Ein zunehmend an in den Vordergrund tretendes Thema sind Schadenersatzansprüche von Privatpersonen gegen Unternehmen, die ihre Ansprüche auf die Schadenersatzvorschriften der DSGVO geltend machen. Hierzu gab es in letzter Zeit vermehrt Schriftsätze an Unternehmen, in denen vermeintliche Schadenersatzansprüche behauptet werden. Ein aktuelles Verfahren beschäftigt den EuGH im Hinblick auf die Natur des Schadenersatzes.
Der Inhalt im Überblick
Hintergrund der Rechtssache
Hintergrund des Vorabentscheidung Verfahrens ist ein vor dem OHG in Österreich geführter Rechtsstreit.
Der Kläger in diesem Verfahren hat von der Österreichischen Post AG 1000 € Schadenersatz gefordert und diesen auf Art. 82 DSGVO gestützt. Die österreichische Post hatte, im Rahmen einer Zielgruppen- gerichteten Wahlwerbung, ohne Einwilligung Information über die politischen Einstellungen seiner Kunden verarbeitet. Unter diesen Kunden war auch der Kläger, der wegen Verletzung der DSGVO klagte.
Der Kläger führte im Rahmen des Verfahrens aus, dass die Verarbeitung bei Ihm ein Gefühl der Verärgerung und der Bloßstellung ausgelöst habe. Die Frage, die sich dem österreichischen Gericht nun stellte war, ob solche Gefühle überhaupt einen Schadenersatz nach Art. 82 DSGVO auslösen können.
Das Gericht legte dem EuGH unter anderem folgende Fragen zur Klärung vor:
- Erfordert der Schadensersatzanspruch einen tatsächlich erlittenen Schaden beim Betroffen oder reicht jede DSGVO- Verletzung für die Bejahung eines Schadens?
- Reicht ein bloßes Ärgernis auf Seiten des Betroffenen für einen immateriellen Schaden oder muss mehr passiert sein?
Was ist das Problem?
Da es sich um eine Vorlagesache beim EuGH handelt, hat das Verfahren natürlich auch für deutsches Datenschutzrecht Bedeutung. Um eine Forderung zu stellen, braucht es nach deutschem Recht einen Schaden. Hier ist es meist schwer konkrete Summen zu beziffern, da es sich bei Schäden auf Betroffenenseite oftmals um immaterielle Schäden handelt. Grundsatzfrage ist hierbei, ob der Art. 82 DSGVO eine Sanktionsfunktion für Fehlverhalten hat, also ein Verstoß der DSGVO bereits zu einem Anspruch gegen den Verantwortlichen führt oder ob auch ein klar bezifferbarer Schaden vorliegen muss.
Erste Ansicht entspräche eher den amerikanischen Grundsätzen der „punitiv damages“, nach welcher den Geschädigten, über den Schadenersatz hinaus, auch einen Anspruch zur Sanktion des Schädigers zugesprochen wird. Ein dem deutschen Recht fremdes Prinzip.
Die überwiegende Rechtsprechung in Deutschland geht davon aus, dass es für einen immateriellen Schadenersatz nicht ausreicht, dass bloß ein Verstoß gegen die DSGVO vorliegt. Hier wird zunächst ermittelt, ob ein Schaden überhaupt vorliegt und ob dieser lediglich einen Bagatellschaden darstellt.
Eine andere Frage, die sich im Rahmen eines solchen Schadenersatzes stellt, ist die Frage nach der Intensität des Schadens. Hiermit haben wir uns vor kurzem schon in einem gesonderten Beitrag beschäftigt. Bei den vorgelegten Fragen ging es jedoch darum, ob überhaupt von der Klagenden Partei ein Schaden vorgetragen werden muss, oder ob ein Verstoß gegen die DSGVO automatisch zu einem Anspruch führt.
Der zuständige Generalanwalt nimmt Stellung
Der zuständige Generalanwalt stellt hierbei in einer Stellungnahme klar, dass kein Schadenersatz ohne Schaden vorliegt:
„Ohne einen Schaden würde der Schadensersatz die Funktion des Ausgleichs der nachteiligen Folgen des Verstoßes nicht mehr erfüllen, sondern hätte eher die Rechtsnatur einer Sanktion.“
In seinem Ergebnis stellt der Generalanwalt fest:
„Der in der Verordnung 2016/679 geregelte Ersatz immaterieller Schäden erstreckt sich nicht auf bloßen Ärger, zu dem die Verletzung ihrer Vorschriften bei der betroffenen Person geführt haben mag. Es ist Sache der nationalen Gerichte, herauszuarbeiten, wann das subjektive Unmutsgefühl aufgrund seiner Merkmale im Einzelfall als immaterieller Schaden angesehen werden kann.“
Diese Ansicht entspricht also auch der überwiegend von deutschen Gerichten vertretenen Rechtsauffassung, nach der ein Schadenersatzanspruch ohne einen „echten“ Schaden nicht möglich ist.
Folgt der EuGH der Auffassung des Generalanwalts, was in der Vergangenheit häufig der Falls war, ergibt sich daraus mehr Rechtssicherheit für zukünftige Kläger. Kläger sind dann über ihre Darlegungsplichten im Rahmen einer Klage wegen Art. 82 Abs. 1 DSGVO im Klaren, wodurch sich aussichtlose Klagen in Zukunft vermeiden lassen, bei denen schon kein ersetzbarer Schaden vorliegt. Eine begrüßenswerte Entlastung der Gerichte.
Mehr Rechtssicherheit im datenschutzrechtlichen Schadenersatzrecht
Die endgültige Entscheidung des EuGH wird mit Spannung erwartet. Ob sich der EuGH letztendlich den Schlussanträgen des Generalanwalts anschließt, ist nicht sicher. Nach derzeitiger Einschätzung in der datenschutzrechtlichen Literatur ist das wohl das erwartete Ergebnis. Durch das Vorlageverfahren wird jedenfalls Klarheit über den Charakter des Anspruchs aus Art. 82 S.1 DSGVO verschafft.
Grundsätzlich find ich die Entscheidung gut, aber dann kann man doch den Schadensersatz aufgrund immaterieller Schäden gleich sein lassen. Wenn ein Anspruch nur bei echtem Schaden möglich ist, wird man immer irgendwann bei einem materiellen Schaden landen. Verarbeitung politischer Einstellung („falsche“ Partei) – Mobbing – psychische Belastung – dadurch evtl. Verlust des Arbeitsplatzes, oder keine Vollzeitarbeit mehr möglich -> finanzieller Schaden durch Wegfall des Einkommens = materieller Schaden.
Also dann lieber „Immateriell“ streichen, als sich mit irgendwelchen Worthülsen verkünsteln, die hinterher jedes Gericht anders auslegt.