In der Rechtssache C-741/21 hatte der Gerichtshof der Europäischen Union im Rahmen eines Vorabentscheidungsverfahrens erneut Fragen rund um den datenschutzrechtlichen Schadensersatzanspruch nach Art. 82 DSGVO zu beantworten. Neben den Voraussetzungen des Entstehens eines solchen Anspruches sowie der Bemessung der Höhe eines zu leistenden Schadensersatzes, hatte er sich diesmal auch zu den Voraussetzungen an eine Exkulpation des Verantwortlichen nach Art. 82 Abs. 3 DSGVO zu positionieren. Wir schauen uns an, was der Gerichtshof der Europäischen Union mit Urteil vom 11. April 2024 entschieden hat.
Der Inhalt im Überblick
Wiederholte Nichtbeachtung eines Werbewiderspruches
Wie sich aus den Ausführungen des Gerichtshofs der Europäischen Union (EuGH) innerhalb seines hier in Rede stehenden Urteiles vom 11. April 2024 in der Rechtssache C-741/21 ergibt, liegt dem Vorabentscheidungsersuchen des vorlegenden Landgerichts Saarbrücken Folgendes zugrunde:
Der Kläger im Ausgangsverfahren, eine natürliche Person und Kunde der juris GmbH (im Folgenden: juris), erhielt trotz seines entsprechenden so genannten Werbewiderspruches – einem Widerspruch nach Art. 21 Abs. 2 DSGVO – wiederholt Werbeschreiben von dieser. Konkret
- widersprach der Kläger im Ausgangsverfahren zunächst der Verarbeitung seiner personenbezogenen Daten durch die juris zum Zwecke der Direktwerbung mit Ausnahme einer solchen Verarbeitung zur Übersendung des Newsletters der juris,
- erhielt nichtsdestotrotz im weiteren Verlauf zwei postalische Werbeschreiben der juris,
- erinnerte daraufhin die juris schriftlich an seinen früheren Werbewiderspruch und verlangte von dieser zugleich wegen dessen Nichtbeachtung Schadensersatz nach Art. 82 Abs. 1 DSGVO,
- bekam kurze Zeit später tatsächlich noch ein weiteres Werbeschreiben der juris,
- legte erneut ihr gegenüber einen entsprechenden Werbewiderspruch ein, welchen er diesmal per Gerichtsvollzieher zustellen ließ, und
- erhob schließlich in dieser Sache vor dem vorlegenden Landgericht Saarbrücken Klage auf Schadensersatz nach Art. 82 Abs. 1 DSGVO gegen die juris.
Im Rahmen des Ausgangsverfahrens macht der dortige Kläger sowohl einen materiellen als auch einen immateriellen Schaden geltend. Zur Geltendmachung des letzteren trägt der Kläger im Ausgangsverfahren vor, infolge der Nichtbeachtung seiner Werbewidersprüche seitens der juris, habe er in demjenigen Umfange einen Verlust der Kontrolle über seine betreffenden personenbezogenen Daten erlitten, in welchem die juris diese gegen seinen, mit dem Widerspruch kundgetanen, Willen weiterverarbeitet habe. Hieraus resultiere, dass er von der juris
„(…) Schadensersatz verlangen könne, ohne die Auswirkungen oder die Erheblichkeit der Beeinträchtigung seiner durch Art. 8 der Charta der Grundrechte der Europäischen Union garantierten und in der DSGVO weiter ausgeführten Rechte nachweisen zu müssen.“
Die juris stützt ihre Verteidigungsstrategie im Ausgangsverfahren auf zwei Säulen. Zum einen könne allein ein Verstoß gegen die DSGVO – im vorliegenden Fall gegen Art. 21 Abs. 3 DSGVO – nicht für sich betrachtet einen [Anmerkung der Autorin: immateriellen] Schaden im Sinne des Art. 82 Abs. 1 DSGVO darstellen. Zum anderen träfe sie bezüglich der Nichtbeachtung der Werbewidersprüche des Klägers im Ausgangsverfahren keine Haftung. So habe sie einen Prozess zur Bearbeitung von Werbewidersprüchen eingerichtet und die Nichtbeachtung der Werbewidersprüche des Klägers im Ausgangsverfahren
- gehe entweder darauf zurück, dass ein Mitarbeiter der juris weisungswidrig gehandelt habe oder aber
- sie sei darauf zurückzuführen, dass eine Beachtung der Werbewidersprüche des Klägers im Ausgangsverfahren
„(…) übermäßig kostspielig (…)“
gewesen wäre.
