Die Geltendmachung eines Schadenersatzanspruches nach der Datenschutz-Grundverordnung (verankert in Art. 82 DS-GVO) durch betroffene Personen ist für datenschutzrechtlich Verantwortliche stets ein Schadenszenario mit welchem sie sich bereits in der Vergangenheit, insbesondere in den Fällen von Datenschutzverletzungen vertieft auseinandersetzen mussten. Zu Tage treten derartige Fallkonstellation z.B. bei Datenschutzverstößen in Form von IT-Sicherheitsvorfällen bzw. Cyberangriffen, bei welchen es zur unbefugten Offenlegung von oder zum unbefugten Zugang zu personenbezogenen Daten kommt. Mit seinem Urteil vom 4. Mai 2023 (Az.: 3 Ca 150/21) hat der Europäische Gerichtshof (EuGH) nunmehr unter anderem klargestellt, dass ein reiner Verstoß gegen die Datenschutz-Grundverordnung noch keinen Schaden im Sinne des Art. 82 DSGVO begründet. Andererseits ist der Schadenersatzanspruch nicht davon abhängig, dass der entstandene immaterielle Schaden eine gewisse Erheblichkeitsschwelle erreichen muss. Hierdurch wird von Großteilen der Literatur ein Wandel im Datenschutzschadenersatzrecht erwartet. Was das Urteil im Einzelnen bedeutet und welche Auswirkungen für die Praxis zu erwarten sind, soll nachfolgend näher betrachtet werden.
Der Schadenersatzanspruch der DS-GVO
Werfen wir jedoch zunächst einen Blick auf den Schadenersatzanspruch der Datenschutz-Grundverordnung, Art. 82 Abs. 1 DS-GVO: „Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“ Die Datenschutz-Grundverordnung eröffnet demnach die Möglichkeit auf den Ersatz eines immateriellen Schadens, also auf ein Schmerzensgeld, zu klagen. Erforderlich ist hierfür ein Verstoß gegen die Datenschutz-Grundverordnung. Die weiteren bzw. exakten Voraussetzungen (z.B. Kausalität und Schaden) waren (und sind es zum Teil weiterhin) in Rechtsprechung und Literatur umstritten.
Im Datenschutzrecht war die Durchsetzung von Schadenersatzansprüchen bisher alles andere als ein Selbstläufer. Bei vielen Verfahren war der Ausgang oft ungewiss, da die nationalen Gerichte die Voraussetzungen für den Schadenersatzanspruch zuweilen sehr unterschiedlich beurteilt haben. Nicht unüblich war insbesondere, dass nationale Gerichte – wie im Rahmen der Daten-Scraping-Fälle offenkundig wurde – Schadenersatzklagen an einer Erheblichkeitsschwelle „haben scheitern lassen“.
Teilweise – soweit kann dies bereits zum derzeitigen Stand festgehalten werden – schafft nun der EuGH durch sein Urteil Rechtsklarheit. Zumindest erscheint dies auf den ersten Blick so. Schafft der EuGH aber auch Rechtssicherheit? Die übergreifende Frage, die jedoch im Raum steht ist, ob nunmehr ein neues (Datenschutz-)Schadenersatzrecht entsteht?
Was sagt nun der EuGH?
Dem Urteil liegt das Verfahren der Österreichischen Post AG zu Grunde. Hier begehrte ein Betroffener Schadensersatz für erlittene Unannehmlichkeiten, nachdem die Österreichische Post AG ab dem Jahr 2017 Informationen über die politischen Affinitäten der Bevölkerung gesammelt hatte und diese an verschiedene Organisationen verkaufte, um ihnen den zielgerichteten Versand von Werbung zu ermöglichen. Sie leitete aus den gesammelten Daten eine hohe – aber unzutreffende – Affinität des Klägers zu einer bestimmten österreichischen Partei ab. Das Verhalten der Österreichischen Post bereitete dem Kläger „großes Ärgernis und einen Vertrauensverlust sowie das Gefühl der Bloßstellung“, weshalb er einen Schadenersatzanspruch in Höhe von EUR 1.000,00 geltend machte. Das Erstgericht wies die Klage ab, was ebenfalls durch das Oberlandesgericht Wien in der Berufung bestätigt wurde. Nachdem gegen das Urteil Revision eingelegt wurde, setzte der Oberste Gerichtshof in Österreich das aus und legte dem EuGH drei Vorlagefragen zur Vorabentscheidung vor.
In seinem Urteil hat der EuGH nun zum einen festgestellt, dass der Schadenersatzanspruch nach Art. 82 DS-GVO an drei kumulative Voraussetzungen geknüpft ist: (1) Es bedarf eines Verstoßes gegen die Datenschutz-Grundverordnung, (2) aus dem Verstoß muss ein materieller oder immaterieller Schaden resultieren und (3) es bedarf eines Kausalzusammenhangs zwischen dem Verstoß und dem Schaden. So weit so gut. Nach der Entscheidung des EuGH setzt der Schadensersatzanspruch demnach neben einem Verstoß gegen die Datenschutz-Grundverordnung zusätzlich einen kausalen Schaden voraus. Somit führt nicht jeder Verstoß gegen die Datenschutz-Grundverordnung auch zu einem Schadenersatzanspruch für die betroffene Person.
