DE/EN
Legal News
1. Juli 2021

Schadenersatz bei Datenschutzverstößen – Vorlage an den EuGH

Art 82 DSGVO gewährt jeder Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadenersatz. Ungeklärt ist bislang, unter welchen Voraussetzungen ein immaterieller Schadenersatz begehrt werden kann. Dabei geht es insbesondere um die Frage, ob immaterielle Schäden eine Erheblichkeitsschwelle in Form eines Mindestmaßes an persönlicher Beeinträchtigung überschreiten müssen oder ob etwa eine Verletzung im Recht auf Auskunft oder Löschung bereits für sich genommen einen ersatzfähigen immateriellen Schaden darstellen kann. Der OGH hat nun im Rahmen eines Vorabentscheidungsersuchens den EuGH um Klärung dieser wichtigen Frage ersucht (OGH 15.04.2021, 6 Ob 35/21x).

Konkret legte der OGH dem EuGH folgende Fragen vor:

  • Erfordert der Zuspruch von Schadenersatz nach Art 82 DSGVO neben einer Verletzung von Bestimmungen der DSGVO auch, dass der Kläger einen Schaden erlitten hat oder reicht bereits die Verletzung von Bestimmungen der DSGVO als solche für die Zuerkennung von Schadenersatz aus?
  • Bestehen für die Bemessung des Schadenersatzes neben den Grundsätzen der Effektivität und Äquivalenz weitere Vorgaben des Unionsrechts?
  • Ist die Auffassung mit dem Unionsrecht vereinbar, dass Voraussetzung für den Zuspruch immateriellen Schadens ist, dass eine Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht vorliegt, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgeht?

Die österreichischen Gerichte waren in den bisher ergangenen Entscheidungen sehr zurückhaltend, was den Ersatz von immateriellen Schäden betrifft. Ersatzfähig sei nur ein tatsächlich eingetretener ideeller Schaden in Form einer negativen Gefühlsbeeinträchtigung wie Angst, Stress oder Leidenszustände aufgrund einer erfolgten oder auch nur drohenden Bloßstellung, Diskriminierung oder Ähnlichem. Die erlittene Persönlichkeitsbeeinträchtigung müsse über jene negativen Gefühle hinausgehen, die man automatisch entwickelt, wenn ein Gesetz zu seinen Ungunsten verletzt werde. Wenngleich jeder Datenschutzverstoß zumindest kurzzeitig negative Gedanken bei den betroffenen Personen hervorrufe, gehe nicht automatisch mit jedem Verstoß ein immaterieller Schaden einher. Der Schaden müsse über den durch die Rechtsverletzung hervorgerufenen Ärger und über ein bloßes Unbehagen oder Unlustgefühle hinausgehen. In der Praxis führt dies dazu, dass der geforderte Nachweis einer durch eine Datenschutzverletzung verursachten (erheblichen) Gefühlbeeinträchtigung in vielen Fällen –sogar bei schweren Datenschutzverstößen – nicht erbracht werden kann, sodass den betroffenen Personen kein immaterieller Schadenersatz gebührt.

Auf der anderen Seite sieht die DSGVO aber gerade keine Erheblichkeitsschwelle für den Ersatz immaterieller Schäden vor. Nach den Erwägungsgründen zur DSGVO soll der Begriff des Schadens „weit und auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung entspricht“. Die betroffenen Personen sollten einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. Ferner folgt aus den Erwägungsgründen, dass der Verlust der Kontrolle über die eigenen personenbezogenen Daten und eine Einschränkung der Rechte, wie insbesondere der in Kapitel III der DSGVO geregelten Betroffenenrechte, für sich genommen einen immateriellen Schaden darstellen kann.

Ein Blick nach Deutschland zeigt, dass in der Arbeitsgerichtsbarkeit ein immaterieller Schadensersatz großzügiger zugesprochen wird als in Österreich:

Vom ArbG Dresden wurde ein Schadenersatz von EUR 1.500 wegen einer unberechtigten Weitergabe von Gesundheitsdaten (Krankheitszeiten) an Behörden zuerkannt. Das ArbG führte aus, dass ein immaterieller Schaden nicht nur dann entstehe, wenn die datenschutzwidrige Verarbeitung zu einer Diskriminierung, einem Verlust der Vertraulichkeit, einer Rufschädigung oder anderen gesellschaftlichen Nachteilen führt, sondern auch, wenn die betroffene Person um ihre Rechte und Freiheiten gebracht oder daran gehindert ist, die sie betreffenden personenbezogen Daten zu kontrollieren (ArbG Dresden 13 Ca 1046/20).

Das ArbG Neumünster sprach EUR 1.500 an Schadenersatz wegen einer um 3 Monate verspäteten Auskunftserteilung zu. Das Gericht vertrat die Auffassung, dass ein Schadensersatz von EUR 500 pro Monat der verspäteten Auskunft angemessen und auch erforderlich sei, um Verstöße effektiv zu sanktionieren. Der immaterielle Schaden bestehe vor allem in der Ungewissheit über die Verarbeitung der eigenen Daten (ArbG Neumünster, 1 Ca 247 c/20).

Das ArbG Köln sprach einer ehemaligen Arbeitnehmerin EUR 300 an Schadenersatz zu, weil ihr Profil nach Ihrem Ausscheiden nicht von der Website des Arbeitsgebers gelöscht wurde. Einer schwerwiegenden Persönlichkeitsrechtsverletzung bedürfe es nicht (ArbG Köln 5 Ca 4806/19).

Das ArbG Düsseldorf erkannte sogar einen immateriellen Schadenersatz von EUR 5.000 wegen einer um fünf Monate verspäteten und inhaltlich mangelhaften Auskunft zu (ArbG Düsseldorf 9 Ca 6557/18).

Das ArbG Lübeck gewährte EUR 1.000 Schadenersatz wegen Veröffentlichung eines Facebook-Posts ohne Einwilligung der betroffenen Person (ArbG Lübeck, 1 Ca 538/19).

Die weitere Entwicklung der Rechtsprechung zur Geltendmachung von immateriellen Schadensersatzansprüchen bleibt spannend. Der EuGH bekommt nun aufgrund des Vorabentscheidungsersuchens die Gelegenheit, hier ein Machtwort zu sprechen und die Linie vorzugeben, ob eine Verletzung im Grundrecht auf Datenschutz per se einen ersatzfähigen immateriellen Schaden darstellen kann oder ob eine zumindest geringfügige Gefühlsbeeinträchtigung nachgewiesen werden muss.