Dem zur Entscheidung im Ausgangsverfahren berufenen Landgericht Saarbrücken stellten sich hierzu vier Fragen zur Auslegung der insofern relevanten DSGVO Normen, weswegen es das Ausgangsverfahren aussetzte und den EuGH innerhalb des nun durch ihn mit Urteil vom 11. April 2024 beschiedenen Vorabentscheidungsverfahrens um deren Beantwortung bat.
DSGVO-Schadensersatzanspruch dient dem Ersatz eines Schadens
Die Quintessenz der Beantwortung der ersten, dritten sowie vierten Vorlagefrage dürfte sich herunterbrechen lassen auf: Der Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO dient dem Ersatz eines, neben dem insofern ursächlichen DSGVO-Verstoß, tatsächlich entstandenen Schadens, nicht mehr, nicht weniger und insbesondere nicht der Strafe. Doch schauen wir uns nachfolgend an, worum es dem vorlegenden Gericht wie dem EuGH im Einzelnen ging beziehungsweise geht.
Schaden ist eigene Voraussetzung eines Anspruches nach Art. 82 Abs. 1 DSGVO
Die erste Vorlagefrage des Landgerichts Saarbrücken befasst sich – wie sich aus den Ausführungen des EuGH innerhalb des hier in Rede stehenden Urteils sowie aus der Formulierung dieser selbst ergibt – damit, ob die Entstehung eines Anspruches auf Ersatz eines immateriellen Schadens nach Art. 82 Abs. 1 DSGVO von
- Variante 1 – Eine Voraussetzung:
dem Vorliegen der einzigen Voraussetzung eines DSGVO-Verstoßes, in welchem zugleich bereits ein immaterieller Schaden liege – insbesondere, wenn die verletzte Norm der betroffenen Person ein subjektives Recht vermittele –, - Variante 2 – Drei Voraussetzungen:
dem gemeinsamen Vorliegen der drei Voraussetzungen eines DSGVO-Verstoßes, eines immateriellen Schadens sowie eines Kausalzusammenhanges zwischen jenem Verstoß und diesem Schaden oder aber gar - Variante 3 – Vier Voraussetzungen:
dem gemeinsamen Vorliegen der vier Voraussetzungen eines DSGVO-Verstoßes, eines immateriellen Schadens, eines Kausalzusammenhanges zwischen jenem Verstoß und diesem Schaden sowie eines„(…) schwerwiegenden Eingriffes in die [betreffenden] geschützten Rechte (…)“
– von letzterem werde laut des vorlegenden Gerichts ein Anspruch auf Ersatz eines immateriellen Schadens im deutschen Recht abhängig gemacht –
abhänge.
Bereits mit Urteil vom 25. Januar 2024 in der Rechtssache C-687/21, welches ebenfalls im Rahmen eines Vorabentscheidungsverfahrens zum immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO erging, legte der EuGH diese Norm in einer Weise aus, die der obigen „Variante 2“ entspricht. Genau auf die entsprechenden Ausführungen weist der EuGH auch in dem hier besprochenen Urteil in der Rechtssache C-741/21 hin.
Schadensersatz dient nicht der Strafe
Die dritte und die vierte Vorlagefrage des Landgerichts Saarbrücken befassen sich mit der Bestimmung der Höhe eines als Schadensersatz zu leistenden Betrages. Konkret überlegt das vorlegende Gericht insofern zunächst,
- ob hierbei die in Art. 83 DSGVO normierten Bemessungskriterien herangezogen werden könnten oder gar müssten, welche für die Entscheidung über das Verhängen einer Geldbuße und über die Festlegung der Höhe einer solchen gälten; ferner,
- ob sich der Umstand des Vorliegens mehrerer DSGVO-Verstöße bezüglich derselben Verarbeitung der personenbezogenen Daten der anspruchstellenden betroffenen Person hierauf auswirke.
