Urteil : Voraussetzungen eines immateriellen Schadenersatzanspruchs nach Art. 82 DS‑GVO : aus der RDV 4/2023 Seite 246 bis 249
(EuGH, Urteil vom 4. Mai 2023 – C-300/21 –)
Relevanz für die Praxis
Unter welchen Voraussetzungen Betroffene Schadenersatz nach Art. 82 DS-GVO für immaterielle Schäden verlangen können, ist seit Inkrafttreten der DS-GVO eine der meist umstrittenen Fragen im Datenschutzrecht. Nun hat der EuGH in einem lang ersehnten Urteil in einigen Punkten für Klarheit gesorgt.
Ein bloßer Verstoß gegen die DS-GVO reicht dem neuesten Urteil zufolge nicht aus, um einen Schadenersatzanspruch zu begründen. Die betroffene Person muss einen immateriellen Schaden erlitten haben und vor Gericht darlegen. Eine Erheblichkeitsschwelle kennt die DS-GVO hingegen nicht, so der EuGH. Damit erleichtert die Entscheidung die Geltendmachung von Schadensersatzansprüchen erheblich.
Die Ermittlung der Höhe des Schadensersatzes legt der EuGH in die Hände der einzelnen Mitgliedstaaten. Hier bleibt also die hiesige Praxis weiterhin entscheidend.
- Art. 82 Abs. 1 der Verordnung (EU) 2016/679 […] ist dahin auszulegen, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen.
- Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass er einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat.
- Art. 82 der Verordnung 2016/679 ist dahin auszulegen, dass die nationalen Gerichte bei der Festsetzung der Höhe des Schadenersatzes, der aufgrund des in diesem Artikel verankerten Schadenersatzanspruchs geschuldet wird, die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden haben, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden.
Zu den Vorlagefragen:
Zur ersten Frage:
Mit seiner ersten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 Abs. 1 DS-GVO dahin auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung ausreicht, um einen Schadenersatzanspruch zu begründen.
Insoweit ist darauf hinzuweisen, dass nach ständiger Rechtsprechung die Begriffe einer Bestimmung des Unionsrechts, die für die Ermittlung ihres Sinnes und ihrer Tragweite nicht ausdrücklich auf das Recht der Mitgliedstaaten verweist, in der Regel in der gesamten Union eine autonome und einheitliche Auslegung erhalten müssen (Urt. v. 22. Juni 2021, Latvijas Republikas Saeima [Strafpunkte], C-439/19, EU:C:2021:504, Rn. 81, und vom 10. Februar 2022, ShareWood Switzerland, C-595/20, EU:C:2022:86, Rn. 21), die insbesondere unter Berücksichtigung des Wortlauts der betreffenden Bestimmung und des Zusammenhangs, in den sie sich einfügt, zu ermitteln ist (vgl. in diesem Sinne Urt. v. 15. April 2021, The North of England P & I Association, C-786/19, EU:C:2021:276, Rn. 48, sowie vom 10. Juni 2021, KRONE – Verlag, C-65/20, EU:C:2021:471, Rn. 25).
Die DS-GVO verweist für den Sinn und die Tragweite der in ihrem Art. 82 enthaltenen Begriffe, insbesondere in Bezug auf die Begriffe „materieller oder immaterieller Schaden“ und „Schadenersatz“, nicht auf das Recht der Mitgliedstaaten. Daraus folgt, dass diese Begriffe für die Anwendung der DS-GVO als autonome Begriffe des Unionsrechts anzusehen sind, die in allen Mitgliedstaaten einheitlich auszulegen sind.
Was als Erstes den Wortlaut von Art. 82 DS-GVO betrifft, ist darauf hinzuweisen, dass nach Abs. 1 dieses Artikels „[j]ede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, … Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter [hat]“.
Zum einen geht aus dem Wortlaut dieser Bestimmung klar hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind.
Daher kann nicht davon ausgegangen werden, dass jeder „Verstoß“ gegen die Bestimmungen der DS-GVO für sich genommen den Schadenersatzanspruch der betroffenen Person im Sinne von Art. 4 Nr. 1 dieser Verordnung eröffnet. Eine solche Auslegung liefe dem Wortlaut von Art. 82 Abs. 1 DS-GVO zuwider.
Zum anderen ist hervorzuheben, dass die gesonderte Erwähnung eines „Schadens“ und eines „Verstoßes“ in Art. 82 Abs. 1 DS-GVO überflüssig wäre, wenn der Unionsgesetzgeber davon ausgegangen wäre, dass ein Verstoß gegen die Bestimmungen der DS-GVO für sich allein in jedem Fall ausreichend wäre, um einen Schadenersatzanspruch zu begründen.
