Ein Verstoß gegen die DSGVO für sich genommen reicht nicht aus, um einen Anspruch auf Schadenersatz zu begründen

Eine betroffene Person muss das Vorliegen eines durch einen Verstoß gegen die DSGVO verursachten Schadens nachweisen, ohne dass dieser Schaden jedoch einen gewissen Schweregrad erreichen müsste.

Sachverhalt

Das Amtsgericht Wesel legte dem Europäischen Gerichtshof (EuGH) folgende Fragen zur Vorabentscheidung vor:

  1. Reicht es für die Begründung eines Anspruchs auf Schadenersatz gemäß Art. 82 Abs. 1 DSGVO aus, dass eine die anspruchstellende Person schützende Bestimmung der DSGVO verletzt worden ist oder ist es erforderlich, dass über die Verletzung der Bestimmungen als solche hinaus eine weitere Beeinträchtigung der anspruchstellenden Person eingetreten ist?
  2. Ist es nach dem Unionsrecht zur Begründung eines Anspruchs auf immateriellen Schadenersatz gemäß Art. 82 Abs. 1 DSGVO erforderlich, dass eine Beeinträchtigung von gewissem Gewicht vorliegt?
  3. Insbesondere: Reicht es zur Begründung eines Anspruchs auf immateriellen Schadenersatz gemäß Art. 82 Abs. 1 DSGVO aus, dass die anspruchstellende Person befürchtet, dass als Folge von Verletzungen der Bestimmungen der DSGVO ihre personenbezogenen Daten in fremde Hände gelangt sind, ohne dass dies positiv festgestellt werden kann?
  4. Entspricht es dem Unionsrecht, wenn das nationale Gericht bei der Bemessung eines immateriellen Schadenersatzes gemäß Art. 82 Abs. 1 DSGVO die dem Wortlaut nach lediglich für Geldbußen geltenden Kriterien des Art. 83 Abs. 2 Satz 2 DSGVO entsprechend heranzieht?
  5. Ist die Höhe eines immateriellen Schadenersatzanspruchs gemäß Art. 82 Abs. 1 DSGVO auch danach zu bemessen, dass durch die Höhe des zugesprochenen Anspruchs eine Abschreckungswirkung erreicht und/oder eine „Kommerzialisierung“ (kalkuliertes Inkaufnehmen von Geldbußen/Schadenersatzzahlungen) von Verstößen unterbunden wird?
  6. Entspricht es dem Unionsrecht, bei der Bemessung eines Anspruchs auf immateriellen Schadenersatz gemäß Art. 82 Abs. 1 DSGVO der Höhe nach zugleich verwirklichte Verstöße gegen nationale Vorschriften zu berücksichtigen, die den Schutz von personenbezogenen Daten zum Zweck haben, bei denen es sich aber nicht um nach Maßgabe der vorliegenden Verordnung erlassene delegierte Rechtsakte oder Durchführungsrechtsakte oder Rechtsvorschriften der Mitgliedstaaten zur Präzisierung von Bestimmungen der vorliegenden Verordnung handelt?

Urteil des EuGH

Zur ersten und zur zweiten Frage:
Mit seiner ersten und seiner zweiten Frage, die zusammen zu prüfen sind, möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass ein Verstoß gegen diese Verordnung für sich genommen ausreicht, um einen Anspruch auf Schadensersatz nach dieser Bestimmung zu begründen, oder ob die betroffene Person auch das Vorliegen eines durch diesen Verstoß verursachten Schadens nachweisen muss, der einen gewissen Schweregrad erreicht.

Art. 82 Abs. 1 DSGVO sieht vor, dass „jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, … Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter [hat]“.

Wie der Gerichtshof bereits festgestellt hat, geht aus dem Wortlaut dieser Bestimmung klar hervor, dass das Vorliegen eines materiellen oder immateriellen „Schadens“ eine der Voraussetzungen für den in Art. 82 Abs. 1 vorgesehenen Schadensersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DSGVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind.

Daher kann nicht davon ausgegangen werden, dass jeder „Verstoß“ gegen die Bestimmungen der DSGVO für sich genommen einen Schadensersatzanspruch der betroffenen Person im Sinne von Art. 4 Nr. 1 dieser Verordnung eröffnet. Im Übrigen wäre die gesonderte Erwähnung eines „Schadens“ und eines „Verstoßes“ in Art. 82 Abs. 1 DSGVO überflüssig, wenn der Unionsgesetzgeber davon ausgegangen wäre, dass ein Verstoß gegen die Bestimmungen der DSGVO für sich allein in jedem Fall ausreichend wäre, um einen Schadensersatzanspruch zu begründen.