Beides lehnt der EuGH in gemeinsamer Beantwortung der dritten und vierten Vorlagefrage, im Rahmen derer er wiederholt auf eigene frühere Urteile verweist, ab.
Ausgangspunkt und Kern der entsprechenden Antwort des EuGH ist dessen Hinweis darauf, dass der Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO – anders als etwa die in Art. 83 DSGVO normierte Geldbuße – keine Straf- sondern eine Ausgleichsfunktion habe. Hierauf aufbauend stellt der EuGH sodann klar, dass man sich bei der Bestimmung der Höhe eines Schadensersatzanspruches
- weder an der Schwere des für den jeweiligen Schaden ursächlichen DSGVO-Verstoßes
- noch an der etwaigen Häufung von für den jeweiligen Schaden ursächlichen Verstößen gegen die DSGVO
- sondern hiervon unabhängig ausschließlich an dem infolgedessen seitens der anspruchstellenden betroffenen Person konkret erlittenen Schaden
zu orientieren habe; der als Schadensersatz zu leistende
„(…) Betrag [dürfe] nicht in einer Höhe bemessen werden, die über den vollständigen Ersatz dieses Schadens hinausgeh[e] (…).“
Hierzu führt der EuGH weiter aus, dass ein nach Art. 82 Abs. 1 DSGVO verlangter beziehungsweise geleisteter Schadensersatz dann als
„(…) „vollständig und wirksam“ anzusehen (…) [sei], wenn (…) [er] es ermöglich[e], den aufgrund des Verstoßes gegen diese Verordnung konkret erlittenen Schaden in vollem Umfang auszugleichen, ohne dass ein solcher vollumfänglicher Ausgleich die Verhängung von Strafschadenersatz erforder[e].“
Exkulpation nur bei Nachweis mangelnden Kausalzusammenhanges
Die zweite Vorlagefrage des Landgerichts Saarbrücken befasst sich mit den Voraussetzungen an eine Exkulpation nach Art. 82 Abs. 3 DSGVO. Dort heißt es:
„Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.“
Vor dem Hintergrund des Vortrages juris‘,
- sie habe einen Prozess für die Bearbeitung von Werbewidersprüchen eingerichtet und
- es sei die Nichtbeachtung der Werbewidersprüche eventuell, das ist neben einer alternativ möglichen Ursache, auf ein weisungswidriges Handeln eines ihrer Mitarbeiter zurückzuführen,
sowie angesichts dessen, dass, wie das vorlegende Gericht angemerkt habe, Art. 82 Abs. 3 DSGVO keine konkreten Nachweisanforderungen benenne, fragt dieses den EuGH, ob es für eine Exkulpation des Anspruchsgegners nach Art. 82 Abs. 3 DSGVO genüge, dass der letztlich einen Schaden verursachende DSGVO-Verstoß
„(…) auf menschliches Versagen im Einzelfall einer im Sinne von Art. 29 DSGVO unterstellten Person zurückgeführt werde.“
Der EuGH verneint diese Frage im Ergebnis und stützt dies insbesondere auf den, Art. 29 DSGVO ergänzenden, Art. 32 Abs. 4 DSGVO.
