Update zur EuGH-Rechtsprechung zum Schadensersatz nach Art. 82 DSGVO

Zu den Anspruchsvoraussetzungen hat sich der Europäische Gerichtshof (EuGH) bereits in einigen Entscheidungen, unter anderem zuletzt mit Urteilen vom 11.04.2024, vom 25.01.2024 und vom 14.12.2023 geäußert und beispielsweise der Annahme einer Erheblichkeitsschwelle, wie sie einige Gerichte forderten, eine Absage erteilt. Darüber hinaus hat der EuGH entschieden, dass nicht jeder Verstoß gegen eine Vorschrift der DSGVO automatisch einen nach Art. 82 DSGVO ersatzfähigen Schaden darstellt. Vielmehr müsse ein auf dem DSGVO-Verstoß kausal beruhender materieller oder immaterieller Schaden nachgewiesen und festgestellt werden.

1. Verstoß gegen die DSGVO Vorschriften

Zunächst setzt ein DSGVO-Schadenersatzanspruch gemäß Art. 82 Abs. 1 DSGVO den Verstoß gegen eine DSGVO-Vorschrift voraus. Der Verantwortliche, gegen den der Ersatzanspruch gerichtet wird, muss sich also in irgendeiner Weise datenschutzwidrig verhalten haben. Art. 82 Abs. 1 DSGVO schränkt den Kreis ersatzfähiger Datenschutzverstöße nicht ein, sodass grundsätzliche jede Zuwiderhandlung gegen eine DSGVO-Norm ausreichend sein kann. In Betracht kommen vor allem:

• die Verarbeitung von personenbezogenen Daten ohne entsprechende oder ohne hinreichende Rechtsgrundlage im Sinne von Art. 6 DSGVO (auch die Berufung auf eine falsche, nicht einschlägige Rechtsgrundlage)
• der Verstoß gegen Betroffenenrechte nach Art. 15 ff. DSGVO, insbesondere die verspätete oder unzureichende Bearbeitung und Umsetzung von Betroffenenbegehren
• der Verstoß gegen Datensicherheitsvorgaben nach Art. 32 ff. DSGVO (insbesondere die fehlende oder unzureichende Einrichtung technischer und organisatorischer Maßnahmen)
• der Verstoß gegen die Voraussetzungen einer Auftragsverarbeitung nach Art. 28 DSGVO
• der Verstoß gegen die Vorschriften einer gemeinsamen Verantwortlichkeit gemäß Art. 26 DSGVO (insbesondere das Fehlen eines hinreichenden „Vertrages über die gemeinsame Verantwortlichkeit“).

2. Verschulden

Zweitens ist erforderlich, dass der Verantwortliche oder der Auftragsverarbeiter, gegen den der Ersatzanspruch gerichtet wird, den Datenschutzverstoß auch verschuldet hat. Ein solches Verschulden liegt dann vor, wenn der DSGVO-Verstoß durch ein Verhalten des Anspruchsgegners vorsätzlich oder fahrlässig verursacht worden ist.

Das Verschulden nach Art. 82 Abs. 3 DSGVO wird hierbei grundsätzlich vermutet. Der Verantwortliche oder Auftragsbearbeiter muss für seine haftungsrechtliche Entlastung also aktiv nachweisen, für das schadensauslösende Ereignis nicht verantwortlich gewesen zu sein. Eine originäre Nachweispflicht des Betroffenen für ein Verschulden des Anspruchsgegners ist gerade nicht vorgesehen.

Eine Entlastung des Verantwortlichen ist vor allem im Bereich von Datenlecks möglich, die sich durch Hacking- oder Phishing-Angriffe auch dann ereignen können, wenn alles Zumutbare getan wurde, um solchen Angriffen vorzubeugen. Ereignet sich daher eine Datenpanne, wenn diese von Dritten durch rechtswidrige Überwindung hinreichend etablierter technischer und organisatorischer Maßnahmen verursacht wurde, kann eine Exkulpation des Verantwortlichen mangels Verschuldens gelingen. Unter Bezugnahme auf ein kurz zuvor ergangenes Urteil des EuGH vom 14.12.2023 (Az: C‑340/21), verwies der Gerichtshof darauf, dass die genannten Normen keine absolute Sicherheit gegen Verstöße erforderten, sondern angemessene Maßnahmen, um die Sicherheit zu gewährleisten. Erst wenn ein Organisationsversagen vorliege und die irrtümliche Weitergabe von Dokumenten deren Folge sei, könne ein Verstoß gegen Art. 24 und Art. 32 DSGVO bejaht werden (EuGH, Urt. v. 25.01.2024 , Az: C-687/21).

