Mit Urteil vom 4. Mai 2023 schafft der EuGH in der Rechtssache C-300-21 Klarheit zu Einzelfragen des Anspruchs auf Schadensersatz nach Art. 82 DSGVO.

Worum geht es?

Nach Art. 82 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Der oberste Gerichtshof Österreichs legte dem EuGH einige stark umstrittenen Fragen zum Schadensersatz zur Vorabentscheidung vor und bat um Klärung, ob ein Schadensersatz allein für die Verletzung von Vorgaben der DSGVO zuzusprechen oder ein immaterieller Schaden konkret darzulegen sei. Zudem legte das Gericht dem EuGH die Frage vor, ob es mit Unionsrecht vereinbar sei, wenn für die Verurteilung zur Zahlung immateriellen Schadensersatzes eine Rechtsverletzung von einigem Gewicht verlangt werde, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgehe.

Die Entscheidung des EuGH.

In seinem Schlussantrag am 6. Oktober 2022 hatte der Generalanwalt am EuGH eine restriktive Auslegung Handhabung des Schadensersatzanspruchs befürwortet und die Auffassung vertreten, dass Schadensersatz das Vorliegen eines nachweisbaren Schadens voraussetze, andernfalls handele es sich um eine nicht mit der Funktion des Art. 82 DSGVO vereinbaren Sanktion oder einen Strafschadensersatz.

Der EuGH bestätigt mit seinem Urteil vom 4. Mai 2023, dass der bloße Verstoß gegen Bestimmungen der DSGVO keinen Schadensersatz begründet. Voraussetzung eines Schadensersatzanspruchs sei neben einem DSGVO-Verstoß das Vorliegen eines materiellen oder immateriellen Schadens und einem ursächlichen Zusammenhang zwischen eingetretenem Schaden und dem Verstoß. Der bloße Verstoß gegen die DSGVO begründe keinen Schadenersatzanspruch. Vielmehr sei der Nachweis eines individuellen Schadens erforderlich.

Der noch vom Generalanwalt vertretenen Auffassung, dass der immaterielle Schaden eine gewissen Erheblichkeit haben müsse, erteilte der EuGH dagegen eine Absage. Die DSGVO kenne keine Erheblichkeitsschwelle. Der Schadensersatzanspruch beschränke sich nicht auf immaterielle Schäden mit einer gewissen Erheblichkeit.

Hinsichtlich der Festlegung von Kriterien für die Ermittlung des Schadensumfangs sieht der EuGH die nationalen Gerichte der Mitgliedsstaaten am Zug. Diese haben sicherzustellen, dass vollständiger und wirksamer Schadensersatz erfolge. Dabei habe die Rechtsprechung dafür Sorge zu tragen, dass dem europäischen Datenschutzrecht effektiv zur Durchsetzung verholfen werde.

Praxis: was nun?

Das Urteil des EuGH sorgt für Klarheit. Insbesondere die deutschen Arbeitsgerichte ließen den bloßen Verstoß gegen Bestimmungen der DSGVO für einen Schadensersatz bisher regelmäßig ausreichen. Damit ist nun Schluss. Die Geltendmachung von Schadensersatzansprüchen eines DSGVO-Verstoßes erfordert ab sofort die Darlegung eines konkreten Schadens durch den Kläger. Nach den Vorgaben des EuGH dürfen an diese Darlegungen allerdings keine hohen Anforderungen gestellt werden.

Damit reicht der EuGH aber tatsächlich Steine statt Brot, denn die vom vorlegenden Gericht aufgeworfene Frage, ob die vom Kläger in diesem Verfahren vorgebrachte „Verärgerung“ und „Verletzung seines Vertrauens“ bereits einen ersatzfähigen immateriellen Schaden darstellt, bleibt damit offen. Die konkrete praktische Bedeutung des Schadensersatzes wird zukünftig daran gemessen werden, wie die Gerichte die Anforderungen an den Darlegungsaufwand formulieren werden.

Dass die inflationäre Geltendmachung datenschutzrechtlicher Auskunftsansprüche, die der Vorbereitung späterer Schadensersatzansprüche dienen sollen, infolge dieser Rechtsprechung zurückgehen wird, darf bezweifelt werden. Zwar ist nach der Rechtsprechung des EuGH nun die Darlegung eines konkreten Schadens erforderlich. Die Geltendmachung des Auskunftsanspruchs erfordert aber nach wie vor nicht den Nachweis eines wie auch immer gearteten berechtigten Interesses des Auskunftsersuchenden.