In einem neuen Urteil hat der EuGH seine Rechtsprechung zur Schadensersatz-Haftung von Unternehmen bei Datenschutzverletzungen (Art. 82 DSGVO) weiter ausdifferenziert (EuGH, Urt. v. 14.04.2024 - Az.: C-741/21).
Dem EuGH war folgende Vorabentscheidung vom LG Saarbrücken vorgelegt worden: Der Kläger, ein Anwalt, wehrte sich gegen die Verarbeitung seiner personenbezogenen Daten zu Werbezwecken.
Die Beklagte, die bekannte Juris GmbH, hatte trotz ausdrücklichem Verbot die Daten des Klägers weiterhin zum Direktmarketing benutzt. Sie verteidigte sich u.a. damit, dass ein Mitarbeiter weisungswidrig Handlungen vorgenommen habe.
Daraufhin machte der Kläger entsprechende Schadensersatz-Ansprüche nach Art. 82 DSGVO geltend.
Der EuGH entschied nun mehrere wichtige Punkt.
1. DSGVO-Verletzung führt nicht automatisch zu Schadensersatz nach Art. 82 DSGVO:
Zunächst stellt der EuGH klar, dass DSGVO-Verletzungen nicht automatisch zu einem Schadensersatz-Anspruch nach Art. 82 DSGVO führen:
"Folglich reicht der Verstoß gegen Bestimmungen der DSGVO, die der betroffenen Person Rechte verleihen, für sich genommen nicht zur Begründung eines materiellen Anspruchs auf Schadenersatz nach dieser Verordnung aus, die verlangt, dass auch die beiden anderen in Rn. 34 des vorliegenden Urteils genannten Voraussetzungen dieses Anspruchs erfüllt sind.
Im vorliegenden Fall begehrt der Kläger des Ausgangsverfahrens auf der Grundlage der DSGVO Ersatz eines immateriellen Schadens, nämlich eines Verlusts der Kontrolle über seine trotz seines Widerspruchs verarbeiteten personenbezogenen Daten, ohne nachweisen zu müssen, dass dieser Schaden einen gewissen Schweregrad überschritten hat.
Insoweit ist darauf hinzuweisen, dass der 85. Erwägungsgrund der DSGVO ausdrücklich den „Verlust der Kontrolle“ zu den Schäden zählt, die durch eine Verletzung personenbezogener Daten verursacht werden können. Ferner hat der Gerichtshof entschieden, dass der – selbst kurzzeitige – Verlust der Kontrolle über solche Daten einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 dieser Verordnung darstellen kann, der einen Schadenersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat (vgl. in diesem Sinne Urteil vom 25. Januar 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, Rn. 66 und die dort angeführte Rechtsprechung)."
2. Handlungen des eigenen Mitarbeiters sind Unternehmen zuzurechnen:
Ein Unternehmen kann sich nicht damit exkulpieren, dass ein Mitarbeiter weisungswidrig gehandelt hat und dadurch die Datenschutzverletzungen eingetreten sind:
"Für eine mögliche Befreiung des Verantwortlichen – nach Art. 82 Abs. 3 DSGVO – von seiner Haftung kann es daher nicht ausreichen, dass er nachweist, dass er den ihm im Sinne von Art. 29 dieser Verordnung unterstellten Personen Weisungen erteilt hat und dass eine dieser Personen ihrer Verpflichtung, diese Weisungen zu befolgen, nicht nachgekommen ist und sie damit zum Eintritt des in Rede stehenden Schadens beigetragen hat.
Könnte sich der Verantwortliche von seiner Haftung befreien, indem er sich lediglich auf das Fehlverhalten einer ihm unterstellten Person beruft, würde dies nämlich, wie das vorlegende Gericht im Wesentlichen ausgeführt hat, die praktische Wirksamkeit des in Art. 82 Abs. 1 DSGVO verankerten Anspruchs auf Schadenersatz beeinträchtigen, was nicht im Einklang mit dem Ziel dieser Verordnung stünde, ein hohes Schutzniveau für natürliche Personen bei der Verarbeitung ihrer personenbezogenen Daten zu gewährleisten.
Nach alledem ist auf die zweite Frage zu antworten, dass Art. 82 DSGVO dahin auszulegen ist, dass es für eine Befreiung des Verantwortlichen von seiner Haftung nach Art. 82 Abs. 3 dieser Verordnung nicht ausreicht, dass er geltend macht, dass der in Rede stehende Schaden durch ein Fehlverhalten einer ihm im Sinne von Art. 29 der Verordnung unterstellten Person verursacht wurde."
Der EuGH trifft bedauerlicherweise keinerlei Aussagen, was der Unternehmen hätte machen müssen, damit die Mitverantwortlichkeit nicht eintritt.
3. Keine analoge Anwendung von Art. 83 DSGVO zur Bestimmung der Schadensersatzhöhe:
In Art. 83 DSGVO stellt das Gesetz für die Verhängung von Geldbußen bestimmte Kriterien auf. Hier stellte sich nun die Frage, ob diese Kriterien möglicherweise analog auch bei der Ermittlung der Schadensersatz-Höhe herangezogen werden könnten.
Dem hat der EuGH eine klare Absage erteilt:
"Angesichts der Unterschiede im Wortlaut und in der Zielsetzung, die zwischen Art. 82 DSGVO im Licht des 146. Erwägungsgrundes dieser Verordnung und ihrem Art. 83 im Licht ihres 148. Erwägungsgrundes bestehen, kann daher (…) nicht davon ausgegangen werden, dass die in Art. 83 DSGVO speziell angegebenen Bemessungskriterien im Rahmen von Art. 82 DSGVO entsprechend anwendbar sind. (…)
Angesichts dessen, dass Art. 82 DSGVO keine Straf‑, sondern eine Ausgleichsfunktion hat (…), kann sodann der Umstand, dass der Verantwortliche mehrere Verstöße gegenüber derselben betroffenen Person begangen hat, nicht als ein relevantes Kriterium für die Bemessung des dieser Person gemäß Art. 82 dieser Verordnung zu gewährenden Schadenersatzes herangezogen werden. Um den Betrag der als Ausgleich geschuldeten finanziellen Entschädigung festzulegen, ist nämlich allein der von dieser Person konkret erlittene Schaden zu berücksichtigen.
Folglich ist auf die dritte und die vierte Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass zur Bemessung des Betrags des auf diese Bestimmung gestützten Anspruchs auf Schadenersatz zum einen die in Art. 83 dieser Verordnung vorgesehenen Kriterien für die Festsetzung des Betrags von Geldbußen nicht entsprechend anzuwenden sind und zum anderen nicht zu berücksichtigen ist, dass die Person, die Schadenersatz verlangt, von mehreren Verstößen gegen die Verordnung betroffen ist, die sich auf denselben Verarbeitungsvorgang beziehen."