Folglich ist Art. 82 Abs. 1 DSGVO dahin auszulegen, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen.

Die Person, die auf der Grundlage dieser Bestimmung den Ersatz eines immateriellen Schadens verlangt, muss nämlich nicht nur den Verstoß gegen Bestimmungen dieser Verordnung nachweisen, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist.

Was die letztgenannte Voraussetzung betrifft, steht Art. 82 Abs. 1 DSGVO einer nationalen Vorschrift oder Praxis entgegen, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen gewissen Schweregrad erreicht hat.

Allerdings ist diese Person nach Art. 82 Abs. 1 DSGVO verpflichtet, nachzuweisen, dass sie tatsächlich einen materiellen oder immateriellen Schaden erlitten hat.

Nach alledem ist auf die erste und die zweite Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass ein Verstoß gegen diese Verordnung für sich genommen nicht ausreicht, um einen Anspruch auf Schadensersatz nach dieser Bestimmung zu begründen. Die betroffene Person muss auch das Vorliegen eines durch diesen Verstoß verursachten Schadens nachweisen, ohne dass dieser Schaden jedoch einen gewissen Schweregrad erreichen müsste.

Zur dritten Frage:
Mit seiner dritten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass die Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen diese Verordnung an Dritte weitergegeben wurden, ohne dass nachgewiesen werden kann, dass dies tatsächlich der Fall war, ausreicht, um einen Anspruch auf Ersatz des immateriellen Schadens zu begründen.

Aus dem Vorlagebeschluss geht hervor, dass die Kläger des Ausgangsverfahrens auf der Grundlage der DSGVO wegen eines Verlusts der Kontrolle über ihre verarbeiteten personenbezogenen Daten Ersatz für einen immateriellen Schaden begehren, ohne nachweisen zu können, inwieweit Dritte von diesen Daten tatsächlich Kenntnis erlangt haben.

Insoweit ist festzustellen, dass der Begriff „immaterieller Schaden“ in Ermangelung eines Verweises in Art. 82 Abs. 1 DSGVO auf das innerstaatliche Recht der Mitgliedstaaten im Sinne dieser Bestimmung eine autonome und einheitliche unionsrechtliche Definition erhalten muss.

Der Gerichtshof hat entschieden, dass sich nicht nur aus dem Wortlaut von Art. 82 Abs. 1 DSGVO im Licht ihrer Erwägungsgründe 85 und 146, wonach der Begriff „immaterieller Schaden“ im Sinne von Art. 82 Abs. 1 weit zu verstehen ist, sondern auch aus dem mit der DSGVO verfolgten Ziel der Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten ergibt, dass die durch einen Verstoß gegen die DSGVO ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, für sich genommen einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 darstellen kann.

Der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten kann einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO darstellen, der einen Schadensersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat, wobei der bloße Verstoß gegen die Bestimmungen der DSGVO nicht ausreicht, um auf dieser Grundlage einen Schadensersatzanspruch zu begründen.

Die Person, die der Ansicht ist, dass ihre personenbezogenen Daten unter Verstoß gegen die einschlägigen Bestimmungen der DSGVO verarbeitet wurden und auf der Grundlage von Art. 82 Abs. 1 dieser Verordnung Schadensersatz verlangt, muss daher nachweisen, dass sie tatsächlich einen materiellen oder immateriellen Schaden erlitten hat.

Die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen kann daher nicht zu einem Schadensersatz nach dieser Vorschrift führen.

Nach alledem ist auf die dritte Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass die Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen diese Verordnung an Dritte weitergegeben wurden, ohne dass nachgewiesen werden kann, dass dies tatsächlich der Fall war, ausreicht, um einen Schadensersatzanspruch zu begründen, sofern diese Befürchtung samt ihrer negativen Folgen ordnungsgemäß nachgewiesen ist.

Zur vierten und zur fünften Frage:
Mit seiner vierten und seiner fünften Frage, die zusammen zu prüfen sind, möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass bei der Bemessung des Betrags des auf diese Bestimmung gestützten Anspruchs auf Schadenersatz zum einen die in Art. 83 dieser Verordnung vorgesehenen Kriterien für die Festsetzung des Betrags von Geldbußen entsprechend anzuwenden sind und zum anderen diesem Anspruch auf Schadenersatz eine Abschreckungsfunktion beizumessen ist.

Was erstens eine etwaige Berücksichtigung der in Art. 83 DSGVO genannten Kriterien bei der Bemessung des Betrags des nach Art. 82 DSGVO geschuldeten Schadenersatzes betrifft, steht fest, dass mit diesen beiden Bestimmungen unterschiedliche Ziele verfolgt werden. Während nämlich in Art. 83 dieser Verordnung „allgemeine Bedingungen für die Verhängung von Geldbußen“ festgelegt sind, regelt Art. 82 der Verordnung „[die] Haftung und [das] Recht auf Schadenersatz“.

