EuGH: Nicht jeder Datenschutzverstoß rechtfertigt immateriellen Schadensersatz – Rechtsunsicherheit bleibt dennoch

Immer häufiger fordern Betroffene, die Opfer von Datenschutzverstößen geworden sind, von den Verantwortlichen Entschädigungszahlungen, selbst wenn es sich um eher leichte Datenschutzverstöße (sogenannte „Bagatellverstöße“) handelt. Möglich macht das eine mitunter ausufernde Auslegung einiger Gerichte von Art. 82 DSGVO, nach dessen Wortlaut „jede Person, der wegen eines Verstoßes ein (…) immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz hat“. Mehrere Gerichte, hierunter das Bundesarbeitsgericht, vertreten die Auffassung, dass bereits der bloße Datenschutzverstoß selbst eine Geldentschädigungspflicht auslöse. Eine Beeinträchtigung von einigem Gewicht, wie sie etwa im Persönlichkeits- und Presserecht gängige Praxis und Voraussetzung für Entschädigungszahlungen ist, sei nicht erforderlich.

Der EuGH hat sich einer derart extensiven Auslegung nun mit Urteil vom 04.05.2023 [CURIA - Dokumente (europa.eu)] nicht angeschlossen. Allerdings hat er festgestellt, dass für die Annahme eines immateriellen Schadens eine bestimmte Erheblichkeitsschwelle nicht überschritten sein müsse.  

Die Kernaussagen des Gerichts

1. Nicht jeder Datenschutzverstoß begründet automatisch eine Verpflichtung zur Zahlung einer Geldentschädigung.
2. Art. 82 DSGVO hat keinen Strafcharakter und begründet somit auch keinen Anspruch auf Strafschadensersatz.
3. Die betroffene Person muss nachweisen, dass der Datenschutzverstoß tatsächlich zu einem immateriellen Schaden geführt hat.
4. Es ist jedoch nicht erforderlich, dass ein nachgewiesener immaterieller Schaden eine bestimmte Erheblichkeitsschwelle überschreitet. Die „Kriterien für die Ermittlung des Umfangs des Schadensersatzes“ sind von den mitgliedstaatlichen Gerichten selbst zu bestimmen, solange diese Kriterien nicht die Ausübung der durch die DSGVO gewährleisteten Rechte verhindern.

Die Entscheidung bringt Unternehmen leider nicht den von Vielen erhofften Mehrwert an Rechtssicherheit. Begrüßenswert ist, dass nicht jeder Bagatellverstoß und jedes „bloße Ärgernis“ per se zur Schadensersatzpflicht führt. Unwägbar bleiben aber die konkreten Kriterien, nach denen Gerichte künftig das Vorliegen eines immateriellen Schadens beurteilen. Zwar dürften sich Gerichte nicht mehr – wie bislang teilweise der Fall – ausdrücklich an der hohen Erheblichkeitsschwelle aus dem allgemeinen Persönlichkeitsrecht orientieren. Positiv aus Unternehmenssicht ist aber, dass der Betroffene zumindest einen Schaden tatsächlich erlitten haben und nachweisen muss.  „Trittbrettfahrern“, die aus Datenschutzvorfällen z.B. durch Cyberattacken, zusätzlich Profit schlagen wollen ohne einen tatsächlichen Schaden belegen zu können, kann mit Hilfe dieser aktuellen EuGH Rechtsprechung wirksam entgegengetreten werden.

Fazit

Obwohl der EuGH nunmehr gewisse Mindest-Hürden für Entschädigungsansprüche definiert, müssen sich Unternehmen nach wie vor darauf einstellen, nicht nur bei schwerwiegenden Datenschutzverletzungen mit Entschädigungsforderungen konfrontiert zu werden. Es wird spannend zu beobachten, für welche Arten von Datenschutzverletzungen die deutschen Gerichte  künftig Entschädigungssummen in welcher Höhe anerkennen und auf welche Kriterien sie hierbei schwerpunktmäßig abstellen. Bis zu einer Entscheidung durch die höchsten Instanzgerichte (BGH, BAG) dürfte abermals ein Vakuum an Rechtsunsicherheit bestehen bleiben. Unverändert bleibt es dabei, dass es für Unternehmen im schlimmsten Fall zu einem Nebeneinander von Bußgeldern der Aufsichtsbehörden und direkten Schadensersatzklagen der Betroffenen kommen kann. Umso mehr ist anzuraten, Datenschutzvorfälle jeder Art professionell und mit einer entsprechend hohen Sorgfalt zu behandeln.