Newsflash – Entscheidung zum Schadensersatz (EuGH, Urteil v. 25.01.2024, Rs. C-687/21)

Hintergrund

Das Amtsgericht Hagen hat dem Europäischen Gerichtshof („EuGH“) einige Fragen zum Thema Schadensersatz nach Art. 82 DSGVO vorgelegt. Gefragt wurde, ob Kläger einen konkreten Schaden darlegen müssen, wenn sie immateriellen Schadensersatz wegen des zeitweisen Kontrollverlusts über personenbezogene Daten nach der DSGVO geltend machen wollen.

Oder ob bloßes Unbehagen wegen des Sachverhalts ausreicht. Hintergrund war eine Schadensersatzforderung, da den Kläger betreffende Vertragsunterlagen mit personenbezogenen Daten (Name, Anschrift, Arbeitgeber, Einkommen und Bankdaten) versehentlich einem Dritten ausgehändigt worden waren. Die Unterlagen konnten nach einer halben Stunde wieder zurückgeholt werden, ohne dass der Dritte davon Kenntnis erlangt hatte. Der Kläger machte geltend, dass die Möglichkeit des Dritten, vor der Rückgabe Kopien anzufertigen, bei ihm ein Unbehagen wegen des Risikos einer künftigen missbräuchlichen Verwendung der Daten ausgelöst habe. 

Entscheidung des EuGH

Der Europäische Gerichtshof hat in seinem Urteil vom 25.01.2023 klargestellt., dass es neben dem Verstoß gegen die DSGVO durch den Verantwortlichen auch eines auf dem Verstoß basierenden materiellen oder immateriellen Schadens für den Anspruchsteller bedarf. Das Vorliegen eines Schadens stellt eine Voraussetzung für den in Art. 82 Abs. 1 vorgesehenen Schadensersatzanspruch dar. Zusätzlich muss ein Verstoß gegen die DSGVO vorliegen und der Schaden muss gerade durch den Verstoß entstanden sein. Hierbei kommen sowohl materielle als auch immaterielle Schäden in Frage. Der Europäische Gerichtshof hat ebenfalls klargestellt, dass Art. 82 Abs. 1 DSGVO nationalen Regelungen, die eine gewisse Schwere des Schadens fordern, entgegensteht. Jedoch muss der Schaden durch den Kläger nachgewiesen werden. Ein bloßer Verstoß gegen die Bestimmung der DSGVO reicht noch nicht aus, um einen Schadensersatzanspruch zu begründen. So reicht das bloße Gefühl des Unbehagens auf Grund der Möglichkeit einer Kenntnisnahme nicht aus. Das rein hypothetische Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten reicht nicht aus. Es obliegt der betroffenen Person das Vorliegen einer Kenntnisnahme und damit eines tatsächlichen Risikos nachzuweisen.

Bezüglich der ebenfalls vorgelegten Frage, ob der Umstand, dass ein Mitarbeiter des Verantwortlichen die Vertragsunterlagen an einen Dritten weitergibt, bereits ausreicht, dass die technischen und organisatorischen Maßnahmen nicht geeignet im Sinne von Art. 24, 32 DSGVO seien, erklärt der EuGH, dass die unbefugte Offenlegung an sich nicht ausreichend sei. Die Bewertung der Geeignetheit der Maßnahmen bedarf einer Gesamtbetrachtung der Umstände. Auf Grund eines einzelnen Verstoßes lässt sich nicht insgesamt auf mangelhafte Sicherheitsmaßnahmen schließen. 

Abschließend stellte der EuGH noch einmal klar, dass Art. 82 Abs. 1 DSGVO keine Straffunktion erfüllen soll. Die Höhe des Schadensersatzes soll sich außerdem nicht nach der Schwere des Verstoßes richten, sondern der Betrag soll den auf Grund des Verstoßes erlittenen Schaden ausrichten. 

Die grundsätzliche Frage des AG Hagen, ob Art. 82 DSGVO unwirksam sei, weil er keine näheren Angaben zu den anzuordnenden Rechtsfolgen bei einem immateriellen Schadensersatz enthält, erklärte der EuGH für unzulässig. Gemäß Art. 94 lit. c) der Verfahrensordnung des Europäischen Gerichtshofs muss das Vorabentscheidungsersuchen eine Darstellung der Gründe enthalten, aus denen das vorlegende Gericht Zweifel bezüglich der Gültigkeit bestimmter Vorschriften hat. Das AG Hagen hat in seinem Vorabentscheidungsersuchen keine Gründe genannt, wieso es Art. 82 DSGVO für unwirksam hält.

Fazit / Praxishinweis

Die Entscheidung steht im Einklang mit der bisherigen Rechtsprechung des  Europäischen Gerichtshof und einem kürzlich veröffentlichten Beschluss des Bundesgerichtshofs vom 12. Dezember 2023. Zum Erfordernis eines konkreten immateriellen Schadens hat der Europäische Gerichtshof mit Urteil vom 4. Mai 2023 (Österreichische Post AG, C-300/21) festgestellt, dass ein bloßer Verstoß gegen DSGVO-Vorschriften für einen Schadensersatzanspruch nicht ausreiche, sondern dem Betroffenen durch den Verstoß auch tatsächlich ein Schaden entstanden sein müsse. Es liegen inzwischen zahlreiche Vorlagefragen zum Inhalt und Umfang des Schadensersatzanspruches nach Art. 82 DSGVO beim  Europäischen Gerichtshof.