Als Zweites wird die vorstehende Wortauslegung durch den Zusammenhang bestätigt, in den sich diese Bestimmung einfügt.
Art. 82 Abs. 2 DS-GVO, der die Haftungsregelung, deren Grundsatz in Abs. 1 dieses Artikels festgelegt ist, präzisiert, übernimmt nämlich die drei Voraussetzungen für die Entstehung des Schadenersatzanspruchs, nämlich eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DS-GVO, ein der betroffenen Person entstandener Schaden und ein Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden.
Diese Auslegung wird auch durch die Erläuterungen in den Erwägungsgründen 75, 85 und 146 der DS-GVO bestätigt. Zum einen bezieht sich der 146. Erwägungsgrund der DS-GVO, der speziell den in Art. 82 Abs. 1 dieser Verordnung vorgesehenen Schadenersatzanspruch betrifft, in seinem ersten Satz auf „Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht“. Zum anderen heißt es in den Erwägungsgründen 75 und 85 der DS-GVO, dass „[d]ie Risiken … aus einer Verarbeitung personenbezogener Daten hervorgehen [können], die zu einem … Schaden führen könnte“ bzw. dass eine „Verletzung des Schutzes personenbezogener Daten … einen … Schaden … nach sich ziehen [kann]“. Daraus ergibt sich erstens, dass der Eintritt eines Schadens im Rahmen einer solchen Verarbeitung nur potenziell ist, zweitens, dass ein Verstoß gegen die DS-GVO nicht zwangsläufig zu einem Schaden führt, und drittens, dass ein Kausalzusammenhang zwischen dem fraglichen Verstoß und dem der betroffenen Person entstandenen Schaden bestehen muss, um einen Schadenersatzanspruch zu begründen.
Die Wortauslegung von Art. 82 Abs. 1 DS-GVO wird auch durch einen Vergleich mit anderen Bestimmungen bestätigt, die ebenfalls in Kapitel VIII der DS-GVO enthalten sind, das u.a. die verschiedenen Rechtsbehelfe regelt, mit denen die Rechte der betroffenen Person im Fall einer Verarbeitung ihrer personenbezogenen Daten, die gegen die Bestimmungen dieser Verordnung verstoßen soll, geschützt werden können.
Hierzu ist festzustellen, dass die in diesem Kapitel enthaltenen Artt. 77 und 78 DS-GVO im Fall eines behaupteten Verstoßes gegen diese Verordnung Rechtsbehelfe bei einer bzw. gegen eine Aufsichtsbehörde vorsehen, wobei sie – anders als Art. 82 DS-GVO in Bezug auf Schadenersatzklagen – keinen Hinweis darauf enthalten, dass der betroffenen Person ein „Schaden“ entstanden sein müsste, um solche Rechtsbehelfe einlegen zu können. Dieser Unterschied in der Formulierung offenbart die Bedeutung des Kriteriums „Schaden“ und damit seine Eigenständigkeit gegenüber dem Kriterium „Verstoß“ für die Zwecke der auf die DS-GVO gestützten Schadenersatzansprüche.
Auch haben die Artt. 83 und 84 DS-GVO, die die Verhängung von Geldbußen und anderen Sanktionen erlauben, im Wesentlichen einen Strafzweck und hängen nicht vom Vorliegen eines individuellen Schadens ab. Das Verhältnis zwischen den in Art. 82 DS-GVO und den in den Artt. 83 und 84 DS-GVO enthaltenen Vorschriften zeigt, dass zwischen diesen beiden Kategorien von Bestimmungen ein Unterschied besteht, sie einander aber als Anreiz zur Einhaltung der DS-GVO auch ergänzen, wobei das Recht jeder Person, den Ersatz eines Schadens zu verlangen, die Durchsetzungskraft der in dieser Verordnung vorgesehenen Schutzvorschriften erhöht und geeignet ist, von der Wiederholung rechtswidriger Verhaltensweisen abzuschrecken.
Schließlich ist darauf hinzuweisen, dass nach dem vierten Satz des 146. Erwägungsgrundes der DS-GVO die Vorschriften der DS-GVO unbeschadet von Schadenersatzforderungen aufgrund von Verstößen gegen andere Vorschriften des Unionsrechts oder des Rechts der Mitgliedstaaten gelten.
Nach alledem ist auf die erste Frage zu antworten, dass Art. 82 Abs. 1 DS-GVO dahin auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen.
Zur dritten Frage:
Mit seiner dritten Frage, die vor der zweiten Frage zu prüfen ist, möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 Abs. 1 DS-GVO dahin auszulegen ist, dass er einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat.
