EuGH-Entscheidung vom 11.4.2024, Rechtssache C‑741/21
Sachverhalt:
Der Kläger ist als Rechtsanwalt tätig und war Kunde von juris, einer Gesellschaft, die eine juristische Datenbank betreibt. Nachdem er erfahren hatte, dass seine personenbezogenen Daten von juris auch für Zwecke der Direktwerbung genutzt wurden, widerrief der Kläger schriftlich alle seine Einwilligungen, per E‑Mail oder per Telefon Informationen von juris zu erhalten, und widersprach jeglicher Verarbeitung dieser Daten mit Ausnahme des Versands von „Newslettern“, die er weiterhin beziehen wollte.
Trotzdem erhielt der Kläger weitere Werbeschreiben. Wenige Monate später erhielt der Kläger ein weiteres Werbeschreiben und erklärte abermals seinen Widerspruch.
Der Kläger erhob beim Landgericht Saarbrücken Klage auf Grundlage von Art. 82 Abs. 1 DSGVO und verlangte Ersatz seines materiellen sowie seines immateriellen Schadens. Er macht insbesondere geltend, dass er einen Verlust der Kontrolle über seine personenbezogenen Daten erlitten habe und daher Schadenersatz verlangen könne, ohne die Auswirkungen oder die Erheblichkeit der Beeinträchtigung nachweisen zu müssen.
Das Landgericht Saarbrücken beschloss, das Verfahren auszusetzen und dem EuGH zur Vorabentscheidung vorzulegen.
Entscheidung:
Der EuGH wies zunächst darauf hin, dass er Art. 82 Abs. 1 DSGVO bereits dahin ausgelegt hat, dass der bloße Verstoß gegen diese Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen. Insofern muss die Person, die immateriellen Schadenersatz begehrt, nicht nur den Verstoß gegen die DSGVO nachweisen, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist. Ein Verstoß gegen die DSGVO stellt für sich genommen noch keinen „immateriellen Schaden“ dar.
Der 85. Erwägungsgrund der DSGVO zählt den „Verlust der Kontrolle“ ausdrücklich zu den Schäden, die durch eine Verletzung personenbezogener Daten verursacht werden können. Der – selbst kurzzeitige – Verlust der Kontrolle über solche Daten kann daher einen „immateriellen Schaden“ im Sinne von Art. 82 DSGVO darstellen und einen Schadenersatzanspruch begründen, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat.
Nach Art. 82 Abs. 2 DSGVO haftet der für die Verarbeitung Verantwortliche für einen verursachten Schaden. Er wird von der Haftung befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Dem Verantwortlichen unterstellte Personen, wie zB seine Mitarbeiter, die Zugang zu personenbezogenen Daten haben, dürfen diese Daten grundsätzlich nur auf der Grundlage von Weisungen des Verantwortlichen und im Einklang mit diesen Weisungen verarbeiten. Der Verantwortliche muss sicherstellen, dass ihm unterstellte natürliche Personen, die Zugang zu solchen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten. Es ist Sache des Verantwortlichen, sich zu vergewissern, dass seine Weisungen von seinen Arbeitnehmern korrekt ausgeführt werden. Daher kann sich der Verantwortliche nicht einfach dadurch nach Art. 82 Abs. 3 DSGVO von seiner Haftung befreien, dass er sich auf Fahrlässigkeit oder Fehlverhalten einer ihm unterstellten Person beruft. Art. 82 DSGVO ist daher dahin auszulegen, dass es für eine Befreiung des Verantwortlichen von seiner Haftung nicht ausreicht, dass er geltend macht, dass der in Rede stehende Schaden durch ein Fehlverhalten einer ihm unterstellten Person verursacht wurde.
Wie der EuGH bereits früher festgestellt hat, enthält die DSGVO keine Bestimmung über die Bemessung des Schadenersatzes. Folglich haben die nationalen die innerstaatlichen Vorschriften anzuwenden, sofern die Grundsätze der Äquivalenz und der Effektivität beachtet werden.
Da Art. 82 DSGVO keine Straf‑, sondern eine Ausgleichsfunktion hat, kann der Umstand, dass der Verantwortliche mehrere Verstöße gegenüber derselben betroffenen Person begangen hat, nicht als relevantes Kriterium für die Bemessung des zu gewährenden Schadenersatzes herangezogen werden. Es ist allein der von dieser Person konkret erlittene Schaden zu berücksichtigen. Folglich hielt der EuGH fest, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass zur Bemessung des Betrags des auf diese Bestimmung gestützten Anspruchs auf Schadenersatz zum einen die in Art. 83 dieser Verordnung vorgesehenen Kriterien für die Festsetzung des Betrags von Geldbußen nicht entsprechend anzuwenden sind und zum anderen nicht zu berücksichtigen ist, dass die Person, die Schadenersatz verlangt, von mehreren Verstößen gegen die DSGVO betroffen ist, die sich auf denselben Verarbeitungsvorgang beziehen.
Weitere Blog-Beiträge zum Thema DSGVO-Schadenersatz:
DSGVO-Schadenersatz für Schulwart, der irrtümlich in Lehrerbewertungs-App aufgenommen wurde.