Sanktionen nach der DS-GVO - 24. Oktober 2024

Auf dem Weg zu Rechtsklarheit

Der Europäische Gerichtshof hat mit einer jüngeren Entscheidung nun für erste Klarstellungen gesorgt, welche Schadenersatzansprüche bei einem datenschutzrechtlichen Verstoß bestehen.

In seinem ersten Urteil zu Art. 82 der Datenschutz-Grundverordnung (DS-GVO) hat der Europäische Gerichtshof (EuGH) grundlegende Diskussionspunkte geklärt, aber noch nicht jede Detailfrage zum Schadenersatzanspruch (Urteil vom 04.05.2023, Rs. C-60/22). Bereits in dieser ersten Entscheidung hat der EuGH grundlegende Fragen geklärt und vor allem klargestellt, dass allein eine Rechtsverletzung nicht für einen Schadenersatzanspruch und ebenso wenig für einen Schmerzensgeldanspruch genügt. Das bedeutet aber, dass die Justiz nicht mehr darauf verzichten kann, sich mit der Darlegung und dem Beweis eines Schadens und damit also eines tatsächlich erlittenen Schmerzes zu befassen. In weiteren Entscheidungen hat der EuGH seine Rechtsprechung auf dieser Linie vertieft (Urteil vom 14.12.2023, C-340/21; Urteil vom 14.12.2023, C-456/22; Urteil vom 21.12.2023, C-667/21; Urteil vom 25.01.2024, C-687/21; Urteil vom 11.04.2024, C-741/21; Urteil vom 20.06.2024, C-182/22 und C-189/22; Urteil vom 20.06.2024, C-590/22).

Erheblichkeitsschwelle und Bagatellgrenze

Auch mit der sogenannten Erheblichkeitsschwelle beziehungsweise Bagatellgrenze hat sich der EuGH befasst. Dabei hat er der Annahme, dass per se das Überschreiten einer Bagatellgrenze gefordert werden darf, eine Absage erteilt. Das bedeutet aber zunächst nur, dass die Rechtsprechung darauf nicht pauschal und zur Vereinfachung der Entscheidung abstellen darf. Zum Teil wurde deshalb befürchtet, dass die Schadenersatzansprüche überhandnehmen. Denn mit dieser Bagatellgrenze hatte die deutsche Rechtsprechung für immaterielle Schäden, also Schmerzensgeld, ein gewisses Anforderungsniveau geschaffen. Die weitere Rechtsprechung des EuGH machte deutlich, dass die anspruchstellende Person einen immateriellen Schaden – einen Schmerz – konkret darlegen muss und sich nicht nur abstrakt auf einen Kontrollverlust oder Ähnliches berufen kann. Sowohl die Rechtsanwältinnen und Rechtsanwälte als auch die Gerichte müssen diesem Vortrag Aufmerksamkeit widmen, um einen immateriellen Schaden begründen zu können.

Missbrauch verhindern

Dies kann dazu führen, dass die Gerichte – auch ohne pauschale Bagatellgrenze – zu dem Ergebnis kommen, dass durch den Datenschutzverstoß kein Schmerz eingetreten ist. Denn erstens ist ein solcher nach Art. 82 DS-GVO Tatbestandsvoraussetzung und zweitens trägt der Anspruchsteller dafür die Darlegungs- und Beweislast. Einem Gericht ist es folglich unbenommen, zu dem Ergebnis zu kommen, dass ein Anspruchsteller diesen Darlegungs- und Beweisanforderungen nicht genügt hat. Das klingt ein bisschen nach Rückgriff auf die Bagatellgrenze – vielleicht entfaltet dies aber auch eine entsprechende Wirkung gegen den Missbrauch von Schadenersatzansprüchen.

Schmerzensgeldtabelle

Die deutsche Justiz hat das bereits auch überwiegend aufgegriffen und fordert vom Anspruchsteller die Darlegung eines immateriellen Schadens – bildlich gesprochen: seines Schmerzes infolge der Datenschutzverletzung. Konkretere oder einheitliche Kriterien beziehungsweise gar eine Schmerzensgeldtabelle, wie man sie beispielsweise im Bereich von Körperverletzungen kennt, haben sich jedoch noch nicht herausgebildet. Daher sind die Anforderungen der Rechtsprechung an die Darlegung eines solchen Datenschutz-Schmerzes noch recht uneinheitlich. Das bedeutet, dass weder eine pauschale Bagatellgrenze besteht noch per se ein Schmerz angenommen oder dieser gar anhand anderer Kriterien als dem Schmerz als solchem in Geld bemessen werden kann. Dies ist mangels Erfahrungswerten in der Justiz sicherlich eine Herausforderung für die Rechtsanwälte, die sich mit einem entsprechenden Rechtsstreit befassen müssen.

