Erneut hat der Europäische Gerichtshof (EuGH) die Betroffenenrechte bei Verstößen gegen die Datenschutzgrundverordnung (DSGVO) gestärkt, indem der EuGH in seinem Urteil vom 11.04.2024 – Rs. C-741/21 urteilte, dass bereits der – Verlust der Datenkontrolle – hinsichtlich der personenbezogenen Daten ausreicht, damit ein Schaden nach der DSGVO vorliegt.

Eine Entlastung der Unternehmen bzw. der Verantwortlichen der Datenverarbeitung hinsichtlich des Verschuldens des Schadens scheint nunmehr fast unmöglich.

Der EuGH bleibt seiner Linie treu und stärkt wiederholt die Rechte der Betroffenen von Datenschutzverstößen.

Kurz und knapp

  • Schadensersatz Betroffener wegen Verstoß gg. die DSGVO einfacher.
  • Kontrollverlust über personenbezogene Daten gehören zu Schäden nach der DSGVO.
  • Entlastung des Verantwortlichen, bspw. eines Unternehmen durch Verweis auf Fehlverhalten von Arbeitnehmende reicht nicht aus.
  • Immaterieller Schadensersatz nach DSGVO soll Ausgleichsfunktion für erlittenen Schaden sein und weitere Verstöße durch Abschreckung verhindern.

Ausgangssachverhalt der Entscheidung

Der Kläger des Ausgangsverfahrens, eine natürliche Person, ein Rechtsanwalt, war Kunde von juris, einer Gesellschaft, die eine juristische Datenbank betreibt.

Nachdem er erfahren hatte, dass seine personenbezogenen Daten von juris auch für Zwecke der Direktwerbung genutzt wurden, widerrief er am 6. November 2018 schriftlich alle seine Einwilligungen, von diesem Unternehmen per E‑Mail oder per Telefon Informationen zu erhalten, und widersprach jeglicher Verarbeitung dieser Daten mit Ausnahme des Versands von „Newslettern“, die er weiterhin beziehen wollte.

Trotz des Widerrufs erhielt er im Januar 2019 zwei Werbe-Schreiben, die ihn namentlich ansprechend an seine Geschäftsadresse geschickt wurden. Mit Schreiben an juris vom 18. April 2019 wies er diese Gesellschaft auf seinen früheren Widerspruch gegen jegliche Werbung hin, teilte ihr mit, dass die Erzeugung dieser Werbe-Schreiben zu einer rechtswidrigen Verarbeitung seiner Daten geführt habe, und verlangte von ihr Schadenersatz nach Art. 82 DSGVO.

Nachdem er am 3. Mai 2019 ein neues Werbe-Schreiben erhalten hatte, erklärte er abermals seinen Widerspruch, der juris dieses Mal per Gerichtsvollzieher zugestellt wurde.

Der Rechtsanwalt erhob beim Landgericht Saarbrücken (Deutschland), dem vorlegenden Gericht auf der Grundlage von Art. 82 Abs. 1 DSGVO Klage auf Ersatz seines materiellen und immateriellen Schadens.

Er macht insbesondere geltend, dass er wegen der trotz seiner Widersprüche von juris vorgenommenen Verarbeitungen seiner personenbezogenen Daten einen Verlust der Kontrolle über diese Daten erlitten habe und daher Schadenersatz verlangen könne, ohne die Auswirkungen oder die Erheblichkeit der Beeinträchtigung seiner durch Art. 8 der Charta der Grundrechte der Europäischen Union garantierten und in der DSGVO weiter ausgeführten Rechte nachweisen zu müssen.

Das Landgericht Saarbrücken hat das Verfahren ausgesetzt und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:

Frage 1:

Ist der Begriff des immateriellen Schadens in Art. 82 Abs. 1 DSGVO im Hinblick auf den Erwägungsgrund 85 und den Erwägungsgrund 146 Satz 3 DSGVO in dem Sinne zu verstehen, dass er jede Beeinträchtigung der geschützten Rechtsposition erfasst, unabhängig von deren sonstigen Auswirkungen und deren Erheblichkeit?

Antwort des EuGH:

Im vorliegenden Fall begehrt der Kläger des Ausgangsverfahrens auf der Grundlage der DSGVO Ersatz eines immateriellen Schadens, nämlich eines Verlusts der Kontrolle über seine trotz seines Widerspruchs verarbeiteten personenbezogenen Daten, ohne nachweisen zu müssen, dass dieser Schaden einen gewissen Schweregrad überschritten hat.

