Lange Zeit war aufgrund der abstrakten Formulierung des Art. 82 DS-GVO nicht ganz klar, was genau eigentlich unter den Schadensbegriff des Artikels fällt. Weiterhin war bislang unklar, ob der entstandene Schaden eine Mindestgrenze oder eine Bagatellgrenze überschreiten muss, um einen Schadenersatzanspruch des Betroffenen auszulösen. Der Europäische Gerichtshof (EuGH) hat nun mit zwei aktuellen Urteilen endlich Klarheit geschaffen und diese Fragen beantwortet.
Die Entscheidungen im einzelnen
Mit Urteil vom 14.12.2023 (Rs. C-340/21) befasste sich der EuGH unter anderem mit der Frage, ob die bloße Befürchtung des Datenmissbrauchs seitens des Betroffenen durch unbefugte Offenlegung unter den Begriff des immateriellen Schadens fällt. Der EuGH hat sich in seiner Entscheidung deutlich zugunsten der Betroffenen geäußert und urteilte, dass die Auslegung des Art. 82 Abs. 1 DS-GVO auf einer Weise, nach der die Befürchtung eines künftigen Missbrauchs personenbezogener Daten des Betroffenen keinen Schadenersatz rechtfertigt, nicht mit der Gewährleistung eines hohen Schutzniveaus bei der Datenverarbeitung vereinbar wäre.
Weiterhin stellte der EuGH fest, dass wenn eine betroffene Person aufgrund eines Verstoßes gegen die DS-GVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbraucht werden können ein immaterieller Schaden vorliegt. Allerdings muss das zuständige nationale Gericht in derartigen Fällen insbesondere zunächst prüfen, ob die Befürchtungen überhaupt plausibel sind.
Mitunter stand die Frage offen, ob rein subjektive Schäden von Art. 82 Abs. 1 DS-GVO umfasst sind: Mit Urteil vom selben Tag (Rs. C-456/22) bejahte der EuGH die obenstehende Frage. Demnach umfasst Art. 82 Abs. 1 DS-GVO selbst rein subjektive Schäden von Betroffenen und eröffnet damit die Möglichkeit, Schadenersatz für subjektive Schäden des Betroffenen geltend zu machen.
In diesem Verfahren stellte das Gericht klar, dass Art. 82 Abs. 1 DS-GVO keine Mindesterheblichkeit für die Haftung verlangen darf. Neben den üblichen Voraussetzungen (Schaden, Verstoß gegen die DS-GVO, Kausalzusammenhang) dürfen somit keine zusätzlichen Voraussetzungen wie etwa Spürbarkeit des Nachteils oder objektive Beeinträchtigungen aufgestellt werden. Der EuGH spricht in diesem Zusammenhang von einer Bagatellgrenze und erklärt deutlich, dass Art. 82 Abs. 1 DS-GVO die Überschreitung einer solchen Grenze nicht voraussetzt, um einen Schaden ersatzfähig zu machen.
Die Urteile zeigen, dass Art. 82 Abs. 1 DS-GVO deutlich zugunsten der Betroffenen auszulegen ist, wodurch die Anforderungen für einen Schadenersatz recht niedrig gehalten sind. Voraussetzung dafür ist, dass Betroffene den Schaden auch nachweisen können. Diese Auslegung begründet der EuGH damit, dass so ein gleichmäßiges und hohes Schutzniveau natürlicher Personen bei der Verarbeitung ihrer Daten gewährleistet wird. Weiterhin argumentiert das Gericht mit der Harmonisierung der Betroffenenrechte: So würde nach Auffassung des EuGH eine Erheblichkeitsschwelle möglicherweise dazu führen, dass eben diese Erheblichkeitsschwelle von der individuellen Beurteilung des zuständigen Gerichts abhängen und somit zu unterschiedlich hohen Schwellen führen könnte. Dies würde der Harmonisierung des Datenschutzrechts, insbesondere der Betroffenenrechte im Wege stehen.
Fazit
Die oben genannten Erwägungen zeigen, wie weit der EuGH den Schadensbegriff formuliert. So wird bei Durchsicht der Urteile schnell klar, dass es nicht auf einen Mindestschaden oder eine Bagatellgrenze ankommt, ab der ein Schadenersatz begründbar ist, sondern viel mehr auf die Tatsache selbst, dass ein Schaden für Betroffene entstanden ist.
Ob dies nun für Betroffene wirklich hilfreich ist, bleibt fraglich, da es eindeutig in der Hand der Betroffenen liegt, den immateriellen oder subjektiven Schaden nachzuweisen. Das Gericht betont, dass ein bloßer Verstoß gegen die Bestimmungen der DS-GVO nicht ausreicht, um einen Schadenersatz zu begründen. Und selbst wenn ein Schaden nachgewiesen werden kann, stehen Betroffene und das zuständige Gericht vor der Herausforderung, den entstandenen Schaden zu beziffern. Dies dürfte bei immateriellen und vor allem subjektiven Schäden eine Herausforderung sein.
Über den Autor: Andreas Nanos LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Unternehmen im Speditionssektor, mittelständische Unternehmen, sowie Hochschulen und Kultureinrichtungen. Neben seiner Tätigkeit als Datenschutzbeauftragter promoviert er an der juristischen Fakultät der Karls-Universität Prag im Bereich der strafrechtlichen Verantwortung für künstliche Intelligenz. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