Darüber hinaus wird durch den EuGH aber auch festgestellt, dass für die Geltendmachung eines Anspruchs, der auf einen immateriellen Schaden zurückzuführen ist, keine „Erheblichkeitsschwelle“ überschritten werden muss. Es gibt also keine Grenze für Bagatellschäden, wie sie beispielsweise in den oben genannten Facebook-Scraping-Fällen zum Teil von den nationalen Gerichten angenommen wurde. Dies erscheint insoweit stringent, als dass die Datenschutz-Grundverordnung selbst keine solche Tatbestandvoraussetzung für den Schadenersatzanspruch kennt. Das Gericht konstatiert, dass es dem Willen des Gesetzgebers widerspreche, den Schadensbegriff auf Beeinträchtigungen mit einer gewissen Erheblichkeit zu beschränken. Gleichzeitig gilt nach Ansicht des EuGH jedoch, dass der Betroffene nicht davon befreit ist, nachzuweisen, dass der eingetretene Schaden tatsächlich auf den Verstoß gegen die Datenschutz-Grundverordnung beziehungsweise die Datenschutzverletzung zurückzuführen ist.
Schließlich führt der EuGH zu den Regeln die Schadensbemessung betreffend aus. Diesbezüglich enthält die Datenschutz-Grundverordnung selbst keine Vorgaben und es bestehen auch keine sonstigen unionsrechtlichen Regelungen, weshalb im Ergebnis insbesondere die Festlegung der Kriterien für die Ermittlung des Umfangs des geschuldeten Schadenersatzes durch die mitgliedstaatlichen Rechte ausgefüllt werden muss.
Welche Auswirkungen sind für die Praxis zu erwarten?
Das Gesagte lässt zwar vermuten, dass die Geltendmachung des datenschutzrechtlichen Schadenersatzanspruches grundlegend an höhere Anforderungen geknüpft wird, da nicht jeder Verstoße gegen die Datenschutz-Grundverordnung auch zu einem Anspruch führt. Dennoch drängt sich die Vermutung auf, dass künftig mehr Klageverfahren geführt werden könnten. Dies ist darauf zurückzuführen, dass insbesondere die deutschen Gerichte Klagen auf Schadenersatz nach Art. 82 DS-GVO in der Vergangenheit mit Verweis auf die Erheblichkeitsschwelle (sog. Bagatellfälle) abgewiesen haben. Insbesondere bei Datenschutzverletzungen z.B. infolge von Cyberangriffen könnte dies nunmehr zu einem erhöhten Risiko für verantwortliche Stellen kommen – wenn da nicht weiterhin ungeklärte Fragen wären…
Offen bleibt, insbesondere welche Verstöße gegen die Datenschutz-Grundverordnung einen Schadenersatz auslösen können. Im Raum steht hier allem voran die Frage, ob Verstöße gegen die Informationspflichten nach Art. 12 bis Art. 14 DS-GVO ausreichend sein können. Diesbezüglich lohnt gegebenenfalls ein Blick auf das Urteil des EuGH ebenfalls vom 4. Mai 2023 (Az.: C-60/22), in welchem der EuGH wiederrum konstatiert, dass ein Verstoß gegen Art. 26 DS-GVO (Gemeinsame Verantwortlichkeit) und Art. 30 DS-GVO (Verzeichnis der Verarbeitungstätigkeiten) nicht zur Unrechtmäßigkeit einer Datenverarbeitung führt.
Auch die Frage nach dem konkreten Schaden wird durch den EuGH nicht abschließend beantwortet. Offen bleibt, was konkret unter einem Schaden zu verstehen ist. Ungeklärt ist mithin weiterhin was unter den immateriellen Schadensbegriff gefasst werden muss. Da drängt sich die Frage auf: Soll Schmerzensgeld z.B. wehtun? Diese Frage ist auch deshalb nicht trivial, da die datenschutzrechtliche Schadenersatzpraxis, durch die ab Juni 2023 in nationales Recht umzusetzende EU-Verbandsklage neuen Sphären erreichen könnte.
Fazit
Verantwortliche Stellen könnten sich künftig vermutlich mehr mit Schadenersatzforderungen in großer Zahl in Folge von Datenschutzverstößen, insbesondere nach Datenschutzverletzungen bzw. IT-Sicherheitsvorfällen ausgesetzt sehen. Ander als bei den Verstößen gegen „formelle“ Anforderungen liegt z.B. bei einer Datenschutzverletzung in Form einer Datenexfiltration ein Kontrollverlust der betroffenen Person über die eigenen personenbezogenen Daten vor. Hier wird insbesondere auch auf das kommende Urteil des EuGH in der Rechtssache C-340/21 zu blicken sein. In dieser Sache hat der Generalstaatsanwalt am 27. April 2023 seine Schlussanträge vorgelegt, mit denen er sich mit der Frage auseinandersetzt, ob ein Cyberangriff auf einen Verantwortlichen stets in eine Schadensersatzhaftung nach Art. 82 DS-GVO führt. Es bleibt also mit Spannung abzuwarten, wie sich das (Datenschutz-)Schadenersatzrecht weiterentwickelt.
Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.