EuGH: Art und Umfang der Schadensersatzpflicht nach Datenschutzrecht - DSGVO

Datenschutzrecht. Der Gerichtshof der Europäischen Union (EuGH) hat mit Urteil vom 04. Oktober 2024 (Az. C-507/23) Feststellungen zur Auslegung des Schadensersatzanspruchs gemäß Artikel (Art.) 82 Absatz (Abs.) 1 Datenschutz-Grundverordnung (DSGVO) im Hinblick auf dessen Voraussetzungen und Umfang getroffen und dabei entschieden, dass Art. 82 Abs. 1 DSGVO

1. in Verbindung mit Art. 8 Abs. 1 der Charta der Grundrechte der Europäischen Union dahin auszulegen ist, dass ein Verstoß gegen Bestimmungen dieser Verordnung für sich genommen nicht ausreicht, um einen „Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO darzustellen,
2. dahin auszulegen ist, dass eine Entschuldigung einen angemessenen Ersatz eines immateriellen Schadens auf der Grundlage dieser Bestimmung darstellen kann, insbesondere, wenn es nicht möglich ist, die Lage vor dem Eintritt des Schadens wiederherzustellen, sofern diese Form des Schadensersatzes geeignet ist, den der betroffenen Person entstandenen Schaden in vollem Umfang auszugleichen und
3. dahin auszulegen ist, dass er der Möglichkeit entgegensteht, die Haltung und die Beweggründe des Verantwortlichen zu berücksichtigen, um der betroffenen Person gegebenenfalls einen Schadensersatz zu gewähren, der geringer ist als der Schaden, der ihr konkret entstanden ist.

Ausgangsverfahren

Das oberste lettische Gericht hat im Ausgangsverfahren über den Ersatz eines behaupteten immateriellen Schadens zu entscheiden, der dem Kläger dadurch entstanden sein soll, dass die Beklagte Verbraucherschutzbehörde einige seiner personenbezogenen Daten ohne seine Zustimmung verarbeitet habe.

Im Rahmen einer Kampagne zur Sensibilisierung von Verbrauchern für die Risiken beim Kauf eines Gebrauchtwagens verbreitete die Beklagte auf mehreren Websites eine Videosequenz, in der der in Lettland als Journalist mit Fachkenntnissen im Automobilbereich bekannte Kläger von einer Person imitiert wurde. Dem hätte er nicht zugestimmt. Trotz Widerspruchs gegen die Anfertigung und Verbreitung der Videosequenz blieb sie online verfügbar und die Beklagte lehnte Forderungen nach Beendigung der Verbreitung und Schadensersatzes wegen Rufschädigung ab.

Das Bezirksverwaltungsgericht erklärte die Handlungen der Beklagten für rechtswidrig, ordnete deren Unterlassung an und gab der Beklagten auf, sich öffentlich beim Kläger zu entschuldigen und ihm eine Entschädigung in Höhe von 100 Euro für den entstandenen immateriellen Schaden zu leisten.

Die Rechtswidrigkeit der Verarbeitung wurde danach vom Regionalverwaltungsgericht bestätigt. Es ordnete ebenfalls die Beendigung des Verhaltens an sowie die Veröffentlichung einer Entschuldigung auf den Websites, auf denen die Sequenz verbreitet wurde. Der beantragte Ersatz immateriellen Schadens wurde jedoch zurückgewiesen, unter anderem weil der Verstoß nicht schwerwiegend sei, weil die Videosequenz zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe gedient habe und darauf zurückzuführen sei, dass komplexe Rechtsvorschriften falsch ausgelegt worden seien.

Der Kläger wendete sich daraufhin betreffend die Ablehnung des finanziellen Schadensersatzanspruchs wegen immaterieller Schäden an das oberste lettische Gericht und trug vor, das Berufungsgericht habe die Schwere der Verletzung seiner Rechte und den daraus resultierenden Schaden falsch beurteilt. Eine Entschuldigung genüge nicht, um seinen Schaden nach Art. 82 DSGVO zu ersetzen.

Das oberste lettische Gericht war der Ansicht, das Berufungsgericht habe gegen Art. 82 DSGVO verstoßen, weil ein Schadensersatz (in Form der Entschuldigung) angeordnet wurde, ohne dass eine Verletzung des Rufs, der Ehre und der Würde des Klägers nicht positiv festgestellt wurde.

Hinsichtlich der Art des Schadensersatzes sieht das lettische Recht in Art. 14 Abs. 2 des Gesetzes über die vermögensrechtliche Haftung der öffentlichen Verwaltung vor, dass die Wiedergutmachung des immateriellen Schadens durch die Wiederherstellung des Zustands vor der Verursachung des Schadens bzw. bei vollständiger oder teilweiser Unmöglichkeit oder Unangemessenheit dieser Lösung durch eine Entschuldigung oder durch die Zahlung einer angemessenen Entschädigung erfolgt.

Letztlich war für das oberste Gericht fraglich, ob bei der Beurteilung der Form und Höhe des Schadensersatzes nach Art. 82 DSGVO weitere Begleitumstände, die die Handlungen des gegen die Bestimmungen der DSGVO Verstoßenden begleiten, überhaupt zu berücksichtigen sind. Dies hatte das Berufungsgericht dadurch getan, dass es den Verstoß unter anderem deshalb als nicht schwerwiegend beurteilt hatte, weil die Beklagte zur Erfüllung einer im öffentlichen Interesse liegende Aufgabe handelte.