Daraus folgt, dass die in Art. 83 DSGVO genannten Kriterien für die Bestimmung der Beträge der Geldbußen, die auch im 148. Erwägungsgrund dieser Verordnung erwähnt werden, nicht zur Bemessung des Schadenersatzbetrags nach Art. 82 DSGVO herangezogen werden können.

Die DSGVO enthält keine Bestimmung, die sich den Regeln für die Bemessung des Schadenersatzes widmet, auf den eine betroffene Person im Sinne von Art. 4 Nr. 1 dieser Verordnung nach deren Art. 82 Anspruch hat, wenn ihr durch einen Verstoß gegen diese Verordnung ein Schaden entstanden ist. Daher sind die Ausgestaltung von Klageverfahren, die den Schutz der dem Einzelnen aus Art. 82 DSGVO erwachsenden Rechte gewährleisten sollen, und insbesondere die Festlegung der Kriterien für die Ermittlung des Umfangs des in diesem Rahmen geschuldeten Schadenersatzes in Ermangelung einschlägiger unionsrechtlicher Vorschriften Aufgabe des Rechts des einzelnen Mitgliedstaats, wobei der Äquivalenz- und der Effektivitätsgrundsatz zu beachten sind.

Zweitens erfüllt der in Art. 82 Abs. 1 DSGVO vorgesehene Anspruch auf Schadenersatz keine abschreckende oder gar Straffunktion. Daraus folgt, dass sich die Schwere des Verstoßes gegen diese Verordnung, durch den der geltend gemachte materielle oder immaterielle Schaden entstanden ist, nicht auf die Höhe des auf der Grundlage dieser Bestimmung gewährten Schadenersatzes auswirken kann und dass dieser Betrag nicht in einer Höhe bemessen werden darf, die über den vollständigen Ersatz dieses Schadens hinausgeht.

In Anbetracht der Ausgleichsfunktion des in Art. 82 DSGVO vorgesehenen Schadenersatzanspruchs, wie sie im sechsten Satz des 146. Erwägungsgrundes der DSGVO zum Ausdruck kommt, ist eine auf diese Bestimmung gestützte Entschädigung in Geld als „vollständig und wirksam“ anzusehen, wenn sie es ermöglicht, den aufgrund des Verstoßes gegen diese Verordnung konkret erlittenen Schaden in vollem Umfang auszugleichen, ohne dass ein solcher vollumfänglicher Ausgleich die Verhängung von Strafschadenersatz.

Angesichts der Unterschiede im Wortlaut und in der Zielsetzung, die zwischen Art. 82 DSGVO im Licht des 146. Erwägungsgrundes dieser Verordnung und ihrem Art. 83 im Licht ihres 148. Erwägungsgrundes bestehen, kann daher ungeachtet der Tatsache, dass die in den beiden Bestimmungen vorgesehenen Rechtsbehelfe einander ergänzen, um die Einhaltung dieser Verordnung sicherzustellen, nicht davon ausgegangen werden, dass die in Art. 83 DSGVO speziell angegebenen Bemessungskriterien im Rahmen von Art. 82 DSGVO entsprechend anwendbar sind.

Nach alledem ist auf die vierte und die fünfte Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass bei der Bemessung des Betrags des auf diese Bestimmung gestützten Anspruchs auf Schadenersatz zum einen die in Art. 83 dieser Verordnung vorgesehenen Kriterien für die Festsetzung des Betrags von Geldbußen nicht entsprechend anzuwenden sind und zum anderen diesem Anspruch auf Schadenersatz keine Abschreckungsfunktion beizumessen ist.

Zur sechsten Frage:
Mit seiner sechsten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass bei der Bemessung des Betrags des auf diese Bestimmung gestützten Anspruchs auf Schadenersatz zugleich verwirklichte Verstöße gegen nationale Vorschriften, die sich auf den Schutz personenbezogener Daten beziehen, aber nicht bezwecken, die Bestimmungen der DSGVO zu präzisieren, zu berücksichtigen sind.

Diese Frage wird in Anbetracht dessen gestellt, dass die Kläger des Ausgangsverfahrens der Ansicht sind, dass der gleichzeitige Verstoß gegen Bestimmungen der DSGVO und gegen auf Steuerberater anwendbare Bestimmungen des deutschen Rechts, die vor dem Inkrafttreten dieser Verordnung erlassen worden seien und daher nicht auf eine Präzisierung dieser Verordnung abzielten, zu einer Erhöhung des Schadenersatzes führen müsse, den sie nach Art. 82 Abs. 1 DSGVO als Ausgleich für den immateriellen Schaden verlangen, der ihnen entstanden sein soll.

