Abo

Urteil : Kein Schadenersatz ohne Schaden : aus der RDV 4/2024, Seite 231 bis 233

(EuGH, Urteil vom 11. April 2024 – C-741/21 –)

Rechtsprechung
Lesezeit 8 Min.

Relevanz für die Praxis

Im vorliegenden Urteil hatte sich der EuGH einmal mehr mit Vorlagefragen zum Schadenersatz nach Art. 82 DS-GVO zu beschäftigen. Das Gericht bestätigt hier seine bereits Anfang des Jahres geäußerte Auffassung, dass die Forderung eines Schadenersatzes den Nachweis eines Schadens voraussetzt, auch wenn dieser lediglich immaterieller Natur sein soll. Der bloße Nachweis eines Verstoßes gegen die Bestimmungen der DS-GVO genügt hingegen nicht. Sofern ein (immaterieller) Schaden nachgewiesen wurde, dürfen bei der Berechnung der Höhe des Schadenersatzanspruchs die Bemessungskriterien für die Bußgeldhöhe aus Art. 83 DS-GVO weder direkt noch analog zur Anwendung kommen, da der Schadenersatz nach der DS-GVO nicht der Strafe, sondern dem Ausgleich dient. Für die Praxis dürfte schließlich die zweite Vorlagefrage von besonderer Relevanz sein: In deren Beantwortung kommt zunächst zum Ausdruck, dass ein Verstoß gegen Art. 32 Abs. 4 DS-GVO geeignet ist, eine Exkulpation nach Art.  82 Abs.  3 DS-GVO auszuschließen. Dabei erklärt der EuGH auch, dass es für die Erfüllung der Organisationspflicht nach Art. 32 Abs. 4 DS-GVO nicht genügt, wenn der Verantwortliche den ihm unterstellten Personen Weisungen bezüglich der vorzunehmenden Datenverarbeitungen erteilt. Vielmehr muss er sich vergewissern, dass diese eingehalten werden.

  1. Art. 82 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass ein Verstoß gegen Bestimmungen dieser Verordnung, die der betroffenen Person Rechte verleihen, für sich genommen nicht ausreicht, um unabhängig vom Schweregrad des von dieser Person erlittenen Schadens einen „immateriellen Schaden“ im Sinne dieser Bestimmung darzustellen.
  2. Art. 82 der Verordnung 2016/679 ist dahin auszulegen, dass es für eine Befreiung des Verantwortlichen von seiner Haftung nach Art. 82 Abs. 3 dieser Verordnung nicht ausreicht, dass er geltend macht, dass der in Rede stehende Schaden durch ein Fehlverhalten einer ihm im Sinne von Art. 29 der Verordnung unterstellten Person verursacht wurde.
  3. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass zur Bemessung des Betrags des auf diese Bestimmung gestützten Anspruchs auf Schadenersatz zum einen die in Art. 83 dieser Verordnung vorgesehenen Kriterien für die Festsetzung des Betrags von Geldbußen nicht entsprechend anzuwenden sind und zum anderen nicht zu berücksichtigen ist, dass die Person, die Schadenersatz verlangt, von mehreren Verstößen gegen die Verordnung betroffen ist, die sich auf denselben Verarbeitungsvorgang beziehen.

Zu den Vorlagefragen:

Zur ersten Frage:

Mit seiner ersten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 Abs. 1 DS-GVO dahin auszulegen ist, dass ein Verstoß gegen Bestimmungen dieser Verordnung, die der betroffenen Person Rechte verleihen, für sich genommen ausreicht, um unabhängig vom Schweregrad des von dieser Person erlittenen Schadens einen „immateriellen Schaden“ im Sinne dieser Bestimmung darzustellen. […]

Selbst wenn die verletzte Bestimmung der DS-GVO natürlichen Personen Rechte gewähren sollte, kann ein solcher Verstoß für sich genommen keinen „immateriellen Schaden“ im Sinne dieser Verordnung darstellen.

Zwar ergibt sich aus Art. 79 Abs. 1 DS-GVO, dass jede betroffene Person das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen den Verantwortlichen oder einen etwaigen Auftragsverarbeiter hat, wenn sie der Ansicht ist, dass die „ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden“.

Diese Bestimmung verleiht jedoch der Person, die der Ansicht ist, Betroffene eines Verstoßes der ihr aufgrund der DS-GVO zustehenden Rechte zu sein, lediglich das Recht auf einen Rechtsbehelf, ohne diese Person von der ihr nach Art.  82 Abs.  1 dieser Verordnung obliegenden Verpflichtung zu entbinden, nachzuweisen, dass sie tatsächlich einen materiellen oder immateriellen Schaden erlitten hat.