Bemessung des Schadenersatzes

Für die Praxis ebenso bedeutsam war, dass der EuGH einer Bemessung des Schadenersatzes anhand von Strafkriterien ebenfalls eine Absage erteilt hat. Weder die Kriterien des Art. 83 DS-GVO (Bußgeldbestimmung) noch general- oder spezialpräventive Abschreckungsüberlegungen dürfen herangezogen werden (zuletzt Urteil vom 20.06.2024, C-590/22). Allein das Maß des Schadens – also auch des Schmerzes – ist für die Bemessung entscheidend. Das entspricht dem deutschen Schadenersatzrecht, das durch den Kompensationsgedanken geprägt ist. Die weitere Rechtsprechung des EuGH machte deutlich, dass die anspruchstellende Person einen immateriellen Schaden – einen Schmerz – konkret darlegen muss und sich nicht nur abstrakt auf einen Kontrollverlust oder Ähnliches berufen kann. Danach soll der durch das schädigende Ereignis entstandene Nachteil ausgeglichen werden, die geschädigte Person aber wegen des schädigenden Ereignisses nicht wirtschaftlich bessergestellt werden.

Ausreißerentscheidungen

Leider kommt es in diesem Zusammenhang immer wieder zu sogenannten Ausreißerentscheidungen, die unter Bezugnahme auf den Erwägungsgrund 146 der DS-GVO generalpräventive Aspekte, also eine Abschreckung gegenüber anderen Rechtsverletzern, heranziehen. Die deutsche Justiz wird sich insoweit entsprechend der EuGH-Rechtsprechung weiter einpegeln müssen. In einer Gesamtbetrachtung hat sich der EuGH den Kernfragen unter Würdigung der verschiedenen Aspekte genähert. Einen immateriellen Schadenersatz (Schmerzensgeld) gibt es nur für konkrete immaterielle Schäden (Schmerzen), ohne dass die Justiz eine konkrete Bewertung abkürzen kann – weder durch Verzicht auf die Feststellung eines solchen Schmerzes oder die Ersetzung dieser Feststellung durch ein Abstellen auf strafende beziehungsweise abschreckende Aspekte noch durch die Annahme einer pauschalen Bagatellgrenze beziehungsweise Erheblichkeitsschwelle.

Rechtsprechung zum Schadenersatzanspruch

Die Streitigkeiten und Auslegungsprobleme mit Blick auf Schadenersatzansprüche sind damit jedoch noch nicht beendet. Vor allem aber sind noch nicht alle Fragen geklärt. So verwundert es nicht, dass beim EuGH noch eine Mehrzahl an Verfahren zur Auslegung und Anwendung des Art. 82 DS-GVO anhängig ist mit der Folge, dass zu den offenen Fragen weitere Konkretisierungen zu erwarten sind. Parallel dazu beschäftigen auch neue Ansätze zur Bemessung die Gerichte. So hat beispielsweise jüngst ein Gericht auf eine fiktive Lizenzgebühr in Anlehnung an die Rechtsprechung zum Gewerblichen Rechtsschutz abgestellt. Daran wird erkennbar, dass die Thematik nicht auf die leichte Schulter genommen werden darf. Denn hier besteht eine Gemengelage aus unionsrechtlich auszulegenden Datenschutzbestimmungen, einer Hilflosigkeit bei der Bemessung eines erlittenen Schmerzes mangels etablierter Rechtsprechung sowie dem Judiz, also einem spezifischen juristischen Urteilsvermögen der Gerichte, das durch die bisherige deutsche Rechtsprechung geprägt ist. Aber nicht jede Entscheidung des EuGH, die ihren Aufhänger in Art. 82 DS-GVO hat, führt zu einer Konkretisierung dieses Artikels. So haben die Entscheidungen vom 14. Dezember 2023 und 25. Januar 2024 vielmehr Fragen zum Risikomanagement und der Sicherheit der Verarbeitung behandelt und neu geformt.