Während Art. 29 DSGVO vorschreibt, dass unter anderem dem Verantwortlichen „unterstellte Person(en)“ – zu welchen laut EuGH zweifelsohne auch dessen Arbeitnehmer zählten – personenbezogene Daten nur auf Weisung des Verantwortlichen verarbeiten dürfen, sofern jene nicht unions- oder nationalrechtlich zur Verarbeitung personenbezogener Daten verpflichtet sind. Verpflichtet Art. 32 Abs. 4 DSGVO mitunter den Verantwortlichen zum Ergreifen von Maßnahmen zur Absicherung der in Art. 29 DSGVO festgelegten grundsätzlichen Weisungsgebundenheit. Wie sich den Ausführungen des EuGH zu den Voraussetzungen an eine Exkulpation nach Art. 82 Abs. 3 DSGVO innerhalb des hier besprochenen Urteils entnehmen lässt, schließt dieser aus vorgenannter Verpflichtung, dass es
„(…) Sache des Verantwortlichen [sei], sich zu vergewissern, dass seine Weisungen von seinen Arbeitnehmern korrekt ausgeführt (…) [würden]. (…).“
Für eine Exkulpation nach Art. 82 Abs. 3 DSGVO heiße dies laut EuGH, dass
„(…) dem Verantwortlichen bei einer Verletzung des Schutzes personenbezogener Daten durch eine ihm unterstellte Person diese Befreiung nur zugutekommen [könne], wenn er (…) [nachweise], dass es keinen Kausalzusammenhang zwischen der etwaigen Verletzung der ihm gemäß den Art. 5, 24 und 32 dieser Verordnung obliegenden Verpflichtung zum Datenschutz und dem der betroffenen Person entstandenen Schaden (…) [gebe] (vgl. entsprechend Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, Rn. 72).
Für eine mögliche Befreiung des Verantwortlichen – nach Art. 82 Abs. 3 DSGVO – von seiner Haftung (…) [könne] es daher nicht ausreichen, dass er (…) [nachweise], dass er den ihm im Sinne von Art. 29 dieser Verordnung unterstellten Personen Weisungen erteilt (…) [habe] und dass eine dieser Personen ihrer Verpflichtung, diese Weisungen zu befolgen, nicht nachgekommen (…) [sei] und sie damit zum Eintritt des in Rede stehenden Schadens beigetragen (…) [habe].“
„Call to Action“ – Ran an das Maßnahmenpaket nach Art. 32 Abs. 4 DSGVO
Verantwortliche sollten bei den Ausführungen des EuGH zu den Voraussetzungen an eine Exkulpation nach Art. 82 Abs 3 DSGVO in dessen hier besprochenen Urteil aufhorchen. Denn während Art. 32 Abs. 4 DSGVO den Verantwortlichen zwar dazu verpflichtet, Maßnahmen zur Absicherung der in Art. 29 DSGVO festgehaltenen grundsätzlichen Weisungsgebundenheit zu ergreifen, hierbei jedoch keine konkreten Handlungsempfehlungen oder gar einen festen Katalog an Must-Have-Maßnahmen vorsieht, gibt hier nun vorgenanntes Urteil des EuGH ein wenig Aufschluss. So ist den dortigen Ausführungen des EuGH zur Exkulpation nach Art. 82 Abs. 3 DSGVO zu entnehmen: Nach Ansicht des EuGH genüge es zur Erfüllung der in Art. 32 Abs. 4 DSGVO normierten Pflicht nicht, dass der Verantwortliche den ihm im Sinne des Art. 29 DSGVO unterstellten Personen Weisungen bezüglich der durch diese erfolgenden Datenverarbeitungen erteile. Vielmehr sei der Verantwortliche laut EuGH auch nach dem Erteilen solcher Weisungen gehalten,
„(…) sich zu vergewissern (…)“,
dass die ihm im Sinne des Art. 29 DSGVO unterstellten Personen diesen auch zutreffend nachkämen. Für Verantwortliche, die es bis dato bei dem Erteilen von Weisungen gegenüber den ihnen im Sinne des Art. 29 DSGVO unterstellten Personen hinsichtlich der durch diese erfolgenden Datenverarbeitungen belassen beziehungsweise, die keinerlei Maßnahmen zur Vergewisserung der korrekten Einhaltung solcher Weisungen ergriffen haben, dürfte daher in dem Urteil des EuGH vom 11. April 2024 in der Rechtssache C-741/21 ein – im übertragenen Sinne – „Call to Action“ liegen; insbesondere, weil eine Verletzung gegen Art. 32 Abs. 4 DSGVO selbstredend nicht nur eine Exkulpation nach Art. 82 Abs. 3 DSGVO zu verwehren geeignet ist.
