Wichtige EuGH-Entscheidung zur DSGVO

Am 04. Mai 2023 fällt der Europäische Gerichtshof (EuGH) eine sehr wegweisende und sehr wichtige Entscheidung zum immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO in der Rechtssache – Az. Rs. C-300/21.

Wir betrachten vorab die Ausgangslage, die Voraussetzungen eines Datenschutzverstoßes, die Vorlagen der Gerichte an den EuGH, welche Grundlagen für die Entscheidung am 4. Mai 2023 sind und welche Auswirkungen/Konsequenzen dies für Betroffene hat.

• Wann erhalten Betroffenen einen immateriellen Schadensersatz wegen Verstoßes gegen die Datenschutzgrundverordnung (DSGVO) – Rechtsgrundlage?
• Muss ein konkreter Schaden vorhanden sein oder reicht bereits die Verletzung der DSGVO aus?
• Vorlage des Obersten Österreichische        Gerichtshofes (ÖOGH)
• Vorlage des Bundesarbeitsgerichts (BAG)
• Auswirkungen der EuGH-Entscheidungen – Ansicht des BAG

Voraussetzungen für immateriellen Schadensersatz – Rechtsgrundlage

Nach der Regelung des Art. 82 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein ma­terieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den Verant­wort­lichen oder Auftragsverarbeiter.

Art. 82 DSGVO enthält folgende Anspruchsvoraussetzungen:

• Anspruchsberechtigter – jede Person
• Anspruchsgegner – Verantwortlicher“ und/oder „Auftragsverarbeiter
• Verletzungshandlung – Verstoß gegen diese Verordnung
• Verletzungserfolg – materieller oder immaterieller Schaden
• Kein Ausschluss – Art. 82 Abs. 3 DSGVO

Da die DSGVO wenig Voraussetzungen für einen Schadensersatzanspruch beinhaltet, gibt es eine uneinheitliche Rechtsprechung wegen der Auslegung der Begrifflichkeiten/Voraussetzungen.

Entscheidend, auch im Hinblick auf die Entscheidung des EuGH am 4. Mai 2023, ist die Auslegung des Begriffs des immateriellen Schadens.

Laut der allgemeiner Definition ist unter einem immateriellen Schaden ein Nichtvermögensschaden zu verstehen. Dieser Begriff muss weiter konkretisiert und ausgelegt werden. Gemäß Erwägungsgrund 146 der DSGVO ist der Begriff weit auszulegen.

146 S. 3 der DSGVO besagt:

„Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht.“

Das bedeutet, dass grds. jeder Verstoß, egal in welchem Umfang und hinsichtlich der Schwere würde einen immateriellen Schaden begründen.

Für diese Auslegung spricht, dass der Wortlaut des Art. 82 Abs. 1 DSGVO keine Beschränkung auf besondere Umstände, wie bspw. die Schwere der Verstöße vorsieht.

Ein immaterieller Schaden liegt vor, bei

• Verletzung von Körper,
• Freiheit oder Ehre vor.

Eine eher subjektive Einschätzung, was die Auslegung von Artikel 82 DSGVO erschwert.

Für die DSGVO gelten die Grundsätze des EU-Rechts, sodass die deutschen Gerichte der Auffassung sind, dass weder eine konkrete Beeinträchtigung der Betroffenen, noch das Überschreiten einer Erheblichkeitsschwelle Voraussetzung ist, um einen Schadensersatzanspruch anzunehmen.

Diese Ansicht vertreten bspw. das Landesarbeitsgericht (LAG) Hamm, Urteil vom 14.12.2021 – 17 Sa 1185/20 und das Landesarbeitsgericht (LAG) Niedersachsen, Urteil vom 22.10.2021 – 16 Sa 761/20. Andere Ansichten hat bspw. das OLG Dresden, Urteil vom 30.11.2021 – 4 U 1158/21).