Schadenersatzanspruch und Geldbuße

In der Praxis muss natürlich damit gerechnet werden, dass jeder Verstoß gegen die DS-GVO in einen Schadenersatzanspruch mündet. Ein derartiger Schmerzensgeldanspruch ist bei einer einzelnen betroffenen Person als Anspruchsteller zwar ärgerlich, aber nicht so tragisch wie ein Verstoß, bei dem eine Vielzahl von Personen betroffen ist und alle den Anspruch potenziell geltend machen können. Dadurch kann der Fall eine erheblich größere Dimension annehmen als nur eine Geldbuße durch die Aufsichtsbehörde. Hier droht dann die Kombination von Schadenersatzanspruch und Geldbuße infolge des behördlichen Verfahrens. Nicht wenige Anspruchsteller drohen regelmäßig damit, die Aufsichtsbehörde einzuschalten, sofern sie dies nicht bereits getan haben, damit die Behörde den Sachverhalt aufklärt und dem Anspruchsteller die Begründung seines Schadenersatzanspruchs erleichtert. Insoweit muss man taktisch geschickt agieren und dabei das Verhalten der Behörde ausloten, um eventuell zu einer Art Anrechnung des Schadenersatzes auf die Geldbuße zu kommen.

Auskunftsansprüche

Wird durch die betroffene Person ein Auskunftsanspruch zur Vorbereitung des Schadenersatzanspruchs geltend gemacht, ergibt sich ein weiteres Risiko. Einerseits besteht die Gefahr der Offenlegung von Informationen zugunsten des Anspruchstellers und andererseits kann das Nichterteilen oder die nicht vollständige beziehungsweise nicht rechtzeitige Erteilung der Auskunft wieder Ansatzpunkt für einen weiteren Schadenersatzanspruch sein. Hier muss zwingend mit Weitblick agiert beziehungsweise reagiert werden. Allein deshalb darf die Erteilung der Auskunft nämlich nicht verweigert werden, wie die Rechtsprechung klargestellt hat.

Ausreden

Schließlich ergibt sich aus der DS-GVO noch das große Risiko, dass eine unüberlegte Ausrede zur Stolperfalle wird. Denn in der Praxis ist immer wieder anzutreffen, dass die Argumentation zur Abwehr des ursprünglichen Anspruchs zugleich das Geständnis eines weiteren, anderen Verstoßes ist. Dies kann dann zu einem weiteren Schadenersatzanspruch führen. Dieses Risiko ergibt sich aus der sich selbst absichernden Gestaltung der DS-GVO. Vereinfacht gesagt, ist jede Zulässigkeitsregelung der DS-GVO (vgl. Art. 6 DS-GVO) sowohl durch Dokumentationspflichten (vgl. Art. 5 DS-GVO) als auch durch Transparenzpflichten (vgl. Art. 13 und 14 DS-GVO) abgesichert. Jede Handlungspflicht (vgl. Art. 15 sowie Art. 13 und 14 DS-GVO) ist durch eine Organisationspflicht (vgl. Art. 12 DS-GVO) abgesichert.

Fazit

Generell zeigt sich, dass die Verteidigung gegen Schadenersatzansprüche gute Kenntnisse der DS-GVO und der Rechtsprechung des EuGH erfordert. Denn diese Ansprüche sind anders normiert als ein Schadenersatzanspruch nach dem BGB. Festzuhalten ist zudem, dass der EuGH weiterhin bestrebt ist, für mehr Rechtssicherheit zu sorgen und die offenen Fragen hinsichtlich Anwendung und Auslegung von Schadenersatzansprüchen sukzessive zu lösen. Dadurch werden aber die Risiken aufgrund von potenziellen Verstößen gegen die DS-GVO nicht geringer.

MEHR DAZU

Seminare und Beratungen zum Datenschutz finden Sie unter go.datev.de/datenschutz-angebote

Kompaktwissen Beratungspraxis: „Datenschutzrecht für Berater (StB, RA, WP)“, 2. Auflage

Zum Autor

JE
Dr. Jens Eckhardt

Rechtsanwalt und Fachanwalt für IT-Recht, Datenschutz-Auditor (TÜV), Compliance Officer (TÜV) und IT-Compliance Manager (TÜV) in der Kanzlei Eckhardt Rechtsanwälte Partnerschaft mbB in Düsseldorf

Weitere Artikel des Autors