Insoweit ist darauf hinzuweisen, dass der 85. Erwägungsgrund der DSGVO ausdrücklich den „Verlust der Kontrolle“ zu den Schäden zählt, die durch eine Verletzung personenbezogener Daten verursacht werden können. Ferner hat der Gerichtshof entschieden, dass der – selbst kurzzeitige – Verlust der Kontrolle über solche Daten einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 dieser Verordnung darstellen kann, der einen Schadenersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat.

Nach alledem ist auf die erste Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass ein Verstoß gegen Bestimmungen dieser Verordnung, die der betroffenen Person Rechte verleihen, für sich genommen nicht ausreicht, um unabhängig vom Schweregrad des von dieser Person erlittenen Schadens einen „immateriellen Schaden“ im Sinne dieser Bestimmung darzustellen.

Frage 2:

Wird die Haftung auf Schadenersatz gemäß Art. 82 Abs. 3 DSGVO dadurch ausgeschlossen, dass der Rechtsverstoß auf menschliches Versagen im Einzelfall einer im Sinne von Art. 29 DSGVO unterstellten Person zurückgeführt wird?

Antwort des EuGH:

Nach alledem ist auf die zweite Frage zu antworten, dass Art. 82 DSGVO dahin auszulegen ist, dass es für eine Befreiung des Verantwortlichen von seiner Haftung nach Art. 82 Abs. 3 dieser Verordnung nicht ausreicht, dass er geltend macht, dass der in Rede stehende Schaden durch ein Fehlverhalten einer ihm im Sinne von Art. 29 der Verordnung unterstellten Person verursacht wurde.

Frage 3:

Ist bei der Bemessung des immateriellen Schadenersatzes eine Orientierung an den in Art. 83 DSGVO, insbesondere Art. 83 Abs. 2 und Abs. 5 DSGVO, genannten Zumessungskriterien erlaubt bzw. geboten?

Frage 4:

Ist der Schadenersatz für jeden einzelnen Verstoß zu bestimmen oder werden mehrere – zumindest mehrere gleich gelagerte – Verstöße mit einer Gesamtentschädigung sanktioniert, die nicht durch eine Addition von Einzelbeträgen ermittelt wird, sondern auf einer wertenden Gesamtbetrachtung beruht?

Antwort des EuGH:

Folglich ist auf die dritte und die vierte Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass zur Bemessung des Betrags des auf diese Bestimmung gestützten Anspruchs auf Schadenersatz zum einen die in Art. 83 dieser Verordnung vorgesehenen Kriterien für die Festsetzung des Betrags von Geldbußen nicht entsprechend anzuwenden sind und zum anderen nicht zu berücksichtigen ist, dass die Person, die Schadenersatz verlangt, von mehreren Verstößen gegen die Verordnung betroffen ist, die sich auf denselben Verarbeitungsvorgang beziehen.

Entscheidung und Feststellungen des EuGH

Bereits in seinem Urteil vom 14.12.2023 – Rs C-340/21 hatte der EuGH festgestellt, dass der Verlust der Kontrolle über personenbezogene Daten einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO darstellen kann.

Nunmehr geht betont der EuGH im aktuellen Urteil, dass dies ausdrücklich im sog. in Erwägungsgrund 85 der DSGVO steht.

Der Wortlaut in Satz 1 des Erwägungsgrundes 85 der DSGVO lautet wie folgt:

Eine Verletzung des Schutzes personenbezogener Daten kann – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten…

Der EuGH ging sogar weiter und erteilte einer Entlastung von Unternehmen bzw. Verantwortlichen hinsichtlich der Datenverarbeitung in Bezug auf die Haftung eine klare Absage dahingehend, dass  sich ein Verantwortlicher nicht einfach nach Art. 82 Abs. 3 DSGVO von seiner Haftung befreien, dass er sich auf Fahrlässigkeit oder Fehlverhalten der ihm unterstellten Person, wie Mitarbeiter/innen oder Arbeitnehmerinnen beruft.

Würde man ihm dies ermöglichen oder zusprechen, würde dies dem Grundsatz aus Art. 82 Abs. 1 DSGVO und dem damit verbundenen Anspruchs auf Schadenersatz eklatant widersprechen.

Dies widerspräche dem Gegenstand und den Zielen der DSGVO und dem obersten Zeil nach Art. 1 DSGVO, nämlich dem Schutz der natürlichen Personen in Bezug auf die Verarbeitung ihrer personenbezogenen Daten.