In der Entscheidung vom 11.04.2024 hat der EuGH, wie bereits in vorherigen Entscheidungen, erneut bestätigt, dass eine Haftungsexkulpation des Verantwortlichen nach Art. 82 Abs. 3 DSGVO nur gelingt, wenn dieser nachweist, in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich zu sein. Der einfache Verweis auf das weisungswidrige Verhalten eines Mitarbeiters nach Art. 29 DSGVO erfüllt dieses Kriterium nicht, denn nach Art. 32 Abs. 4 DSGVO muss der Verantwortliche sicherstellen und kontrollieren, dass der Unterstellte weisungsgetreu handelt. Sonst würde die praktische Wirksamkeit des Anspruchs nach Art. 82 Abs. 1 DSGVO von unternehmerischer Seite leicht ausgehebelt werden können (EuGH, Urt. v. 11.04.2024, Az.: C-741/21).

Für deutsche Unternehmen ergibt sich aus diesen Ausführungen nichts Neues, denn grundsätzlich gilt auch nach deutschem Recht im Hinblick auf eine mögliche Haftungsexkulpation wegen Verschuldens einer unterstellten Person immer, dass der einfache Verweis auf weisungswidriges Handeln nicht ausreicht. Stattdessen muss stets bewiesen werden, dass die stetigen Aufsichts- und Kontrollpflichten als Weisungsgeber nicht missachtet worden sind.

3. Schaden

Elementarer Kern eines begründeten Schadensersatzanspruches nach Art. 82 DSGVO ist nach ständiger Rechtsprechung der Eintritt eines konkreten Schadens. Eine zentrale Einschränkung für den Ersatzanspruch besteht nach weitgehend einhelliger Auffassung der Gerichte dahingehend, dass ein Schadenseintritt durch die Verletzung vom Anspruchsteller, also dem Betroffenen, aktiv dargetan werden muss und dabei von einem bloßen Datenschutzverstoß nicht automatisch auf einen Schadenseintritt geschlossen werden kann. Der EuGH argumentiert dafür mit dem Wortlaut des Art. 81 Abs.1 DSGVO, der gerade beide Tatbestandsmerkmale, die Verletzung und den Schaden voraussetzt (vgl. zuletzt EuGH, Urt. v. 11.04.2024, Az.: C-741/21).

Daraus folgt, dass der Betroffene für einen Ersatzanspruch substantiiert darlegen muss, dass es durch einen Datenschutzverstoß des Verantwortlichen auch zu einem Schaden gekommen ist. Der Schadensbegriff ist nach Erwägungsgrund 146 der DSGVO dabei möglichst weit auszulegen.

Je nachdem, welche Art von Schaden behauptet wird, ergeben sich hierfür nach der Rechtsprechung unterschiedliche Voraussetzungen.

a) Materielle Schäden

Ersatzfähig sind nach Art. 82 Abs. 1 DSGVO zunächst materielle Schäden, die finanziell als Verlustpositionen konkret beziffert werden können. Die gängigste Fallkonstellation ist hier diejenige von Identitätsdiebstählen oder -betrügen, denen ein Betroffener aufgrund eines Datenschutzverstoßes zum Opfer fallen kann. Schadenspositionen können hierbei vor allem Vermögensverluste durch Nutzung fremder Zahlungsdaten sein. Materielle Schäden lassen sich in der Regel gut darlegen und beziffern.

b) Immaterielle Schäden

Schwieriger ist die Durchsetzung eines DSGVO-Schadensersatzes auf Basis von immateriellen Schäden, deren Niederschlag nicht in einer konkreten Vermögensminderung, sondern in der Beeinträchtigung gesetzlicher Rechte oder Rechtspositionen liegt.

Insbesondere die Auslegung des Begriffs des immateriellen Schadens war bereits Gegenstand vieler Entscheidungen.

Im Sinne einer engen Auslegung des Schadensbegriffes nahmen Gerichte teilweise einen immateriellen Schaden erst dann an, wenn eine Verletzung des Datenschutzrechts im Einzelfall zu einer konkreten, nicht bloß unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten geführt hat. Zahlreiche deutsche Gerichte haben einen immateriellen Schaden wegen bloßen Bagatellverstößen, die die Belange des Betroffenen nicht ernsthaft beeinträchtigt und über das Niveau einer bloß individuell empfundenen Unannehmlichkeit nicht hinausgeht, abgelehnt. Nach Ansicht der Gerichte sei nachzuweisen, dass dem Betroffenen ein spürbarer Nachteil entstanden ist, der aus einer objektiv nachvollziehbaren, mit gewissem Gewicht erfolgten Beeinträchtigung von persönlichkeitsbezogenen Belangen resultiere. Es seien daher grundsätzlich nur erlittene, objektiv nachvollziehbare, erhebliche und spürbare gesellschaftliche oder persönliche Nachteile, etwa in Form einer öffentlichen Bloßstellung, ersatzfähig (vgl. beispielsweise OLG Düsseldorf, Urt. v. 09.03.2023, Az: 16 U 154/21, OLG Koblenz, Urt. v. 23.01.2023 Az: 12 U 2194/21).

Dem hat der EuGH unter anderem mit den Urteilen vom 04.05.2023 und 14.12.2023 eine Absage erteilt (EuGH, Urt. v. 04.05.2014, Az: C-300/21; EuGH, Urt. v. 14.12.2023, Az: C-340/21); und dies zuletzt erneut in einer Entscheidung vom 11.04.2024 bestätigt und ausgeführt, dass es auf die Schwere des Schadens nicht ankomme.