Folglich reicht der Verstoß gegen Bestimmungen der DS-GVO, die der betroffenen Person Rechte verleihen, für sich genommen nicht zur Begründung eines materiellen Anspruchs auf Schadenersatz nach dieser Verordnung aus, die verlangt, dass auch die beiden anderen in Rn. 34 des vorliegenden Urteils genannten Voraussetzungen dieses Anspruchs erfüllt sind.

Im vorliegenden Fall begehrt der Kläger des Ausgangsverfahrens auf der Grundlage der DS-GVO Ersatz eines immateriellen Schadens, nämlich eines Verlusts der Kontrolle über seine trotz seines Widerspruchs verarbeiteten personenbezogenen Daten, ohne nachweisen zu müssen, dass dieser Schaden einen gewissen Schweregrad überschritten hat.

Insoweit ist darauf hinzuweisen, dass der 85. Erwägungsgrund der DS-GVO ausdrücklich den „Verlust der Kontrolle“ zu den Schäden zählt, die durch eine Verletzung personenbezogener Daten verursacht werden können. Ferner hat der Gerichtshof entschieden, dass der – selbst kurzzeitige – Verlust der Kontrolle über solche Daten einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 dieser Verordnung darstellen kann, der einen Schadenersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat (vgl. in diesem Sinne Urt. v. 25.01.2024, MediaMarktSaturn, C-687/21, EU:C:2024:72, Rn. 66 und die dort angeführte Rechtsprechung).

Nach alledem ist auf die erste Frage zu antworten, dass Art. 82 Abs. 1 DS-GVO dahin auszulegen ist, dass ein Verstoß gegen Bestimmungen dieser Verordnung, die der betroffenen Person Rechte verleihen, für sich genommen nicht ausreicht, um unabhängig vom Schweregrad des von dieser Person erlittenen Schadens einen „immateriellen Schaden“ im Sinne dieser Bestimmung darzustellen.

Zur zweiten Frage:

Mit seiner zweiten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art.  82 DS-GVO dahin auszulegen ist, dass es für eine Befreiung des Verantwortlichen von seiner Haftung nach Art. 82 Abs. 3 dieser Verordnung ausreicht, dass er geltend macht, dass der in Rede stehende Schaden durch ein Fehlverhalten einer ihm im Sinne von Art.  29 der Verordnung unterstellten Person verursacht wurde. […]

Bei einem Arbeitnehmer des Verantwortlichen handelt es sich fraglos um eine natürliche Person, die dem Verantwortlichen unterstellt ist. Es ist somit Sache des Verantwortlichen, sich zu vergewissern, dass seine Weisungen von seinen Arbeitnehmern korrekt ausgeführt werden. Daher kann sich der Verantwortliche nicht einfach dadurch nach Art. 82 Abs. 3 DS-GVO von seiner Haftung befreien, dass er sich auf Fahrlässigkeit oder Fehlverhalten einer ihm unterstellten Person beruft. […]

Insoweit ist hervorzuheben, dass die Umstände der in Art.  82 Abs.  3 DS-GVO vorgesehenen Befreiung streng auf solche beschränkt werden müssen, unter denen der Verantwortliche nachweisen kann, dass er selbst nicht für den Schaden verantwortlich ist (vgl. in diesem Sinne Urt. v. 14.12.2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, Rn. 70). Daher kann dem Verantwortlichen bei einer Verletzung des Schutzes personenbezogener Daten durch eine ihm unterstellte Person diese Befreiung nur zugutekommen, wenn er nachweist, dass es keinen Kausalzusammenhang zwischen der etwaigen Verletzung der ihm gem. den Artt. 5, 24 und 32 dieser Verordnung obliegenden Verpflichtung zum Datenschutz und dem der betroffenen Person entstandenen Schaden gibt (vgl. entsprechend Urt. v. 14.12.2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, Rn. 72).

Für eine mögliche Befreiung des Verantwortlichen – nach Art.  82 Abs.  3 DS-GVO – von seiner Haftung kann es daher nicht ausreichen, dass er nachweist, dass er den ihm im Sinne von Art.  29 dieser Verordnung unterstellten Personen Weisungen erteilt hat und dass eine dieser Personen ihrer Verpflichtung, diese Weisungen zu befolgen, nicht nachgekommen ist und sie damit zum Eintritt des in Rede stehenden Schadens beigetragen hat. Könnte sich der Verantwortliche von seiner Haftung befreien, indem er sich lediglich auf das Fehlverhalten einer ihm unterstellten Person beruft, würde dies nämlich, wie das vorlegende Gericht im Wesentlichen ausgeführt hat, die praktische Wirksamkeit des in Art. 82 Abs. 1 DS-GVO verankerten Anspruchs auf Schadenersatz beeinträchtigen, was nicht im Einklang mit dem Ziel dieser Verordnung stünde, ein hohes Schutzniveau für natürliche Personen bei der Verarbeitung ihrer personenbezogenen Daten zu gewährleisten.