Schließlich betont der EuGH noch einmal, dass der DSGVO-Schadensersatz Unternehmen dazu anhalten soll, die DSGVO einzuhalten und eine abschreckende Wirkung haben soll.

Auswirkungen des Urteils

Aufgrund des Urteils haben Betroffene von Datenschutzverstößen sehr gute Chancen, einen Schadensersatzanspruch durchzusetzen, weil

  • der Verlust der Kontrolle über die personenbezogenen Daten ausreicht und
  • sich Unternehmen bzw. Verantwortliche der Datenverarbeitung nicht mehr durch einen Verweis auf Arbeitnehmende und evtl. fahrlässigem Handeln von der Haftung entlasten können.

Es kann der Grundsatz aus dem Urteil des EuGH geschlossen werden, dass sich Unternehmen nicht mit dem Verweis auf ein Verschulden von Arbeitnehmenden entlasten und aus der Haftung stehlen können.

Zudem bleibt festzuhalten, dass sich nicht einfach entlasten können, wenn sie gegen die DSGVO verstoßen.

Laut Art. 82 Abs. 3 DSGVO müssen sie dazu nachweisen, dass sie „in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich“ sind. Schon damals sagten wir, dass dies für Unternehmen in der Praxis kaum möglich ist.

Das bedeutet, dass es eine Befreiung von der Haftung nach Art. 82 Abs. 3 DSGVO nicht ausreichend ist, dass sich der Verantwortliche, wie ein Unternehmen auf ein Fehlverhalten eines Arbeitnehmenden nach Art. 29 DSGVO beruft.

Schließlich betont der EuGH in seiner Entscheidung, dass wenn man dies einem Verantwortlichen zugestehen würde, also sich einfach auf ein Fehlverhalten von Arbeitnehmende oder einer ihm unterstellten Person berufen,

würde dies nämlich […] die praktische Wirksamkeit des in Art. 82 Abs. 1 DSGVO verankerten Anspruchs auf Schadenersatz beeinträchtigen, was nicht im Einklang mit dem Ziel dieser Verordnung stünde, ein hohes Schutzniveau für natürliche Personen bei der Verarbeitung ihrer personenbezogenen Daten zu gewährleisten,

so der Europäische Gerichtshof.

Auch stellt der EuGH im Urteil nochmals heraus, dass der immaterielle Schadensersatz nach der DSGVO nach Art. 82, 83 DSGVO eine Ausgleichsfunktion dahingehend hat und der immaterielle Schadensersatzanspruch diene als „Anreiz zur Einhaltung der DSGVO“ diene.

Für die Höhe des immateriellen Schadensersatzanspruch ist nicht relevant, wie schwer oder wie oft gegen die DSGVO verstoßen wurde.

Entscheidend ist den erlittenen Schaden der Betroffenen zu kompensieren.

LOIBL LAW – die Rechtskanzlei, Ihre Experten im Datenschutzrecht!

WIR beraten Sie, ob als betroffene Verbraucher, Arbeitnehmerinnen, Arbeitgeber, Unternehmen oder Behörden und insbesondere Verantwortliche der Datenverarbeitung in allen Fragen und Angelegenheiten des Datenschutzrecht und der DSGVO.

Wir beraten Sie bundesweit. Sie erhalten bei uns eine kostenlose Ersteinschätzung zu Ihrem Anliegen.

WIR handeln schnell, unkompliziert und lösungsorientiert. Unser Ziel, Ihre Rechte Sichern und schützen!

Sie können sich jederzeit unverbindlich unter 0991/38306131, per E-Mail mail@loibl-law.de oder WhatsApp-Business unter 099138306131 oder über die weiteren Kontaktmöglichkeiten auf unserer Website www.loibl-law.de mit der Online-Chat-Funktion melden.

Weitere Infos und Antworten zum Arbeitsrecht finden Sie auf unserer Website.

Zudem sind wir auf verschiedenen Social-Media-Accounts und auf anwalt.de vertreten.

Ihr Team von LOIBL LAW!

Über uns

Herr Loibl hat die Kanzlei im August 2019 gegründet. Er hat sein Rechtswissenschaftliches Studium an der Universität Passau absolviert. Während des Referendariats am OLG München folgten Stationen bei der Staatsanwaltschaft Deggendorf, dem Landgericht Deggendorf.
Vor seinem Studium der Rechtswissenschaften war Herr Loibl bereits mehrere Jahre im Öffentlichen Dienst bei verschiedenen Behörden tätig.

Sie haben Fragen?

Reden Sie mit uns, wir helfen Ihnen und freuen uns auf Ihre Nachricht.

    18 − sieben =