Im Rahmen eines Vorabentscheidungsverfahrens hatte der Gerichtshof der Europäischen Union (EuGH) sich kürzlich mit der Frage auseinanderzusetzen, ob ungewollte Werbung einen Anspruch auf Schadensersatz nach der DSGVO (Datenschutz-Grundverordnung) begründen kann (EuGH-Urteil v. 11.04.2024 - C-741/21). Im zugrundeliegenden Fall hatte ein Rechtsanwalt trotz mehrerer Widerspruchserklärungen monatelang weiter Werbemails von der juristischen Datenbank juris erhalten. Daraufhin verklagte er juris vor dem LG Saarbrücken auf Schadensersatz nach Art. 82 Abs. 1 DSGVO. Insbesondere machte er geltend, dass er wegen der trotz seiner Widersprüche von juris vorgenommenen Verarbeitungen seiner personenbezogenen Daten einen Verlust der Kontrolle über diese Daten erlitten habe und daher Schadensersatz verlangen könne, ohne die Auswirkungen oder die Erheblichkeit der Datenschutzverletzung weiter nachweisen zu müssen. Das LG Saarbrücken hatte das Verfahren zunächst ausgesetzt und dem EuGH im Rahmen eines Vorabentscheidungsverfahrens vier Fragen vorgelegt, die im Wesentlichen die Auslegung des Art. 82 Abs. 1 DSGVO und seiner Voraussetzungen betreffen.
Entscheidend war dabei insbesondere die Frage, ob Art. 82 Abs. 1 DSGVO dahingehend auszulegen ist, dass ein Verstoß gegen eine Bestimmung der DSGVO für sich genommen und unabhängig vom individuellen Schweregrade des erlittenen Schadens einen ,,immateriellen Schaden‘‘ darstellt. Der EuGH bestätigt mit der Entscheidung sein Urteil vom 25.01.2024 (Az: C-687/21), indem er darlegt, dass der bloße Verstoß gegen eine Vorschrift der DSGVO nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Erforderlich sei, neben dem DSGVO-Verstoß, ein materieller oder immaterieller Schaden, der kausal auf den Verstoß zurückzuführen ist. Der Anspruchssteller hat somit den Nachweis zu erbringen, dass ihm ein solcher immaterieller Schaden entstanden ist.
Der EuGH führt zudem aus, dass die DSGVO selbst keine Regelungen über die Bemessung des Schadensersatzes, der aufgrund eines Anspruchs aus Art. 82 DSGVO geschuldet wird, enthält. Vielmehr sind hierzu die innerstaatlichen Vorschriften über den Umfang der Entschädigung anzuwenden, sofern die unionsrechtlichen Grundsätze der Äquivalenz und Effektivität beachtet werden. Hervorzuheben ist dabei, dass die Art. 82 DSGVO anders als die Art. 83 und 84 DSGVO keine Straf- sondern eine Ausgleichfunktion haben. Die Kriterien dieser Normen können aufgrund der unterschiedlichen Zielrichtungen nicht als Bemessungsgrundlage für einen Anspruch aus Art. 82 DSGVO herangezogen werden.
Unklar bleibt jedoch, wann ein ersatzfähiger immaterieller Schaden überhaupt vorliegen soll und welche Anforderungen an einen entsprechenden Klägervortrag zu stellen sind. Die diesbezüglich bestehende Rechtsunsicherheit wurde durch die EuGH-Entscheidung nicht beseitigt. Abzuwarten bleibt demnach, ob das LG Saarbrücken dem Kläger nun einen Schadensersatzanspruch zubilligen wird.
Keine Exkulpation wegen Fehlverhalten von Mitarbeitern
Konkreter wird der EuGH jedoch bei der weiteren Vorlagefrage, ob ein Unternehmen sich von der Haftung nach Art. 82 Abs. 3 DSGVO befreien kann, indem es geltend macht, dass der in Rede stehende Schaden durch ein Fehlverhalten einer ihm im Sinne von Art. 29 DSGVO unterstellten Person verursacht wurde. Die Beweislast für ein fehlendes Verschulden trifft dabei nach Art. 82 Abs. 3 DSGVO grundsätzlich den Verantwortlichen und nicht den Geschädigten. Der EuGH hat nun entschieden, dass es für eine Befreiung des Verantwortlichen nicht ausreichen kann, dass er nachweist, dass er den ihm unterstellten Personen Weisungen erteilt hat und dass eine dieser Personen den Weisungen nicht nachgekommen ist. Ansonsten würde nämlich die Wirksamkeit des Art. 82 Abs. 1 DSGVO beeinträchtigt, was nicht mit dem durch die DSGVO gewährleisteten hohen Schutzniveau für natürliche Personen bei der Verarbeitung ihrer personenbezogenen Daten zu vereinbaren ist.
Praktisch bedeutet dies für Unternehmen, dass diese nach Ansicht des EuGH dafür Sorge zu tragen haben, dass Weisungen von ihren Mitarbeitenden korrekt ausgeführt werden. Zwar stellt der Gerichtshof keine konkreten Sorgfaltspflichten für die Unternehmen auf, es erscheint aber nun als fernliegend, dass man ein Fehlverhalten der eigenen Mitarbeiter als Entschuldigungsgrund im Sinne von Art. 82 Abs. 3 DSGVO erfolgreich geltend machen kann. Unternehmen sollten daher entsprechende organisatorische Abläufe implementieren, um die Einhaltung datenschutzrechtlicher Vorgaben sicherzustellen.
"Ungewollte Werbung als immaterieller Schaden nach der DSGVO?"