Nach alledem ist auf die zweite Frage zu antworten, dass Art. 82 DS-GVO dahin auszulegen ist, dass es für eine Befreiung des Verantwortlichen von seiner Haftung nach Art.  82 Abs.  3 dieser Verordnung nicht ausreicht, dass er geltend macht, dass der in Rede stehende Schaden durch ein Fehlverhalten einer ihm im Sinne von Art. 29 der Verordnung unterstellten Person verursacht wurde.

Zur dritten und zur vierten Frage:

Mit seiner dritten und seiner vierten Frage, die zusammen zu prüfen sind, möchte das vorlegende Gericht im Wesentlichen wissen, ob Art.  82 Abs.  1 DS-GVO dahin auszulegen ist, dass zur Bemessung des Betrags des auf diese Bestimmung gestützten Anspruchs auf Schadenersatz zum einen die in Art. 83 dieser Verordnung vorgesehenen Kriterien für die Festsetzung des Betrags von Geldbußen entsprechend anzuwenden sind und zum anderen zu berücksichtigen ist, dass die Person, die Schadenersatz verlangt, von mehreren Verstößen gegen die Verordnung betroffen ist, die sich auf denselben Verarbeitungsvorgang beziehen. […]

Angesichts der Unterschiede im Wortlaut und in der Zielsetzung, die zwischen Art.  82 DS-GVO im Licht des 146. Erwägungsgrundes dieser Verordnung und ihrem Art.  83 im Licht ihres 148. Erwägungsgrundes bestehen, kann daher ungeachtet der Tatsache, dass die in den beiden Bestimmungen vorgesehenen Rechtsbehelfe einander ergänzen, um die Einhaltung dieser Verordnung sicherzustellen, nicht davon ausgegangen werden, dass die in Art.  83 DS-GVO speziell angegebenen Bemessungskriterien im Rahmen von Art.  82 DS-GVO entsprechend anwendbar sind.

Was als Zweites die Art und Weise betrifft, in der die nationalen Gerichte den Betrag einer finanziellen Entschädigung nach Art. 82 DS-GVO im Fall mehrfacher Verstöße gegen diese Verordnung, die dieselbe betroffene Person betreffen, zu bemessen haben, ist zunächst darauf hinzuweisen, dass es, wie in Rn. 58 des vorliegenden Urteils ausgeführt, Sache jedes Mitgliedstaats ist, die Kriterien festzulegen, anhand deren der Betrag dieser Entschädigung bemessen werden kann, sofern die unionsrechtlichen Grundsätze der Effektivität und der Äquivalenz beachtet werden.

Angesichts dessen, dass Art. 82 DS-GVO keine Straf-, sondern eine Ausgleichsfunktion hat, worauf in den Rn. 60 und 61 des vorliegenden Urteils hingewiesen wird, kann sodann der Umstand, dass der Verantwortliche mehrere Verstöße gegenüber derselben betroffenen Person begangen hat, nicht als ein relevantes Kriterium für die Bemessung des dieser Person Art. 82 dieser Verordnung zu gewährenden Schadenersatzes herangezogen werden. Um den Betrag der als Ausgleich geschuldeten finanziellen Entschädigung festzulegen, ist nämlich allein der von dieser Person konkret erlittene Schaden zu berücksichtigen.

Folglich ist auf die dritte und die vierte Frage zu antworten, dass Art. 82 Abs. 1 DS-GVO dahin auszulegen ist, dass zur Bemessung des Betrags des auf diese Bestimmung gestützten Anspruchs auf Schadenersatz zum einen die in Art.  83 dieser Verordnung vorgesehenen Kriterien für die Festsetzung des Betrags von Geldbußen nicht entsprechend anzuwenden sind und zum anderen nicht zu berücksichtigen ist, dass die Person, die Schadenersatz verlangt, von mehreren Verstößen gegen die Verordnung betroffen ist, die sich auf denselben Verarbeitungsvorgang beziehen.

Zur Vertiefung

Wybitbul/Brams/Zhou, Der EuGH erleichtert Massenklagen im Datenschutz = RDV 3/2023

[Urteil] Kein Schadenersatz wegen Kontrollverlust = RDV 4/2024

[Urteil] Kein Schadenersatz bei hypothetischem Verwendungsrisiko = RDV 2/2024

[Urteil] Schadenersatz für subjektive Schäden = RDV 2/2024

[Urteil] Schadenersatz für immaterielle Schäden = RDV 2/2024

[Urteil] Voraussetzungen eines immateriellen Schadenersatzanspruchs nach Art. 82 DS-GVO = RDV 4/2023