EuGH, Schlussanträge des Generalanwalts 6.10.2022 - C-300/21
Anforderungen bei Anspruch auf immateriellen Schadenersatz gem. Art. 82 Abs. 1 DSGVO
Autor: RA, FA IT-Recht Dr. Hauke Hansen, zert. Datenschutzbeauftragter (TÜV)Dipl.-Jurist David Schwarze, B.A., Wiss. Mitarb., FPS PartG mbB, Frankfurt/M.
Aus: IT-Rechtsberater, Heft 02/2023
Aus: IT-Rechtsberater, Heft 02/2023
Für die Anerkennung eines Anspruchs auf Ersatz des Schadens, den eine Person infolge eines Verstoßes gegen die DSGVO erlitten hat, reicht die bloße Verletzung der Norm als solche nicht aus, wenn mit ihr keine entsprechenden materiellen oder immateriellen Schäden einhergehen. Der Ersatz immaterieller Schäden erstreckt sich nicht auf bloßen Ärger, zu dem die Verletzung ihrer Vorschriften bei der betroffenen Person geführt haben mag. Es ist Sache der nationalen Gerichte herauszuarbeiten, wann das subjektive Unmutsgefühl aufgrund seiner Merkmale im Einzelfall als immaterieller Schaden angesehen werden kann.
DSGVO Art. 6 Abs. 1, 77 Abs. 1, 79 Abs. 1, 80, 82 Abs. 1, 3, 83, 84; DSRL Art. 23 Abs. 1; GRC Art. 8
Bemessung: Einen Strafschadenersatz sehe, wie schon im Rahmen der Antwort zur ersten Vorlagefrage ausgeführt, Art. 82 DSGVO nicht vor. Er ziele ausschließlich auf eine private Ausgleichsfunktion ab. Die Berechnung der Höhe des Schadenersatzanspruchs obliege den nationalen Gerichten, wobei die DSGVO diesen dabei keine Vorgaben zu dessen Berechnung mache. Unberührt bleibe die Möglichkeit, nach nationalem Recht Ansprüche geltend zu machen, die dem Betroffenen eine Entschädigung zusprächen, soweit das Recht des jeweiligen Mitgliedsstaats derartige Ansprüche kenne. Aber im Rahmen des Art. 82 DSGVO dürfe die Schwierigkeit des Nachweises eines Schadens nicht über den Umweg einer symbolischen Entschädigung umgangen werden.
Spürbarkeit: Diese Frage ziele darauf ab, ob eine Grenze für einen Schaden bestehe, unterhalb derer kein Ersatz geleistet werden müsse. Im Ausgangspunkt liege der DSGVO zum Schutz des Einzelnen ein weites Schadensverständnis zugrunde, doch könne weder daraus noch aus der Rechtsprechung des EuGH eine Regel abgeleitet werden, wonach jeder immaterielle Schaden, unabhängig von seiner Schwere, ersatzfähig sei. Es sei zwischen tatsächlichen Schäden und bloßen Nachteilen zu unterscheiden. Denn schon nationale Rechtsordnungen der Mitgliedsstaaten sähen solche Unterscheidungen als notwendige Voraussetzung für ein gesellschaftliches Zusammenleben an. Zudem sei Art. 82 Abs. 1 DSGVO nicht geeignet, um Verstöße zu sanktionieren, die nur zu Zorn und ähnlichen Gefühlen führten, zumal Betroffene bei solchen weniger intensiven Reaktionen nicht gänzlich schutzlos seien. Ihnen stünden die Betroffenenrechte der DSGVO zur Verfügung.
DSGVO Art. 6 Abs. 1, 77 Abs. 1, 79 Abs. 1, 80, 82 Abs. 1, 3, 83, 84; DSRL Art. 23 Abs. 1; GRC Art. 8
Das Problem
Die Österreichische Post AG nahm als Adressenverlag unter Zuhilfenahme eines Algorithmus statistische Hochrechnungen anhand bestimmter soziodemografischer Merkmale vor, u.a. für eine Zielgruppenanalyse für Wahlwerbung. Für den Betroffenen wurde ohne dessen Einwilligung eine hohe Affinität zu einer Partei des rechten politischen Spektrums ermittelt. Eine Veröffentlichung oder sonstige Weitergabe der Daten an Dritte erfolgte nicht. Der Betroffene verlangte immateriellen Schadenersatz gem. Art. 82 Abs. 1 DSGVO, da ihn das Verhalten der Post verärgert und bloßgestellt habe. Der Oberste Gerichtshof der Republik Österreich legte dem EuGH die folgenden drei Fragen zu Umfang und Reichweite des immateriellen Schadenersatzanspruchs zur Vorabentscheidung vor:- 1. Erfordert der Zuspruch von Schadenersatz nach Art. 82 der DSGVO neben einer Verletzung von Bestimmungen der DSGVO auch, dass der Kläger einen Schaden erlitten hat, oder reicht bereits die Verletzung von Bestimmungen der DSGVO als solche für die Zuerkennung von Schadenersatz aus?
