EuGH-Entscheidung vom 14.12.2023, Rechtssache C‑456/22
Sachverhalt:
Eine deutsche Gemeinde hatte auf ihrer Internetseite ohne Einwilligung der Kläger die Tagesordnung einer Gemeinderatssitzung sowie ein verkündetes Urteil veröffentlicht, worin die Namen und Vornamen sowie die Anschriften der Kläger genannt waren. Diese Unterlagen waren für die Dauer von drei Tagen auf der Homepage dieser Gemeinde verfügbar.
Die Kläger waren der Auffassung, dass diese Veröffentlichung ein Verstoß gegen die DSGVO sei und dass die Gemeinde vorsätzlich gehandelt habe, da die Namen anderer Beteiligter geschwärzt worden waren. Daher klagten sie die Gemeinde nach Art. 82 Abs. 1 DSGVO auf Ersatz des ihnen entstandenen immateriellen Schadens.
Das Landgericht Ravensburg legte das Verfahren dem EuGH zur Vorabentscheidung vor. Das vorlegende Gericht neigte zu der Annahme, dass für die Bejahung eines immateriellen Schadens eine „Bagatellgrenze“ überschritten sein müsse, was bei einem lediglich kurzfristigen Verlust der Datenhoheit der Betroffenen, der ihnen keinerlei spürbare Nachteile verursacht habe, und ohne Nachweis einer objektiv nachvollziehbaren Beeinträchtigung ihrer persönlichkeitsbezogenen Belange nicht der Fall sei.
Entscheidung:
Der EuGH hielt zunächst fest, dass nach Art. 82 Abs. 1 DSGVO jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter hat.
Das Vorliegen eines Schadens ist eine der Voraussetzungen für den Schadenersatzanspruch, ebenso wie das Vorliegen eines Verstoßes gegen die DSGVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Folglich sind diese drei Voraussetzungen erforderlich und ausreichend für einen Schadenersatzanspruch im Sinne dieser Bestimmung.
Art. 82 Abs. 1 DSGVO ist dahin auszulegen, dass er einer nationalen Regelung entgegensteht, die den Ersatz eines „immateriellen Schadens“ davon abhängig macht, dass der entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat. Folglich dürfen keine weiteren Voraussetzungen aufgestellt werden, wie etwa, dass der Nachteil spürbar oder die Beeinträchtigung objektiv sein muss. Folglich verlangt Art. 82 Abs. 1 DSGVO nicht, dass nach einem erwiesenen Verstoß gegen Bestimmungen dieser Verordnung der von der betroffenen Person geltend gemachte „immaterielle Schaden“ eine „Bagatellgrenze“ überschreiten muss, damit dieser Schaden ersatzfähig ist.
Eine betroffene Person muss jedoch den Nachweis erbringen, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen. Der bloße Verstoß gegen die Bestimmungen der DSGVO reicht nämlich nicht aus, um einen Schadenersatzanspruch zu begründen.
Im vorliegenden Fall kann daher bereits die Veröffentlichung personenbezogener Daten im Internet und der daraus resultierende kurzzeitige Verlust der Hoheit über diese Daten den betroffenen Personen einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO zufügen, doch müssen diese Personen den Nachweis erbringen, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten haben.
Weitere Blog-Beiträge zum Thema Datenschutzrecht:
DSGVO-Schadenersatz für Schulwart, der irrtümlich in Lehrerbewertungs-App aufgenommen wurde.