Das Gericht setzte daraufhin das Verfahren aus und legte dem EuGH zur Vorabentscheidung nach Art. 267 AEUV die folgenden Fragen vor:

1. Ist Art. 82 Abs. 1 DSGVO dahin auszulegen, dass die rechtswidrige Verarbeitung personenbezogener Daten als Verstoß gegen diese Verordnung für sich genommen einen ungerechtfertigten Eingriff in das subjektive Recht einer Person auf den Schutz ihrer Daten und einen dieser Person zugefügten Schaden darstellen kann?
2. Ist Art. 82 Abs. 1 DSGVO dahin auszulegen, dass er es gestattet, dass dann, wenn keine Möglichkeit zur Wiederherstellung des Zustands vor der Verursachung des Schadens besteht, als einziger Ersatz für den immateriellen Schaden die Verpflichtung auferlegt wird, sich zu entschuldigen?
3. Ist Art. 82 Abs. 1 DSGVO dahin auszulegen, dass er es gestattet, dass Umstände, die auf die Haltung und die Beweggründe der Person, die die Daten verarbeitet, hindeuten (beispielsweise die Notwendigkeit, einen im öffentlichen Interesse liegenden Auftrag zu erfüllen, das Fehlen einer Absicht, die betroffene Person zu schädigen, oder Schwierigkeiten, den rechtlichen Rahmen zu verstehen), die Festsetzung eines geringeren Ersatzes für diesen Schaden rechtfertigen?

Rechtliche Würdigung des EuGH

Inhaltlich äußerte sich der EuGH zu den einzelnen Fragen wie folgt:

1. Für die Annahme eines Schadensersatzanspruchs gemäß Art. 82 Abs. 1 DSGVO müssten abschließend drei Voraussetzungen kumulativ erfüllt sein, nämlich

• das Vorliegen eines Verstoßes gegen die Bestimmungen der DSGVO,
• das Vorliegen eines materiellen oder immateriellen Schadens und
• ein Kausalzusammenhang zwischen dem Verstoß und dem Schaden.

Der EuGH schlabbert hierbei die eigentlich noch die vierte Voraussetzung (verkürzt: Verschulden), die er nur in problematischen Sachverhalten thematisiert.

Wer einen Schadensersatzanspruch gerichtet auf den Ersatz eines immateriellen Schadens geltend macht, müsse daher auch nachweisen, dass durch den Verstoß ein solcher Schaden tatsächlich entstanden ist. Der Verstoß gegen eine Bestimmung der DSGVO, auch einer solchen, die natürlichen Personen Rechte verleiht, begründe für sich genommen noch keinen immateriellen Schaden.

Diese Auslegung werde durch die Erwägungsgründe 75, 85 und 146 der DSGVO gestützt. Aus diesen ergebe sich, dass der Eintritt eines Schadens im Rahmen einer rechtswidrigen Verarbeitung nur ein potenzielle und nicht automatische Folge einer Verarbeitung ist, dass ein Verstoß gegen die DSGVO nicht zwangsläufig zu einem Schaden führt und letztlich die Erforderlichkeit eines Kausalzusammenhangs zwischen dem Verstoß und dem entstandenen Schaden.

2. Da die DSGVO keine Bestimmungen zur Bemessung des Schadensersatzes nach Art. 82 Abs. 1 DSGVO festlege, seien die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten anzuwenden, sofern die unionsrechtlichen Grundsätze der Äquivalenz und Effektivität beachtet werden.

Art. 14 des lettischen Gesetzes über die vermögensrechtliche Haftung der öffentlichen Verwaltung, welcher unter anderem eine Entschuldigung als Schadensersatz vorsieht, wahre diese Grundsätze.

Es seien hier keine Anhaltspunkte ersichtlich, die gegen die Wahrung des Äquivalenzgrundsatzes sprächen.

Auch der Effektivitätsgrundsatz sei gewahrt. Art. 82 Abs. 1 DSGVO bedinge insoweit, dass die Kriterien für die Bemessung des Schadensersatzanspruches in der nationalen Rechtsordnung festzulegen seien. Der Anspruch müsse zwar vollständig und wirksam sein, das gehe aber nicht zwingend mit der Verhängung eines Strafschadensersatzes einher. Es sei insoweit Sache des nationalen Gerichts zu prüfen, ob eine Entschuldigung geeignet ist, einen immateriellen Schaden im konkreten Einzelfall in vollem Umfang auszugleichen.

3. Art. 82 DSGVO verfolge im Gegensatz zu Art. 83 und 84 DSGVO, die im Wesentlich einen Strafzweck haben, ausschließlich eine ausgleichende Funktion. Eine auf Art. 82 DSGVO gestützte Entschädigung müsse es daher ermöglichen, den entstandenen Schaden in vollem Umfang auszugleichen.

So sei Art. 83 DSGVO in Verbindung mit dem 148. Erwägungsgrund zu entnehmen, dass erschwerende oder mildernde Umstände, unter anderen im Zusammenhang mit der Haltung und den Beweggründen des Verantwortlichen, bei der Entscheidung über die Höhe einer Geldbuße zu berücksichtigen sind. Diese Kriterien würden in Art. 82 DSGVO sowie Erwägungsgrund 146, in dem es speziell um den Schadensersatzanspruch nach Art. 82 DSGVO geht, nicht erwähnt. Daher seien die in Art. 83 DSGVO genannten Bemessungskriterien, insbesondere hinsichtlich der festzusetzenden Form und Höhe des Schadensersatzanspruchs, nicht entsprechend anwendbar.

Die ausschließlich ausgleichende Funktion des Schadensersatzanspruchs schließe daneben die Berücksichtigung des Schweregrades und der Vorsätzlichkeit des Verstoßes ebenfalls aus. Allein der konkret erlittene Schaden sei zu berücksichtigen.

Wir im Team helfen bei der Abwehr von Schadensersatzansprüchen.