Das Bundesverfassungsgericht (BVerfG) wiederum hat betont, dass die Gerichte wie die Oberlandesgerichte, die Landesarbeits- oder das Bundesarbeitsgericht entscheidungserhebliche Fragen, wie vorliegend, ob Art. 82 Abs. 1 DSGVO besondere Voraussetzungen für einen Anspruch auf Schadensersatz fordert oder aber allein die Verletzung der DSGVO-Norm ausreicht, verpflichtet sind, dem Europäischen Gerichtshof (EuGH) vorzulegen, um feststellen zu lassen, unter wel­chen Voraussetzungen Art. 82 Abs. 1 DSGVO einen Geldentschädigungsanspruch gewährt (Beschluss vom 14. Januar 2021 – 1 BvR 2853/19).

Art. 82 Abs. 1 DS-GVO fordert eine gewisse Kausalität zwischen dem Datenschutzverstoß und dem entstandenen Schaden. Der Schaden muss gerade Ursache des Verstoßes gegen die DSGVO sein.

Nach Art. 82 Abs. 3 DSGVO wird jedoch ein Verschulden des Verantwortlichen widerlegbar vermutet. Daraus folgt, dass sich der Verantwortliche von einer Haftung nur befreien kann, wenn er nachweist, dass er in keiner Weise für den Schaden verantwortlich ist.

Vorhanden sei eines tatsächlichen Schadens?

Hier besteht grds. noch Uneinigkeit in der Rechtsprechung. Das Bundesarbeitsgericht jedoch ist der Ansicht, dass allein die Verletzung der DSGVO, sprich insbesondere Art. 82 Abs. 1 DSGVO, ausreicht, um einen Anspruch auf Schadensersatz zu begründen.

Für ein solches Verständnis spricht, dass nach dem Wortlaut der Verordnung jede Person Anspruch auf Scha­denersatz hat, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden ent­standen ist, Art. 82 Abs. 1 DSGVO.

Zudem soll der Begriff „Schaden“ im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen der Verordnung in vollem Umfang entspricht, so der Erwä­gungsgrund 146 Satz 3 der DSGVO.

Zudem ist der Schaden europaweit einheitlich auszulegen, auf ein national anderes Verständnis immaterieller Schäden kann es nach der Vollharmonisierung durch die DSGVO nicht an­kommen.

Vorlage des Obersten-Österreichischen Gerichtshofes

Mit Beschluss vom 12.05.2021 – Az. 6 Ob 35/21x hat der Oberste Österreichische Gerichtshof dem EuGH konkret drei Fragen vorgelegt, welche sinngemäß lauten,

• Ist die Verletzung der DSGVO ausreichend, um einen immateriellen Schadensersatz zuzusprechen oder ist ein konkreter Schaden erforderlich?
• Sind weitere Voraussetzungen des Unionsrechts zwingend für einen Schadensersatzanspruch?
• Muss für den Schadensersatz eine Folge von einigem Gewicht vorliegen, die über ein bloßes Ärgers über den Datenschutzverstoß hinausgeht?

In Fall der Vorlage durch den ÖOGH hatte die Post AG ohne Einwilligung der Betroffenen Daten verarbeitet, um die politische Auffassung von Personen zu prognostizieren und diese Informationen dann verkauft.

Der Kläger forderte 1.000 EUR Schadensersatz. Der Kläger fühle sich beschämt, bloßgestellt und verärgert, weil es sich um eine persönliche Affinität zur rechtsnationalen FPÖ handelte.

Der Oberste Österreichische Gerichtshof will nun mit der Vorlage an den EuGH klären, ob Art. 82 Abs. 1 der DSGVO eine konkreten, tatsächlichen und nachweisbaren Schaden fordert oder die Verletzung der Datenschutzgrundverordnung ausreicht.

Der Generalanwalt des EuGH, Sanchez-Bordona vertritt die Auffassung,

dass ein Verstoß der DSGVO-Regelungen und ein Ärgernis hierüber nicht ausreiche um einen Schadensersatzanspruch bzw. Schmerzensgeldanspruch zu bejahen.

Die letztendliche Entscheidung über den Zuspruch von Schadensersatz, insbesondere von immateriellen Schäden, müssen jedoch die nationalen Gerichte, zumal es auf den Grad von subjektiven Unwohlsein ankomme und dieser von längerer Dauer sein müsse, so der Generalanwalt am EuGH.