Der EuGH vertritt demnach eine weite Auslegung des Schadensbegriffs. Die Befürchtung des Missbrauchs personenbezogener Daten kann ein ersatzfähiger immaterieller Schaden sein. Im Falle der Befürchtung des Datenmissbrauchs durch Dritte als Schaden, muss die betroffene Person nachweisen, dass diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die eigene Person als begründet angesehen werden kann (EuGH, Urt. 25.01.2024 - Az: C-687/21). Gleichwohl bezieht sich der EuGH in seiner Entscheidung vom 11.04.2024 konkret auf den 85. Erwägungsgrund der DSGVO, der ausdrücklich den „Verlust der Kontrolle“ über eigene Daten als Schaden zählt, der durch die DSGVO-Verletzung verursacht werden kann – so geringfügig und kurzfristig er auch sein mag. (EuGH, Urt. v. 11.04.2024 - Az.: C-741/21).

Durch zahlreiche Entscheidungen der Gerichte in den letzten Jahren zu DSGVO Schadensersatzforderungen haben sich langsam allgemeine Maßstäbe etabliert für die betragsmäßige Bemessung der Betragshöhe. Dennoch können die zugesprochenen Summen einzelfallabhängig, je nach Gericht, stark variieren. Die Gerichte sprechen Schadensersatz in Höhe von 50 Euro bis 500 Euro wegen Datenscraping aufgrund eines Datenlecks auf einer Social Media Plattform zu, für unbefugte Datenabflüsse und -weitergaben zwischen 1.500 Euro und 4.000 Euro. Für nicht erfüllte Auskunftsansprüche und nicht erfüllte Löschpflichten sind es hingegen zwischen 250 Euro und 10.000 Euro.

Denn die Höhe des konkreten Schadens ist zwingend nach den Umständen des konkreten Einzelfalls zu bemessen.

Kriterien, die für die Abwägung und Beurteilung von Bedeutung sind, sind insbesondere

• die Finanzkraft des Schädigers
• die Bedeutung des verletzten Rechts bzw. des beeinträchtigten Belangs
• die Schwere der Rechtsverletzung
• die Schwere der Schuld des Verantwortlichen am Schadenseintritt.

Bezüglich der Höhe des immateriellen Schadensersatzanspruchs betont der EuGH immer wieder die Ausgleichsfunktion des Anspruchs, die im Gegensatz zu der Straffunktion etwaiger Bußgeldvorschriften besteht. Die Ausgleichsfunktion des Art. 82 Abs. 1 DSGVO führt dazu, dass zwar der konkret erlittene Schaden in vollem Umfang zu ersetzen ist – allerdings nicht darüber hinaus. Dies hat er zuletzt bestätigt und entscheiden, dass bei der Bemessung des Anspruchs auf immateriellen Schadensersatz der Geldbußen betreffende Art. 83 DSGVO nicht analog anzuwenden ist. Auch sei die Anzahl der Verletzungen kein relevantes Kriterium bei der Bemessung des Schadensersatzes (EuGH, Urt. v. 11.04.2024 - Az.: C-741/21).

Mit den dargestellten Entscheidungen konkretisiert der EuGH den Schadensersatzanspruch des Art. 82 DSGVO durch die folgenden wesentlichsten Erwägungen:  

• Nicht jeder Verstoß gegen die Vorschriften der DSGVO löst automatisch einen Schadensersatzanspruch nach Art. 82 DSGVO aus. Der betroffenen Person muss ein materieller oder immaterieller Schaden entstanden sein, den diese nachzuweisen hat.
• Der Begriff des Schadens ist weit auszulegen. Der Anspruch auf Ersatz immaterieller Schäden setzt keinen spürbaren Nachteil voraus.
• Art. 82 DSGVO weist keine Erheblichkeitsschwelle oder Bagatellgrenze auf, die durch den Schaden überschritten sein müsste.
• Die Befürchtung des Missbrauchs personenbezogener Daten kann ein ersatzfähiger immaterieller Schaden sein. Im Falle der Befürchtung des Datenmissbrauchs durch Dritte als Schaden, muss die betroffene Person nachweisen, dass diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die eigene Person als begründet angesehen werden kann.
• Eine Haftungsbefreiung nach Art. 82 Abs. 3 DSGVO ist nur in engen Grenzen möglich.
• Die DSGVO enthält keine Regelungen zur Bemessung der Höhe des als Schadensersatz zu leistenden Betrags, sodass die nationalen Gerichte unter Beachtung der unionsrechtlichen Äquivalenz- und Effektivitätsgrundsätze die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten anwenden. Zur Bemessung der Höhe einer zu leistenden Entschädigung verlangt Art. 82 DSGVO nicht, dass dabei der Grad des Verschuldens oder die Anzahl der DSGVO-Verstöße des Verantwortlichen gegenüber dem Betroffenen berücksichtigt werden.
• Art. 82 DSGVO kommt eine Ausgleichs- und keine Abschreckungs- oder Straffunktion zu.