Insoweit ist auf die oben gemachten Ausführungen hinzuweisen, wonach der Begriff „Schaden“ und im vorliegenden Fall speziell der Begriff „immaterieller Schaden“ im Sinne von Art. 82 DS-GVO in Anbetracht des Fehlens jeglicher Bezugnahme auf das innerstaatliche Recht der Mitgliedstaaten eine autonome und einheitliche unionsrechtliche Definition erhalten müssen.
Als Erstes ist in der DS-GVO der Begriff „Schaden“ für die Zwecke der Anwendung dieses Instruments nicht definiert. Art. 82 DS-GVO beschränkt sich auf die ausdrückliche Feststellung, dass nicht nur ein „materieller Schaden“, sondern auch ein „immaterieller Schaden“ Anspruch auf Schadenersatz eröffnen kann, ohne dass eine wie auch immer geartete Erheblichkeitsschwelle genannt wird.
Als Zweites deutet auch der Zusammenhang, in den sich diese Bestimmung einfügt, darauf hin, dass der Schadenersatzanspruch nicht davon abhängt, dass der betreffende Schaden eine gewisse Erheblichkeit erreicht. Nach dem dritten Satz des 146. Erwägungsgrundes der DS-GVO sollte „[d]er Begriff des Schadens … im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht“. Es stünde jedoch zu dem vom Unionsgesetzgeber gewählten weiten Verständnis des Begriffs „Schaden“ im Widerspruch, wenn dieser Begriff auf Schäden mit einer gewissen Erheblichkeit beschränkt wäre.
Als Drittes und Letztes wird diese Auslegung durch die mit der DS-GVO verfolgten Ziele bestätigt. Insoweit ist darauf hinzuweisen, dass im dritten Satz des 146. Erwägungsgrundes der DS-GVO ausdrücklich gefordert wird, bei der Definition des Begriffs „Schaden“ im Sinne dieser Verordnung „den Zielen dieser Verordnung in vollem Umfang“ zu entsprechen.
Insbesondere geht aus dem zehnten Erwägungsgrund der DS-GVO hervor, dass diese namentlich darauf abzielt, innerhalb der Union ein gleichmäßiges und hohes Niveau des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten zu gewährleisten und zu diesem Zweck für eine unionsweit gleichmäßige und einheitliche Anwendung der Vorschriften zum Schutz der Grundrechte und Grundfreiheiten dieser Personen bei der Verarbeitung personenbezogener Daten zu sorgen (vgl. in diesem Sinne Urt. v. 16. Juli 2020, Facebook Ireland und Schrems, C-311/18, EU:C:2020:559, Rn. 101, sowie vom 12. Januar 2023, Österreichische Post [Informationen über die Empfänger personenbezogener Daten], C-154/21, EU:C:2023:3, Rn. 44 und die dort angeführte Rechtsprechung).
Würde aber der Ersatz eines immateriellen Schadens von einer Erheblichkeitsschwelle abhängig gemacht, könnte dies die Kohärenz der mit der DS-GVO eingeführten Regelung beeinträchtigen, da die graduelle Abstufung einer solchen Schwelle, von der die Möglichkeit, Schadenersatz zu erhalten, abhinge, je nach Beurteilung durch die angerufenen Gerichte unterschiedlich hoch ausfallen könnte.
Allerdings bedeutet diese Auslegung nicht, dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 dieser Verordnung darstellen.
Nach alledem ist auf die dritte Frage zu antworten, dass Art. 82 Abs. 1 DS-GVO dahin auszulegen ist, dass er einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat.
Zur zweiten Frage:
Mit seiner zweiten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 DS-GVO dahin auszulegen ist, dass die nationalen Gerichte bei der Festsetzung der Höhe des Schadenersatzes, der aufgrund des in diesem Artikel verankerten Schadenersatzanspruchs geschuldet wird, die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung unter Beachtung nicht nur der unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität anzuwenden haben.
Insoweit ist darauf hinzuweisen, dass es nach ständiger Rechtsprechung mangels einschlägiger Unionsregeln nach dem Grundsatz der Verfahrensautonomie Sache der innerstaatlichen Rechtsordnung jedes Mitgliedstaates ist, die verfahrensrechtlichen Modalitäten der Rechtsbehelfe, die zum Schutz der Rechte der Bürger bestimmt sind, festzulegen, vorausgesetzt allerdings, dass diese Modalitäten bei unter das Unionsrecht fallenden Sachverhalte nicht ungünstiger sind als diejenigen, die gleichartige Sachverhalte regeln, die dem innerstaatlichen Recht unterliegen (Äquivalenzgrundsatz), und dass sie die Ausübung der durch das Unionsrecht verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren (Effektivitätsgrundsatz) (vgl. in diesem Sinne Urt. v. 13. Dezember 2017, El Hassani, C-403/16, EU:C:2017:960, Rn. 26, und vom 15. September 2022, Uniqa Versicherungen, C-18/21, EU:C:2022:682, Rn. 36).
