Schlussantrag des Generalanwalts in der Rechtssache C-300/21
In dem vom Obersten Gerichtshof aus Österreich (ÖOGH) vorgelegten Verfahren geht es um die Auslegung von Art. 82 DS-GVO.
Voraussetzungen von Art. 82 DS-GVO
Nach Art. 82 Abs. 1 DS-GVO hat jede Person, der wegen eines Verstoßes gegen die DS-GVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
Die Anspruchsvoraussetzungen scheinen denkbar einfach:
- Verstoß gegen die DS-GVO,
- Eintritt eines materiellen oder immateriellen Schadens durch den Verstoß und
- Verschulden des Verantwortlichen.
Im Detail ist jedoch viel umstritten, vor allem im Zusammenhang mit der Geltendmachung und Durchsetzung immaterieller Schäden.
- Reicht bereits ein Verstoß gegen die DS-GVO zur Begründung eines Schadenersatzanspruchs aus oder muss ein materieller bzw. immaterieller Schaden nachgewiesen werden?
- Ist bereits der Ärger über einen Datenschutzverstoß ausreichend für einen immateriellen Schadenersatzanspruch?
- Reicht der Verlust über die Kontrolle der Daten aus?
- Kann ein Schadenersatzanspruch zu Sanktionszwecken erhöht werden?
Gerade die Arbeitsgerichte in Deutschland haben Art. 82 DS-GVO bislang sehr weit ausgelegt. Das kann schon in Einzelfällen für Verantwortliche teuer werden, das weite Verständnis führt aber insbesondere in Fällen, in denen eine Vielzahl von Personen von einem Datenschutzverstoß betroffen sind, zu hohen Schadenersatzrisiken für Verantwortliche. Hinzu kommt noch, dass nicht der Anspruchsteller das Verschulden des Verantwortlichen nachweisen muss, sondern der Verantwortliche, dass er nicht für den Eintritt des Schadens verantwortlich ist. Sollte der EuGH diesem weiten Verständnis folgen, hätten private Rechtsdienstleister ein neues Geschäftsmodell: die massenhafte Durchsetzung von Ansprüchen von immateriellen Schäden nach einem Datenschutzverstoß.
Nicht nur, aber auch Arbeitgeber warten daher mit Spannung auf eine Entscheidung des EuGH zu Art. 82 DS-GVO. Der EuGH hat dazu in dem Verfahren C-300/21 Gelegenheit.
Vorlagefragen
Der ÖOGH hat dem EuGH folgende Fragen vorgelegt:
Erfordert der Zuspruch von Schadenersatz nach Art. 82 der Verordnung (EU) 2016/6791 (DSGVO) neben einer Verletzung von Bestimmungen der DSGVO auch, dass der Kläger einen Schaden erlitten hat oder reicht bereits die Verletzung von Bestimmungen der DSGVO als solche für die Zuerkennung von Schadenersatz aus?
Bestehen für die Bemessung des Schadenersatzes neben den Grundsätzen der Effektivität und Äquivalenz weitere Vorgaben des Unionsrechts?
Ist die Auffassung mit dem Unionsrecht vereinbar, dass Voraussetzung für den Zuspruch immateriellen Schadens ist, dass eine Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht vorliegt, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgeht?
Schlussantrag des Generalanwalts
Bereits am 6. Oktober 2022 hat der Generalanwalt Manuel Campos Sánchez-Bordona seinen Schlussantrag vorgelegt, in dem er folgende Antworten vorschlägt:
Art. 82 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist wie folgt auszulegen:
Für die Anerkennung eines Anspruchs auf Ersatz des Schadens, den eine Person infolge eines Verstoßes gegen die genannte Verordnung erlitten hat, reicht die bloße Verletzung der Norm als solche nicht aus, wenn mit ihr keine entsprechenden materiellen oder immateriellen Schäden einhergehen.
Der in der Verordnung 2016/679 geregelte Ersatz immaterieller Schäden erstreckt sich nicht auf bloßen Ärger, zu dem die Verletzung ihrer Vorschriften bei der betroffenen Person geführt haben mag. Es ist Sache der nationalen Gerichte, herauszuarbeiten, wann das subjektive Unmutsgefühl aufgrund seiner Merkmale im Einzelfall als immaterieller Schaden angesehen werden kann.
Bewertung der Antworten des Generalanwalts
Aus Sicht der Verantwortlichen wäre ein enges Verständnis von Art. 82 DS-GVO wünschenswert. Der Generalanwalt verweist in seinem Schlussantrag darauf, dass die DS-GVO nicht das Ziel hat, die Verarbeitung personenbezogener Daten systematisch zu begrenzen, sondern sie unter strengen Voraussetzungen legitimieren soll. Betroffene Personen sollen also darauf vertrauen können, dass die Verarbeitung in einem sicheren Umfeld erfolgt. Andererseits haben auch Verantwortliche ein berechtigtes Interesse daran, Daten verarbeiten zu können. Damit wäre ein weites Verständnis von Art. 82 DS-GVO nicht vereinbar.
Der Generalanwalt sieht aber auch, dass es für die nationalen Gerichte nicht einfach ist, die Grenze zwischen einem bloßen nicht ersatzfähigen Ärger und einem echten immateriellen Schaden zu ziehen. Die Auslegung von Art. 82 DS-GVO wird uns also sicher noch länger beschäftigen.