Schadenersatz nach Art. 82 DSGVO hoch vier
Sehr geehrte Leserinnen und Leser,
noch kurz vor der Jahreswende hat der EuGH ein wahres Feuerwerk an Entscheidungen zum Datenschutzrecht losgelassen. Unter anderem ergingen gleich drei Entscheidungen zum Schadenersatz (340/21; C456/22; C-667/21). Und im neuen Jahr hat der EuGH bereits die nächste Entscheidung zu Art. 82 DSGVO geliefert (C-687/21).
So stringent die Entscheidungen des EuGH bisher sind, so überrascht er doch hin und wieder auf der Detailebene. Beispielsweise hat er bis zu seinen Entscheidungen vom 14. Dezember 2023 immer damit eingeleitet, dass für einen Schadensersatzanspruch drei Voraussetzungen vorliegen müssen: (i) ein Verstoß gegen die DSGVO, (ii) ein erlittener Schaden des Klägers und (iii) Kausalität zwischen Verstoß und Schaden. Von einem Verschulden war bisher nicht wirklich die Rede. Das warf die Frage auf, ob eine verschuldensunabhängige Schadenersatzhaftung nach der DSGVO möglich sein sollte. Mit Blick auf Art. 82 Abs. 3 DSGVO wäre das dann doch ein erstaunliches Ergebnis. Und so hat der EuGH am 21. Dezember 2023 zu Recht hervorgehoben, dass Schadensersatzansprüche ein Verschulden voraussetzen (C-667/21 Rn. 90 ff.). Darin scheint der Gerichtshof aber dogmatisch keine eigene vierte Voraussetzung zu sehen. Vielmehr ist ein Verstoß dem Verantwortlichen nur dann zurechenbar, wenn er ihn zumindest fahrlässig ermöglicht hat.
Alles in allem besteht damit nun Klarheit an zwei ganz wichtigen Stellschrauben: Die DSGVO kennt nirgends eine bloße Gefährdungshaftung, weder für Geldbußen (siehe dazu Wünschelbaum DSB 2024, 15) noch für Schadensersatz. Anders als für Geldbußen – wo die Behörde das Verschulden nachweisen werden muss – folgt aus Art. 82 Abs. 3 DSGVO aber eine Vermutung für das Verschulden. Der Verantwortliche hat also die Möglichkeit, sich über eine entsprechend gelebte Datenschutzorganisation zu entlasten. Oftmals wird es dann um die Umsetzung geeigneter technische und organisatorische Maßnahmen umgesetzt hat. Gleich drei der vier Entscheidungen thematisieren Art. 32 DSGVO als Anknüpfungspunkt für eine (mögliche) Exkulpation (siehe zu einer der Entscheidungen auch S. 49).
Aber was hat der EuGH in Bezug auf die weiteren Voraussetzungen, (ii) Schaden und (iii) Kausalität, noch entschieden? Kurz gesagt, im Datenschutz kann alles einen immateriellen Schaden darstellen, solange der Verstoß gegen die DSGVO dafür kausal ist. Ja, sogar bloße Befürchtungen einer Person. Allerdings muss der Kläger sowohl den Schaden als auch die Kausalität konkret darlegen und beweisen, was in der Praxis nicht leicht sein dürfte. Dies zeigt auch ein lesenswerter Beschluss des OLG Hamm (v. 21.12.2023 – 7 U 137/23), der die Vorgaben des EuGH bereits berücksichtigt. Wenig plausible Behauptungen oder abgeschriebene Textpassagen, wie sie in den immer häufiger geführten Massenverfahren auftauchen, werden daher kaum ausreichen.
Und wenn alle Voraussetzungen erfüllt sind, wie werden deutsche Gerichte solche immateriellen Schäden, die auf Gefühlen beruhen, beziffern? Der EuGH räumt den nationalen Gerichten hierbei weitgehend Ermessen ein. Allerdings hat er zugleich betont, dass dem Schadensersatz allein eine „Ausgleichsfunktion“ zukommt. Weder die Schwere eines DSGVO-Verstoßes ist zu berücksichtigen, noch soll die Höhe auf Abschreckung oder Bestrafung zielen. Gerade mit dieser Begründung hatten einige deutsche Gerichte aber durchaus erhebliche Schadensersatzbeträge zugesprochen. Auch derartige pauschale Erwägungen dürften künftig also nicht mehr ausreichen.
Zusammenfassend kann man sagen, dass die jüngsten Urteile des EuGH sowohl positive als auch negative Auswirkungen haben. Klägeranwälte werden in der Rechtsprechung eine Chance wittern, weil plötzlich auch aus einem Gefühl heraus ein Schaden resultieren kann. Eine gut strukturierte Verteidigung, die sich vor allem auf die Darlegungs- und Beweislast sowie die Anforderungen an diese konzentriert, bietet hiergegen allerdings ein wirkungsvolles Schutzschild. Wenn gleichzeitig eine starke Datenschutzorganisation nachgewiesen werden kann, sieht die Sache gleich noch besser aus. Für die nationalen Gerichte bedeuten die Entscheidungen endlich klare Leitlinien. Kuriose Entscheidungen wie die des Arbeitsgerichts Duisburg auf S. 53 in diesem Heft dürften damit (hoffentlich) seltener werden. Denn ein Blick auf den Bundesgerichtshof (Az. VI ZR 277/22) und die Oberlandesgerichte zeigt, dass die deutschen Gerichte grundsätzlich mit den Vorgaben des EuGH ausgewogen umzugehen wissen.
Obwohl der EuGH also viel Licht ins Dunkle bringt, gibt er uns auch noch ein kleines Rätsel auf: In seiner neuesten Entscheidung zum Schadenersatz betont er, dass der Kläger „den Verstoß gegen die Bestimmungen der (…) [DSGVO] nachweisen muss“ (C-687/21). Uff… wie passt das nun mit der Aussage zusammen, der Verantwortliche müsse nachweisen, dass er geeignete TOM implementiert hat? Wäre ein Defizit im Bereich der TOM nicht ebenso ein eigener Verstoß gegen die DSGVO? Vielleicht finden Sie in diesem Heft bereits Lösungsansätze, die wir dann bei anderer Gelegenheit gerne diskutieren können. Viel Spaß dabei!
Ihr
Laurenz Strassemeyer
Dieser Beitrag erschien als Editorial in der Ausgabe 02/2024 des Datenschutz-Berater.