Im vorliegenden Fall ist festzustellen, dass die DS-GVO keine Bestimmung enthält, die sich den Regeln für die Bemessung des Schadenersatzes widmet, auf den eine betroffene Person im Sinne von Art. 4 Nr. 1 dieser Verordnung nach deren Art. 82 Anspruch hat, wenn ihr durch einen Verstoß gegen diese Verordnung ein Schaden entstanden ist. Daher sind die Ausgestaltung von Klageverfahren, die den Schutz der dem Einzelnen aus Art. 82 DS-GVO erwachsenden Rechte gewährleisten sollen, und insbesondere die Festlegung der Kriterien für die Ermittlung des Umfangs des in diesem Rahmen geschuldeten Schadenersatzes in Ermangelung einschlägiger unionsrechtlicher Vorschriften Aufgabe des Rechts des einzelnen Mitgliedstaates, wobei der Äquivalenz- und der Effektivitätsgrundsatz zu beachten sind (vgl. entsprechend Urt. v. 13. Juli 2006, Manfredi u.a., C-295/04 bis C-298/04, EU:C:2006:461, Rn. 92 und 98).
Was den Äquivalenzgrundsatz betrifft, verfügt der Gerichtshof im vorliegenden Verfahren über keinerlei Anhaltspunkte, die einen Zweifel an der Vereinbarkeit einer auf den Ausgangsrechtsstreit anwendbaren nationalen Regelung mit diesem Grundsatz aufkommen lassen und somit darauf hindeuten könnten, dass sich dieser Grundsatz im Rahmen dieses Rechtsstreits konkret auswirken könnte.
Was den Effektivitätsgrundsatz betrifft, ist es Sache des vorlegenden Gerichts, festzustellen, ob die im österreichischen Recht vorgesehenen Modalitäten für die gerichtliche Festsetzung des Schadenersatzes, der aufgrund des in Art. 82 DS-GVO verankerten Schadenersatzanspruchs geschuldet wird, die Ausübung der durch das Unionsrecht und insbesondere durch diese Verordnung verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren.
In diesem Zusammenhang ist darauf hinzuweisen, dass der sechste Satz des 146. Erwägungsgrundes der DS-GVO besagt, dass dieses Instrument einen „vollständigen und wirksamen Schadenersatz für den erlittenen Schaden“ sicherstellen soll.
Wie der Generalanwalt in den Nrn. 39, 49 und 52 seiner Schlussanträge im Wesentlichen ausgeführt hat, ist in Anbetracht der Ausgleichsfunktion des in Art. 82 DS-GVO vorgesehenen Schadenersatzanspruchs eine auf diese Bestimmung gestützte finanzielle Entschädigung als „vollständig und wirksam“ anzusehen, wenn sie es ermöglicht, den aufgrund des Verstoßes gegen diese Verordnung konkret erlittenen Schaden in vollem Umfang auszugleichen, ohne dass ein solcher vollumfänglicher Ausgleich die Verhängung von Strafschadenersatz erfordert.
Nach alledem ist auf die zweite Frage zu antworten, dass Art. 82 DS-GVO dahin auszulegen ist, dass die nationalen Gerichte bei der Festsetzung der Höhe des Schadenersatzes, der aufgrund des in diesem Artikel verankerten Schadenersatzanspruchs geschuldet wird, die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden haben, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden.
Zur Vertiefung
Wybitul/Brams/Zhou, Der EuGH erleichtert Massenklagen im Datenschutz = RDV 3/2023.
Meyer, Rechtsmissbräuchliche Schadenersatzforderungen = RDV 6/2022.
[Urteil] BAG-EuGH-Anfrage zu immateriellem Schadenersatz wegen der Übermittlung personenbezogener Daten an die vormalige Konzernmutter der Arbeitgeberin in den USA aufgrund einer Betriebsvereinbarung = RDV 6/2022.
[Urteil] 10.000,– € Schadenersatz wegen einer verspäteten Auskunft nach Art. 15 DS-GVO = RDV 3/2023.
[Urteil] Zur Höhe eines Anspruchs auf immateriellen Schadenersatz bei Verstoß gegen die DS-GVO = RDV 5/2022.
[Urteil] Ein immaterieller Schadenersatz nach Art. 82 DS-GVO muss konkretisiert sein (Ls) = RDV 1/2022.