Insoweit geht zwar aus dem fünften Satz des 146. Erwägungsgrundes der DSGVO hervor, dass zu einer Verarbeitung personenbezogener Daten, die mit der vorliegenden Verordnung nicht im Einklang steht, „auch eine Verarbeitung [zählt], die nicht mit den nach Maßgabe der vorliegenden Verordnung erlassenen delegierten Rechtsakten und Durchführungsrechtsakten und Rechtsvorschriften der Mitgliedstaaten zur Präzisierung von Bestimmungen der vorliegenden Verordnung im Einklang steht“.

Jedoch stellt der Umstand, dass eine solche Datenverarbeitung auch unter Verstoß gegen Vorschriften des nationalen Rechts erfolgt ist, die sich auf den Schutz personenbezogener Daten beziehen, aber nicht bezwecken, die Bestimmungen der DSGVO zu präzisieren, keinen relevanten Faktor für die Bemessung des auf der Grundlage von Art. 82 Abs. 1 DSGVO gewährten Schadenersatzes dar. Ein Verstoß gegen solche nationalen Vorschriften ist nämlich von Art. 82 Abs. 1 DSGVO in Verbindung mit dem 146. Erwägungsgrund der DSGVO nicht erfasst.

Dies gilt unbeschadet dessen, dass das nationale Gericht, wenn das nationale Recht ihm dies gestattet, der betroffenen Person eine Entschädigung zusprechen kann, die höher ist als der in Art. 82 Abs. 1 DSGVO vorgesehene vollständige und wirksame Schadenersatz, wenn dieser Schadenersatz in Anbetracht dessen, dass der Schaden auch durch den Verstoß gegen Vorschriften des nationalen Rechts wie die in der vorstehenden Randnummer genannten verursacht wurde, nicht als ausreichend oder angemessen angesehen würde.

Nach alledem ist auf die sechste Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass bei der Bemessung des Betrags des auf diese Bestimmung gestützten Anspruchs auf Schadenersatz zugleich verwirklichte Verstöße gegen nationale Vorschriften, die sich auf den Schutz personenbezogener Daten beziehen, aber nicht bezwecken, die Bestimmungen der DSGVO zu präzisieren, nicht zu berücksichtigen sind.

Fazit

  • Art. 82 Abs. 1 DSGVO ist dahin auszulegen, dass ein Verstoß gegen diese Verordnung für sich genommen nicht ausreicht, um einen Anspruch auf Schadenersatz nach dieser Bestimmung zu begründen. Die betroffene Person muss auch das Vorliegen eines durch diesen Verstoß verursachten Schadens nachweisen, ohne dass dieser Schaden jedoch einen gewissen Schweregrad erreichen müsste.
  • Art. 82 Abs. 1 DSGVO ist dahin auszulegen, dass die Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen diese Verordnung an Dritte weitergegeben wurden, ohne dass nachgewiesen werden kann, dass dies tatsächlich der Fall war, ausreicht, um einen Schadenersatzanspruch zu begründen, sofern diese Befürchtung samt ihrer negativen Folgen ordnungsgemäß nachgewiesen ist.
  • Art. 82 Abs. 1 DSGVO ist dahin auszulegen, dass bei der Bemessung des Betrags des auf diese Bestimmung gestützten Anspruchs auf Schadenersatz zum einen die in Art. 83 dieser Verordnung vorgesehenen Kriterien für die Festsetzung des Betrags von Geldbußen nicht entsprechend anzuwenden sind und zum anderen diesem Anspruch auf Schadenersatz keine Abschreckungsfunktion beizumessen ist.
  • Art. 82 Abs. 1 DSGVO ist dahin auszulegen, dass bei der Bemessung des Betrags des auf diese Bestimmung gestützten Anspruchs auf Schadenersatz zugleich verwirklichte Verstöße gegen nationale Vorschriften, die sich auf den Schutz personenbezogener Daten beziehen, aber nicht bezwecken, die Bestimmungen dieser Verordnung zu präzisieren, nicht zu berücksichtigen sind.


Fundstelle:

Urteil des EuGH vom 20.06.2024 (C-590/22) – abrufbar im Internet unter https://curia.europa.eu/juris/document/document.jsf;jsessionid=400B0EFCCE99D6EC0F99E3727839EB3D?text=&docid=287305&pageIndex=0&doclang=DE&mode=lst&dir=&occ=first&part=1&cid=12987469

Tags: Datenschutz