Art. 82 Abs. 1 DSGVO bestimmt, dass jeder Person, der aufgrund eines Datenschutzverstoßes ein materieller oder immaterieller Schaden entstanden ist, ein Anspruch auf Schadenersatz zusteht. Bis heute ist umstritten, welche Anforderungen an den datenschutzrechtlichen Schadenersatzanspruch zu stellen sind. Reichen bereits der Datenschutzverstoß an sich und damit verbundene „Ärger“ aus oder muss die betroffene Person konkrete, nicht ganz unerhebliche Nachteile darlegen und beweisen können? Zahlreiche Gerichte hatten Klägern bei Datenschutzverstößen jüngst immer wieder einen immateriellen Schadenersatz zugesprochen, ohne eine Konkretisierung des eingetretenen Schadens zu verlangen. Zu den damit verbundenen Fragen – gerade auch im Zusammenhang mit Datenschutz-Massenverfahren – hat kürzlich der EuGH-Generalanwalt im Rahmen seiner Schlussanträge Stellung genommen.

Hintergrund der Stellungnahme

Hintergrund der Stellungnahme war ein Vorabentscheidungsersuchen des Obersten Gerichtshofes in Österreich (C-300/21). Dieser hatte im Zusammenhang mit einer Datenschutzverletzung einer Adresshändlerin u.a. gefragt, ob ein Schadenersatzanspruch gemäß Art. 82 DSGVO neben einem DSGVO-Verstoß auch einen vom Kläger tatsächlich erlittenen Schaden voraussetzt oder ob der Rechtsverstoß an sich für die Zuerkennung genügt und ob der Zuspruch eines immateriellen Schadenersatzanspruches eine für den Kläger negative Folge oder Konsequenz von zumindest einigem Gewicht verlangt.

Stellungnahme des Generalanwaltes

Der Generalanwalt hat im Rahmen seiner Schlussanträge zu dem Vorabentscheidungsersuchen u.a. Folgendes festgestellt:

• Für die Zuerkennung eines Schadenersatzes reicht der bloße Datenschutzverstoß nicht aus. Mit dem Verstoß muss immer ein tatsächlich eingetretener materieller oder immaterieller Schaden einhergehen.
• Für die Feststellung eines immateriellen Schadens genügt nicht der bloße „Ärger“ der betroffenen Person über den DSGVO-Verstoß.
• Der immateriellere Schadenersatzanspruch ist stattdessen auf „erhebliche“ Nachteile infolge eines Datenschutzverstoßes beschränkt. Vorübergehende und schwache negative Gefühlslagen oder der mit dem Datenschutzverstoß zusammenhängende „Kontrollverlust“ über personenbezogene Daten seien nicht per se ersatzfähig.
• Es ist Sache der nationalen Gerichte, selbst herauszuarbeiten, wann das subjektive Unmutsgefühl der betroffenen Person die Schwelle zum immateriellen Schaden überschreitet.

Ausblick

Es bleibt spannend, ob sich der EuGH der Rechtsauffassung des Generalanwaltes anschließen wird. Zwar folgt der EuGH erfahrungsgemäß den Schlussanträgen des Generalanwaltes. Jedoch steht die eher „unternehmensfreundliche“ Stellungnahme des Generalanwaltes nicht unbedingt im Einklang mit der grundsätzlich datenschutzfreundlichen Rechtspraxis des EuGH. Diese stellt – wie beispielweise in der bekannten Schrems II-Entscheidung – immer wieder das hohe Datenschutzniveau der DSGVO in den Vordergrund.

Sollte sich der EuGH den Schlussanträgen tatsächlich anschließen, wären künftigen Massenverfahren bei Datenschutzverstößen von Unternehmen deutliche Hürden gesetzt. Jede betroffene Person müsste ihren immateriellen Schaden dann substantiiert darlegen und gegebenenfalls auch beweisen. Es würde dann nicht mehr ausreichen, pauschal auf den oftmals unstreitigen Datenschutzverstoß zu verweisen.