Urteil. In der Causa „Post“ hat der EuGH Bagatellgrenzen für Schadenersatz beim Datenschutz eine Absage erteilt, freut sich der VKI. Die deutsche Wirtschaftskanzlei Noerr erwartet mehr Klagen.
„Der bloße Verstoß gegen die DSGVO begründet keinen Schadenersatzanspruch. Der Schadenersatzanspruch hängt jedoch nicht davon ab, dass der entstandene immaterielle Schaden eine gewisse Erheblichkeit erreicht“, formuliert es der EuGH selbst in der Pressemitteilung zu seiner Entscheidung C-300/21.
In der Rechtssache „Österreichische Post“ habe der Gerichtshof der Europäischen Union damit erstmals klargestellt, dass bei DSGVO-Verstößen zwar kein „Strafschadenersatz“ zusteht, immaterielle Schäden Betroffener aber unabhängig von ihrer Schwere zu ersetzen sind, heißt es beim VKI in Wien: Damit schiebe der EuGH der Rechtsprechung nationaler Gerichte, eine „Bagatellgrenze“ einzuziehen und die Haftung auf „erhebliche“ Schäden zu beschränken, einen Riegel vor, so der VKI. Die Verbraucherschützer beurteilen die Entscheidung als verbraucherfreundlich: Das Urteil erleichtere die Arbeit und sei wichtig für die praktische Durchsetzung der DSGVO, heißt es in einer Stellungnahme.
„Klageindustrie hat darauf gewartet“
Konsequenzen für viele Unternehmen sieht auch die deutsche Wirtschaftskanzlei Noerr: Sie erwartet jetzt verstärkte DSGVO-Aktivitäten der „professionalisierten Klageindustrie“, wie es in einer Aussendung wörtlich heißt. Grundsätzlich habe der EuGH klargestellt, unter welchen Voraussetzungen Betroffene von Datenschutzverletzungen Schadensersatzansprüche gegen Unternehmen geltend machen können.
- Demnach eröffnet nicht jeder Verstoß gegen die DSGVO automatisch einen Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO. Es müsse ein Kausalzusammenhang zwischen dem fraglichen Verstoß und dem entstandenen Schaden bestehen.
- Allerdings erteile der EuGH eben auch einer Bagatellschwelle eine Absage: Es sei nicht erforderlich, dass die betroffene Person negative Gefühle erlitten hat, die eine gewisse Erheblichkeit erreichen. Der zugesprochene Schadensersatz muss so hoch sein, dass er den erlittenen Schaden kompensiert.
- Anders als teilweise gefordert, vertritt der EuGH aber nicht die Ansicht, dass der Schadenersatz zur Abschreckung auch darüber hinaus gehen könne.
Pascal Schumacher, Associated Partner bei der Kanzlei Noerr in Berlin, in einer Aussendung: „Fast fünf Jahre nach Inkrafttreten der DSGVO hat der EuGH heute endlich einige bis dahin höchst umstrittene Rechtsfragen geklärt. Der EuGH stellt klar, dass ein Anspruch auf Schadensersatz nur dann besteht, wenn die betroffene Person tatsächlich eine kausale Beeinträchtigung erlitten hat. Es genügt daher nicht zu behaupten, ein Hacker habe meine Daten wegen unzureichender Sicherheitsmaßnahmen erbeuten können. Ich muss darüber hinaus beweisen, dass ich deswegen tatsächlich an Sorgen, Ängsten oder Unsicherheiten gelitten habe.“
Doch der EuGH habe eben auch auf das Erfordernis einer Bagatellgrenze verzichtet und damit eine Gelegenheit verpasst, der „bisherigen, teilweise ausufernden Rechtsprechung einen Riegel vorzuschieben“, stellt der deutsche Wirtschaftsanwalt seine Sichtweise dar: Die „professionalisierte“ Klageindustrie habe lange auf diese Klarstellungen gewartet, die der EuGH nun geliefert hat. Es sei mit einem Anstieg von Schadensersatzklagen zu rechnen, so Schumacher. Außerdem können Verbraucherverbände ab Sommer 2023 mit der Abhilfeklagen für Verbraucherinnen und Verbraucher direkt auf Schadensersatz klagen, wodurch die Rechtsdurchsetzung weiter angekurbelt werden könne.
Im schlimmsten Fall könne es also bei Datenschutzverstößen zu einem Nebeneinander von Bußgeldern der Aufsichtsbehörden und direkten Schadensersatzklagen der Betroffenen kommen. „Wir empfehlen Unternehmen auf Nummer sicher zu gehen und eine robuste Datenschutz-Governance aufzubauen, ein effektives Management der Rechte der Betroffenen einzuführen und mögliche Datenschutzvorfälle professionell zu evaluieren und zu handhaben“, so Schumacher.
Die Entscheidung
Es handelt sich um das erste Urteil des Europäischen Gerichtshofs zur Haftung nach der DSGVO. Zehn weitere Vorabentscheidungsverfahren sind beim EuGH zur Thematik derzeit noch anhängig, so der VKI. Im österreichischen Anlassfall hatte der Kläger über ein Auskunftsbegehren erfahren, dass die Österreichische Post AG ihm eine hohe Affinität zu einer bestimmten Partei zugeschrieben hatte. Die Post hatte diesen Wert anhand soziodemografischer Merkmale zu Zwecken des Verkaufs an wahlwerbende Parteien errechnet, im Fall des Klägers aber nicht weitergegeben, da er sich in die österreichische Robinsonliste eingetragen hatte. Der Kläger begehrte 1.000 Euro Schadenersatz. Er sei beleidigt, erbost und verärgert über die ihm zugeschriebene Parteiaffinität; diese sei beschämend und kreditschädigend und habe bei ihm großen Ärger, einen Vertrauensverlust und ein Gefühl der Bloßstellung ausgelöst.
Die Gerichte erster und zweiter Instanz hatten die Klage mit der Begründung abgelehnt, dass der geltend gemachte immaterielle Schaden nicht „erheblich“ genug sei, um ersetzt zu werden. Der Oberste Gerichtshof in Wien hatte den EuGH daraufhin im April 2021 um Vorabentscheidung ersucht, ob für den Zuspruch von Schadenersatz nach Artikel 82 DSGVO bereits die DSGVO-Verletzung als solche ausreicht und ob eine „Erheblichkeitsschwelle“ eingezogen werden kann als Voraussetzung des Ersatzes.
„Erhebliche praktische Bedeutung“
Nun hat der EuGH klargestellt, dass Schadenseintritt und Kausalität des Verstoßes Voraussetzungen für den Ersatzanspruch sind, so der VKI. Die Bemessung und Höhe des Ersatzanspruchs richten sich nach nationalem Recht, müssen aber den unionsrechtlichen Grundsätzen der Effektivität und Äquivalenz genügen. „Das Urteil ist richtungsweisend für die Datenschutzrechte Betroffener und hat erhebliche praktische Bedeutung für die Durchsetzung der DSGVO. Wir begrüßen die Klarstellungen des EuGH“, resümiert Petra Leupold, Datenschutzexpertin und Juristin im VKI. „Gerade Datenschutzverstöße haben in der Regel keine greifbaren Vermögensschäden Betroffener zur Folge. Ein ‚Schwellenwert‘ für immaterielle Schäden hätte die Effektivität des Haftungsrechts de facto ausgehebelt und hat in praxi in vielen Fällen dazu geführt, dass DSGVO-Ansprüche abgewiesen wurden“, so Leupold.
