende Rechtsgrundlagen) und allgemeine Datenschutz-Compliance erleichtern es, Schadenersatzansprüchen von Betroffenen effektiv entgegenzutreten. So sollte durch interne Verfahren beispielsweise sichergestellt werden, dass Betroffenenanfragen stets fristgerecht (vgl. Art. 12 Abs. 3 S. 1 DSGVO) beantwortet werden.

• Die Maßstäbe des EuGH betreffen Schadenersatzansprüche nach Art. 82 Abs. 1 DSGVO aber nicht mögliche Geldbußen. Ein bloßer Verstoß kann daher weiterhin behördliche Verfahren und Geldbußen (Art. 83 DSGVO) nach sich ziehen, ohne dass es zu einem kausalen Schaden bei Betroffenen gekommen ist.

IV. Fazit 

Der Ball liegt jetzt also wieder bei den nationalen Gerichten, die gehalten sind, praxistaugliche Kriterien zur Festsetzung und Bemessung immaterieller Schadenersatzzahlungen aufzustellen. Einige Fragen bleiben daher auch weiterhin offen: Genügt ein bloßes „Ärgernis“ oder subjektives Unmutsgefühl, um einen immateriellen Schadenersatz zu begründen? Und wie konkret müssen diese Umstände dargelegt werden? Es bleibt abzuwarten, welche Anforderungen die Gerichte an den Darlegungsaufwand stellen werden.