Andere Ansicht – Generalanwalt Pitruzella

Der Generalanwalt Pitruzella wiederum vertritt eine andere Ansicht.

• In seinen Schlussanträgen zu einem bulgarischen Verfahren – Az. Rs. C-340/21 vertritt er die Auffassung, dass der Schaden, der in einer nachgewiesenen Befürchtung des möglichen künftigen Missbrauchs der personenbezogene Daten bestehe, kann einen immateriellen Schaden darstellen und einen Schadensersatzanspruch begründen.
• Es müsse sich jedoch um einen realen und emotionalen Schaden und nicht um ein bloßes Ärgernis handeln. 

Vorlage des Bundesarbeitsgerichts

Das Bundesarbeitsgericht wiederum hat dem EuGH fünf sinngemäß lautenden Fragen vorgelegt – Beschluss vom 26.08.2021 – 8 AZR 253/20 (A),

• Ist Art. 9 Abs. 2 lit. h DSGVO dahin auszulegen, dass es einem Arbeitgeber untersagt ist, Gesundheitsdaten seines Arbeitnehmers, die Voraussetzung für die Beurteilung der Arbeitsfähigkeit dieses Arbeitnehmers sind, zu verarbeiten?
• Für den Fall, dass der EuGH die Frage zu 1. verneinen sollte und eine Ausgabe vom Verbot der Verarbeitung der Gesundheitsdaten in Betracht käme,
• Sind in einem Fall wie hier über die in Art. 9 Abs. 3 DSGVO bestimmten Maßgaben hinaus weitere, gegebenenfalls welche Datenschutzvorgaben zu beachten?
• Ähnlich wie Frage 2.,
• Hängt in einem Fall wie hier die Zulässigkeit bzw. Rechtmäßigkeit der Verarbeitung von Gesundheitsdaten zudem davon ab, dass mindestens eine der in Art. 6 Abs. 1 DSGVO genannten Voraussetzungen erfüllt ist?
• Hat Art. 82 Abs. 1 DSGVO spezial- bzw. generalpräventiven Charakter und muss dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens berücksichtigt werden?
• Ist die Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO am Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters zu messen?

Das Bundesarbeitsgericht (BAG) vertritt hingegen eine sehr weite Auslegung Schadensbegriffs des Art. 82 der DSGVO.

Das Vorabentscheidungsersuchen ergeht im Rahmen eines Rechtsstreits zwischen dem Kläger und seinem Arbeitgeber, einem Medizinischen Dienst einer Krankenversicherung (im Folgenden Beklagter bzw. beklagter MDK). Die Parteien streiten darüber, ob der Beklagte verpflichtet ist, dem Kläger materiellen und immateriellen Schadenersatz wegen Verletzung datenschutzrechtlicher Bestimmungen im Arbeitsverhältnis zu zahlen.

Das Bundesarbeitsgericht geht davon aus, dass der Kläger in dem zugrunde liegenden Fall einen Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DSGVO hat.

• In Kenntnis des österreichischen Verfahrens (Rs. C-300/21) geht das BAG davon aus, dass Art. 82 Abs. 1 DSGVO ein Recht auf Schadenersatz nur für Personen vorsieht, die selbst wegen der Verletzung einer oder mehrerer Bestimmungen der DSGVO bei der Verarbeitung „ihrer“ personenbezogenen Daten in ihren (subjektiven) Rechten verletzt worden sind, die also selbst Opfer eines Verstoßes bzw. mehrerer Verstöße gegen die DSGVO geworden sind.
• Zudem geht das BAG davon aus, dass der Rechtsanspruch auf immateriellen Schadenersatz nach Art. 82 Abs. 1 DSGVO allein durch eine solche Verletzung der DSGVO besteht und nicht zusätzlich erforderlich ist, dass die verletzte Person einen (weiteren) von ihr erlittenen immateriellen Schaden darlegt. Auch muss die Folge aus dem Datenschutzverstoß nicht von einigem Gewicht sein.

Allein die Verletzung der DSGVO selbst führt zu einem auszugleichenden immateriellen Schaden.