- 2. Bestehen für die Bemessung des Schadenersatzes neben den Grundsätzen der Effektivität und Äquivalenz weitere Vorgaben des Unionsrechts?
- 3. Ist die Auffassung mit dem Unionsrecht vereinbar, dass Voraussetzung für den Zuspruch immateriellen Schadens ist, dass eine Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht vorliegt, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgeht?
Die Anträge des Generalanwalts
Schaden: Die bloße Verletzung einer Vorschrift der DSGVO sei nicht ausreichend, um einen Schadenersatzanspruch zu begründen. Vielmehr müsse aus diesem Rechtsverstoß auch ein entsprechender materieller oder immaterieller Schaden folgen. Denn weder Art. 82 Abs. 1 DSGVO noch die Erwgrd. 75 und 85 sähen ihren Wortlauten nach einen Strafschadenersatz vor. Auch sei während des Gesetzgebungsverfahrens ein solcher Sanktionscharakter der Schadenersatznorm zu keinem Zeitpunkt thematisiert worden. Ferner sehe die DSGVO für den Zweck der Strafe bzw. Abschreckung verwaltungsrechtliche Bußgelder vor, während dem Schadenersatzanspruch ausschließlich eine Ausgleichsfunktion zukomme. Hierbei habe die Aufsichtsbehörde die in Art. 83 DSGVO aufgezählten Faktoren zu berücksichtigen; diese seien aber nicht auf die Berechnung des Schadenersatzes nach Art. 82 DSGVO übertragbar. Zudem laufe ein Schadenersatzanspruch ohne bestehenden Schaden, verbunden mit der Möglichkeit, dadurch einen „Gewinn“ zu erzielen, dem Telos der Norm zuwider. Denn dies könnte die betroffenen Personen dazu veranlassen, den Weg der Schadenersatzklage der Beschwerde bei deiner Datenschutzbehörde gem. Art. 77 DSGVO vorzuziehen, und den Behörden damit die Möglichkeit nehmen, im öffentlichen Interesse Ermittlungen einzuleiten. Schließlich bezwecke die DSGVO nicht, die Verarbeitung personenbezogener Daten systematisch zu begrenzen, sondern diese unter strengen Voraussetzungen zu legitimieren. Schließlich stelle – entgegen der im letzten Jahr in seinem Vorlagebeschluss geäußerten Ansicht des BAG (BAG, Beschl. v. 26.8.2021 – 8 AZR 253/20 [A] Rz. 33) – insb. der Kontrollverlust an personenbezogenen Daten allein kein ersatzfähiger Schaden dar.Bemessung: Einen Strafschadenersatz sehe, wie schon im Rahmen der Antwort zur ersten Vorlagefrage ausgeführt, Art. 82 DSGVO nicht vor. Er ziele ausschließlich auf eine private Ausgleichsfunktion ab. Die Berechnung der Höhe des Schadenersatzanspruchs obliege den nationalen Gerichten, wobei die DSGVO diesen dabei keine Vorgaben zu dessen Berechnung mache. Unberührt bleibe die Möglichkeit, nach nationalem Recht Ansprüche geltend zu machen, die dem Betroffenen eine Entschädigung zusprächen, soweit das Recht des jeweiligen Mitgliedsstaats derartige Ansprüche kenne. Aber im Rahmen des Art. 82 DSGVO dürfe die Schwierigkeit des Nachweises eines Schadens nicht über den Umweg einer symbolischen Entschädigung umgangen werden.
Spürbarkeit: Diese Frage ziele darauf ab, ob eine Grenze für einen Schaden bestehe, unterhalb derer kein Ersatz geleistet werden müsse. Im Ausgangspunkt liege der DSGVO zum Schutz des Einzelnen ein weites Schadensverständnis zugrunde, doch könne weder daraus noch aus der Rechtsprechung des EuGH eine Regel abgeleitet werden, wonach jeder immaterielle Schaden, unabhängig von seiner Schwere, ersatzfähig sei. Es sei zwischen tatsächlichen Schäden und bloßen Nachteilen zu unterscheiden. Denn schon nationale Rechtsordnungen der Mitgliedsstaaten sähen solche Unterscheidungen als notwendige Voraussetzung für ein gesellschaftliches Zusammenleben an. Zudem sei Art. 82 Abs. 1 DSGVO nicht geeignet, um Verstöße zu sanktionieren, die nur zu Zorn und ähnlichen Gefühlen führten, zumal Betroffene bei solchen weniger intensiven Reaktionen nicht gänzlich schutzlos seien. Ihnen stünden die Betroffenenrechte der DSGVO zur Verfügung.