EuGH: Schutz natürlicher Personen bei Verarbeitung personenbezogener Daten und Schadenersatz
Aufgrund eines Vorabentscheidungsersuchens des Landgerichts Saarbrücken hatte der Europäische Gerichtshof über den Schadensersatz wegen Verarbeitungen von personenbezogenen Daten für Zwecke der Direktwerbung zu entscheiden, die trotz eingelegter Widersprüche weiterhin vorgenommen wurden. Dabei nehmen die Europarichter zu Fragen eines immateriellen Schadens, der Haftung auf Schadenersatz und zur Bemessung des immateriellen Schadenersatzes im Lichte der Art. 82 und 83 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung - DSGVO) Stellung.
Hintergrund
Nachdem der Kläger (eine natürliche Person) erfahren hatte, dass seine personenbezogenen Daten auch für Zwecke der Direktwerbung genutzt wurden, widerrief er schriftlich alle seine Einwilligungen von dem betreffenden Unternehmen per E‑Mail oder per Telefon Informationen zu erhalten und widersprach jeglicher Verarbeitung dieser Daten mit Ausnahme des Versands von „Newslettern“. Trotz dieses Vorgehens erhielt der Kläger in der Folge zwei Werbeschreiben, die ihm namentlich an seine Geschäftsadresse geschickt wurden. Der Kläger macht Ersatz seines materiellen Schadens im Zusammenhang mit den ihm entstandenen Gerichtsvollzieher- und Notarkosten sowie seines immateriellen Schadens geltend. Er rügt insbesondere einen Verlust der Kontrolle über die verarbeiteten Daten.
Hierzu hatte der EuGH nun in insgesamt vier Vorlagefragen Gelegenheit, die Rechtslage unter dem Blickwinkel des EU-Rechts zu klären.
Entscheidung des EuGH zu den Vorlagefragen
Mit seiner ersten Frage wollte das vorlegende Gericht wissen, ob Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass ein Verstoß gegen Bestimmungen dieser Verordnung für sich genommen ausreicht, um unabhängig vom Schweregrad des von dieser Person erlittenen Schadens einen „immateriellen Schaden“ im Sinne dieser Bestimmung darzustellen.
Ein bloßer Verstoß gegen Bestimmungen der DSGVO reiche für sich genommen nicht aus, so der EuGH. Die Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO den Ersatz eines immateriellen Schadens verlangt, muss nicht nur den Verstoß gegen Bestimmungen dieser Verordnung nachweisen, sondern auch, dass ihr durch diesen Verstoß ein Schaden entstanden ist
Insoweit weist das Gericht darauf hin, dass im Rahmen der DSGVO ausdrücklich der „Verlust der Kontrolle“ zu den Schäden zählt, die durch eine Verletzung personenbezogener Daten verursacht werden können. Selbst der kurzzeitige Verlust der Kontrolle über solche Daten könne einen „immateriellen Schaden“ darstellen, der einen Schadenersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat.
Mit der zweiten Vorlagefrage sollte geklärt werden, ob Art. 82 DSGVO dahin auszulegen ist, dass es für eine Befreiung des Verantwortlichen von seiner Haftung nach Art. 82 Abs. 3 dieser Verordnung ausreicht, dass er geltend macht, dass der in Rede stehende Schaden durch ein Fehlverhalten einer ihm im Sinne von Art. 29 der Verordnung unterstellten Person verursacht wurde.
Hierzu bemerkt der EuGH, dass es nicht ausreiche, wenn der Verantwortliche geltend macht, dass der in Rede stehende Schaden durch ein Fehlverhalten einer ihm unterstellten Person verursacht wurde. Könnte sich der Verantwortliche von seiner Haftung befreien, indem er sich lediglich auf das Fehlverhalten einer ihm unterstellten Person beruft, würde dies die praktische Wirksamkeit des in Art. 82 Abs. 1 DSGVO verankerten Anspruchs auf Schadenersatz beeinträchtigen, was nicht im Einklang mit dem Ziel dieser Verordnung stünde, ein hohes Schutzniveau für natürliche Personen bei der Verarbeitung ihrer personenbezogenen Daten zu gewährleisten.
Mit der dritten und vierten Frage, wurde der EuGH um Auskunft darüber gebeten, ob Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass zur Bemessung des Betrags des auf diese Bestimmung gestützten Anspruchs auf Schadenersatz zum einen die Kriterien für die Festsetzung von Geldbußen entsprechend anzuwenden sind und zum anderen ob zu berücksichtigen ist, dass die Person, die Schadenersatz verlangt, von mehreren Verstößen gegen die Verordnung betroffen ist, die sich auf denselben Verarbeitungsvorgang beziehen.
Zur Bemessung der Höhe des Anspruchs auf Schadenersatz sind die in Art. 83 DSGVO vorgesehenen Kriterien für die Festsetzung des Betrags von Geldbußen nicht entsprechend anzuwenden. Des Weiteren, so der EuGH, sei nicht zu berücksichtigen, dass die Person, die Schadenersatz verlangt, von mehreren Verstößen gegen die Verordnung betroffen ist, die sich auf denselben Verarbeitungsvorgang beziehen.
Angesichts der Tatsache, dass Art. 82 DSGVO keine Straf‑, sondern eine Ausgleichsfunktion hat, kann der Umstand, dass der Verantwortliche mehrere Verstöße gegenüber derselben betroffenen Person begangen hat, nicht als ein relevantes Kriterium für die Bemessung des dieser Person gemäß Art. 82 zu gewährenden Schadenersatzes herangezogen werden. Um den Betrag der als Ausgleich geschuldeten finanziellen Entschädigung festzulegen, sei allein der von dieser Person konkret erlittene Schaden zu berücksichtigen.
Fundstelle