Nach der DSGVO sollen Betroffene einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten.

Dabei geht das Bundesarbeitsgericht (BAG) davon aus, dass bei der Bemessung des immateriellen Schadenersatzes alle Umstände des Einzelfalls zu berücksichtigen sind – bspw. eine Kündigung des Arbeitsverhältnisses/Dienstunfähigkeit etc. – und dass ein tatsächlicher und wirksamer rechtlicher Schutz der aus der DSGVO hergeleiteten Rechte gewährleistet werden soll. Die Höhe eines immateriellen Schadenersatzes muss der Schwere des mit ihm geahndeten Verstoßes gegen die DSGVO entsprechen.

Das Bundesarbeitsgericht (BAG) ist der Auffassung, dass die Haftung des Verantwortlichen (bzw. Auftragsverarbeiters) nach Art. 82 Abs. 1 DSGVO verschuldensunabhängig ist, also diese Bestimmung die Haftung des Urhebers eines Verstoßes keineswegs vom Vorliegen oder dem Nachweis eines Verschuldens abhängig macht, d. h. dass das BAG davon ausgeht, dass bereits die Verletzung der DSGVO als solche für einen Anspruch nach Art. 82 Abs. 1 DSGVO ausreicht.

Auswirkungen der EuGH-Entscheidung – Ansicht der Kanzlei

Abzuwarten bleibt, wie der Europäische Gerichtshof am Donnerstag, den 4. Mai 2023 entscheiden wird. Zu erwarten ist jedoch, so die Einschätzung der Kanzlei, dass eher der Ansicht des Bundesarbeitsgerichts gefolgt wird.

Der Grundgedanke der DSGVO ist, dass bei der Verarbeitung von personenbezogenen Daten der Zweck dieser Verarbeitung im Vorfeld festgelegt werden muss. Zudem legt der Erwägungsgrund 1 der DSGVO fest, dass der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ein Grundrecht ist.

Die Verarbeitung der personenbezogenen Daten hat eine Zweckbindung und darf nur im Rahmen der Einwilligung erfolgen. Der Schutz der Daten natürlicher Personen steht an erster Stelle.

Würde der EuGH der Argumentation des Generalanwalts Sanchez-Bordona folgen, würde dies entgegen der Aussage des Erwägungsgrundes 146 verlaufen. Ein Schaden im Rahmen des Art. 82 Abs. 1 DSGVO ist weit auszulegen und muss den Zielen der DSGVO entsprechen.

Durch die Entscheidung des EuGH ist eine einheitliche Rechtsprechung zu erwarten, da die nationalen Gerichte Vorgaben erhalten, wann und in welcher Höhe ein immaterieller Schadensersatz begründet ist.

LOIBL LAW vertritt zahlreiche Betroffene in Datenschutzrechtsverstößen, u.a. auch in Verfahren gegen den Freistaat Bayern!

LOIBL LAW – die Rechtskanzlei, Ihre Experten im Datenschutz!

WIR beraten Sie ob als Betroffene von Datenschutzverstößen, als Arbeitnehmer oder Arbeitgeber, als Unternehmen oder Einzelperson in allen Fragen und Angelegenheiten des Datenschutzes. Wir beraten Sie bundesweit. Sie erhalten bei uns eine kostenlose Ersteinschätzung zu Ihrem Anliegen.

Sollten Sie eine Rechtsschutzversicherung haben, übernehmen wir die Korrespondenz und klären, ob diese die Kosten für unsere Beauftragung übernimmt.

WIR handeln schnell, unkompliziert und lösungsorientiert. Unser Ziel, Ihre Rechte Sichern und schützen!

Sie können sich jederzeit unverbindlich unter 0991/38306131, per E-Mail mail@loibl-law.de oder WhatsApp-Business unter 099138306131 oder über die weiteren Kontaktmöglichkeiten auf unserer Website www.loibl-law.de mit der Online-Chat-Funktion melden.

Weitere Infos und Antworten zum Datenschutz finden Sie auf unserer Website – LOIBL LAW – den  News  oder auf anwalt.de

Ihr Team von LOIBL LAW!