EuGH-Urteil vom 4.10.2024, Rechtssache C-507/23

 

Sachverhalt:

Der Kläger ist in Lettland als Journalist mit Fachkenntnissen im Automobilbereich bekannt.  Im Rahmen einer Kampagne zur Sensibilisierung der Verbraucher für die Risiken beim Kauf eines Gebrauchtwagens verbreitete die lettische Verbraucherschutzbehörde (im Folgenden: PTAC) auf mehreren Websites eine Videosequenz, in der eine Person zu sehen war, die den Kläger imitierte, ohne dass dieser dem zugestimmt hätte. Obwohl der Kläger der Anfertigung und Verbreitung dieser Videosequenz widersprach, blieb sie online verfügbar. Er klagte auf Ersatz seines immateriellen Schadens in Form einer Entschuldigung und einer Entschädigung in Höhe von 2 000 Euro, da das PTAC einige seiner personenbezogenen Daten ohne seine Zustimmung verarbeitetet hatte.

Das nationale lettische Recht sieht vor, dass die Wiedergutmachung immaterieller Schäden durch die Wiederherstellung des Zustands vor der Verursachung des Schadens bzw bei vollständiger oder teilweiser Unmöglichkeit oder Unangemessenheit dieser Lösung durch eine Entschuldigung oder durch die Zahlung einer angemessenen Entschädigung erfolgen kann.

Das lettische Oberste Gericht legte den Fall dem EuGH zur Vorabentscheidung vor; insbesondere ging es um die Frage, ob eine Entschuldigung als Ersatz für den immateriellen Schaden im Einklang mit Art 82 Abs 1 DSGVO steht, wenn keine Möglichkeit zur Wiederherstellung des Zustands vor der Verursachung des Schadens besteht.

 

Entscheidung:

Der EuGH verwies zunächst auf seine  bisherige Rechtsprechung zum Thema DSGVO-Schadenersatz (aktuelle EuGH-Entscheidungen auch HIER, HIER oder HIER), wonach der bloße Verstoß gegen die DSGVO nicht ausreicht, um auf dieser Grundlage einen Schadenersatzanspruch zu begründen, da das Vorliegen eines materiellen oder immateriellen „Schadens“ eine der Voraussetzungen für den Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die Bestimmungen der DSGVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind.

Da die DSGVO keine Bestimmung enthält, die Regeln für die Bemessung des Schadenersatzes festlegt, haben die nationalen Gerichte die innerstaatlichen Vorschriften anzuwenden, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden.

Der EuGH sprach auch aus, dass ein nationales Gericht bei fehlender Schwere des entstandenen Schadens diesen ausgleichen kann, indem es dieser Person einen geringfügigen Schadenersatz zuspricht, sofern die geringe Höhe des gewährten Schadenersatzes geeignet ist, den Schaden in vollem Umfang auszugleichen; es ist Sache des nationalen Gerichts, dies zu prüfen.

Art 82 Abs 1 DSGVO verwehrt es auch nicht, dass eine Entschuldigung einen eigenständigen oder ergänzenden Ersatz eines immateriellen Schadens darstellen kann. Es ist Sache des angerufenen nationalen Gerichts, anhand der Umstände des Einzelfalls zu prüfen, ob eine solche Form des Schadenersatzes die Grundsätze der Äquivalenz und der Effektivität wahrt.

Der EuGH kam also zu dem Ergebnis, dass Art 82 Abs 1 DSGVO dahin auszulegen ist, dass eine Entschuldigung einen angemessenen Ersatz eines immateriellen Schadens darstellen kann, insbesondere, wenn es nicht möglich ist, die Lage vor dem Eintritt des Schadens wiederherzustellen, sofern diese Form des Schadenersatzes geeignet ist, den der betroffenen Person entstandenen Schaden in vollem Umfang auszugleichen.

Art 82 Abs 1 DSGVO steht aber der Möglichkeit entgegensteht, die Haltung und die Beweggründe des Verantwortlichen zu berücksichtigen (beispielsweise die Notwendigkeit, einen im öffentlichen Interesse liegenden Auftrag zu erfüllen, das Fehlen einer Absicht, die betroffene Person zu schädigen, oder Schwierigkeiten, den rechtlichen Rahmen zu verstehen), um der betroffenen Person gegebenenfalls einen Schadenersatz zu gewähren, der geringer ist als der Schaden, der ihr konkret entstanden ist.

 

Link zur Entscheidung

 

Weitere Blog-Beiträge zum Thema DSGVO-Schadenersatz:

Sparkassen-Mitarbeiter greift mehrmals unbefugt auf personenbezogene Daten eines Kunden zu. EuGH: Aufsichtsbehörde muss nicht bei jedem Verstoß Abhilfemaßnahme ergreifen oder Geldbuße verhängen.

Videoüberwachung deckt versuchtes Erschleichen einer Versicherungsleistung auf: Kein DSGVO-Schadenersatz für (behauptete) Datenschutzverletzung.

EuGH zum immateriellen DSGVO-Schadenersatz: „Verlust der Kontrolle“ über personenbezogene Daten ist Schaden. Keine Straf- sondern Ausgleichsfunktion.

Politische Partei veröffentlicht Stand-Bild von Live-Stream auf Facebook: DSGVO-Verstoß. Ansprüche auf Löschung, Unterlassung und Schadenersatz.

EuGH: Keine Bagatellgrenze für immateriellen Schaden infolge DSGVO-Verstoß. Jedoch Nachweis erforderlich, dass immaterieller Schaden tatsächlich entstanden ist.

EuGH: Datenschutzverletzung allein begründet nicht Unangemessenheit von Sicherheitsmaßnahmen. Befürchtung eines Datenmissbrauchs kann immateriellen Schaden darstellen.

DSGVO-Schadenersatz für Schulwart, der irrtümlich in Lehrerbewertungs-App aufgenommen wurde.

Erfassen des Stromverbrauchs durch „Smart Meter“: Kein Anspruch auf Schadenersatz auf Grundlage der DSGVO aufgrund Sorgen allgemeiner Natur.

Immaterieller Schadenersatz bei Verstößen gegen die DSGVO? Verstoß allein genügt nicht. Schaden erforderlich. Aber: Keine „Erheblichkeitsschwelle“.