Der Fall
Trotz Widerrufs seiner Einwilligung zur Direktwerbung erhielt der Kläger weiterhin Werbemails, die jeweils einen persönlichen Zugangscode zu den Produkten der Beklagten enthielten. Nachdem sein erstes Widerspruchsschreiben keine Wirkung zeigte, stellte der Kläger der Beklagten ein weiteres Widerspruchsschreiben durch den Gerichtsvollzieher zu und ließ von einem Notar die im Werbeschreiben angegebene Internetseite öffnen und den persönlichen Code eingeben. Der Kläger war der Überzeugung, dass er durch den Verlust der Kontrolle über seine personenbezogenen Daten in seinen Datenschutzrechten verletzt sei. Er machte gegenüber der Beklagten sowohl materiellen Schadenersatz (Kosten des Gerichtsvollziehers und des Notars) als auch immateriellen Schadenersatz nach Art. 82 Abs. 1 DS-GVO geltend.
Das LG Saarbrücken setzte das Verfahren aus und legte dem EuGH die folgenden vier Fragen zur Auslegung von Art. 82 Abs. 1 DS-GVO vor.
- Ist der Begriff des immateriellen Schadens in Art. 82 Abs. 1 DS-GVO im Hinblick auf den Erwägungsgrund 85 und den Erwägungsgrund 146 Satz 3 DS-GVO in dem Sinne zu verstehen, dass er jede Beeinträchtigung der geschützten Rechtsposition erfasst, unabhängig von deren sonstigen Auswirkungen und deren Erheblichkeit?
- Wird die Haftung auf Schadenersatz gemäß Art. 82 Abs. 3 DS-GVO dadurch ausgeschlossen, dass der Rechtsverstoß auf menschliches Versagen im Einzelfall einer im Sinne von Art. 29 DS-GVO unterstellten Person zurückgeführt wird?
- Ist bei der Bemessung des immateriellen Schadenersatzes eine Orientierung an den in Art. 83 DS-GVO, insbesondere Art. 83 Abs. 2 und Abs. 5 DS-GVO, genannten Zumessungskriterien erlaubt bzw. geboten?
- Ist der Schadenersatz für jeden einzelnen Verstoß zu bestimmen oder werden mehrere – zumindest mehrere gleich gelagerte – Verstöße mit einer Gesamtentschädigung sanktioniert, die nicht durch eine Addition von Einzelbeträgen ermittelt wird, sondern auf einer wertenden Gesamtbetrachtung beruht?
Die Entscheidung
Der EuGH entschied, dass Art. 82 Abs. 1 der DS-GVO besagt, dass jede Person Anspruch auf Schadenersatz hat, wenn ihr durch einen Verstoß gegen die DS-GVO ein materieller oder immaterieller Schaden entstanden ist. Ein DS-GVO-Verstoß allein genügt jedoch nicht, um einen Schadenersatzanspruch zu begründen. Es muss sowohl ein Schaden vorliegen als auch ein kausaler Zusammenhang zwischen dem Verstoß und dem Schaden nachgewiesen werden. Somit muss die betroffene Person nicht nur den Verstoß, sondern auch die Kausalität und den daraus resultierenden Schaden belegen. Der EuGH hat unter Bezugnahme auf Erwägungsgrund 85 der DS-GVO erläutert, dass der „Verlust der Kontrolle“ über personenbezogene Daten als Schaden anzusehen ist, der durch eine Datenverletzung entstehen kann. Selbst ein kurzzeitiger Kontrollverlust kann einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 der DS-GVO darstellen. Entscheidend ist jedoch, dass der Betroffene den Eintritt eines – auch geringfügigen – Schadens nachweisen kann.
Gemäß Art. 82 Abs. 3 der DS-GVO kann der Verantwortliche von der Haftung befreit werden, wenn er beweist, dass er in keiner Weise für den entstandenen Schaden verantwortlich ist. Der EuGH hat betont, dass diese Haftungsbefreiung streng auszulegen ist. Wenn eine Person, die dem Verantwortlichen nach Art. 29 der DS-GVO unterstellt ist, den Datenschutz verletzt, kann sich der Verantwortliche nur exkulpieren, indem er nachweist, dass kein Zusammenhang zwischen der Verletzung seiner Datenschutzpflichten gemäß Art. 5, 24 und 32 der DS-GVO und dem entstandenen Schaden besteht. Es reicht nicht aus, lediglich zu beweisen, dass die unterstellte Person gegen Weisungen gehandelt hat. Der Verantwortliche kann sich nicht einfach auf das Fehlverhalten einer ihm unterstellten Person berufen, da dies die praktische Wirksamkeit des Schadenersatzanspruchs untergraben würde.
Der EuGH stellt außerdem fest, dass die Kriterien für die Bußgeldbemessung nach Art. 83 DS-GVO nicht auf die Berechnung von Schadenersatzansprüchen nach Art. 82 DS-GVO angewendet werden können. Die beiden Normen unterscheiden sich in ihrem Wortlaut und ihrer Zielsetzung grundlegend. Während Art. 83 DS-GVO eine strafende Funktion hat, dient Art. 82 DS-GVO dem Ausgleich. Mehrere Verstöße gegen die DS-GVO können daher im Hinblick auf den Schadenersatz nicht zusammengefasst werden, da der Schadenersatzanspruch auf den Ersatz des konkreten Schadens abzielt, der durch den jeweiligen Verstoß entstanden ist.
Die aktuelle Entscheidung bestätigt ein früheres Urteil (EuGH, Urteil vom 25. Januar 2024, C-687/21 – MediaMarktSaturn), in dem der EuGH klargestellt hatte, dass das ungute Gefühl eines möglichen Datenmissbrauchs für einen Anspruch auf Schadenersatz nicht genügt. Vielmehr müsse ein tatsächlicher Schaden dargelegt werden. Welche Anforderungen dabei an den Kläger gestellt werden, bleibt jedoch weiterhin offen. Zudem betont der EuGH, dass die Schwere des Verstoßes für die Entstehung des Anspruchs keine Rolle spiele, relevant sei nur, dass ein Schaden tatsächlich entstanden ist.
Fazit
Der EuGH hat klargestellt, dass bei einem tatsächlichen Schadenseintritt unabhängig von der Schadenshöhe ein Unternehmen haftet, wenn es die Umsetzung seiner datenschutzrechtlichen Weisung nicht hinreichend kontrolliert. Dies bedeutet, dass ein sorgfältiger Umgang mit personenbezogenen Daten unerlässlich ist, um rechtliche Konsequenzen zu vermeiden. Außerdem können Unternehmen sich nicht einfach durch Verweis auf ihre Mitarbeiter von der Verantwortung befreien – es ist Aufgabe des Arbeitgebers, die Einhaltung von Datenschutzvorgaben sicherzustellen. Unternehmen sollten ihre internen Prozesse und Weisungen zu überprüfen und sicherzustellen, dass diese tatsächlich eingehalten werden. Kontaktieren Sie uns gerne und wir helfen Ihnen bei der Umsetzung.