Das Thema
Jeder Rechtspraktiker kennt sie: die juristische Online-Datenbank der juris GmbH, ein Unternehmen, welches sich selbst mit den Schlagworten Professionalität, Vertrauen und Transparenz bewirbt. Ein saarländischer Rechtsanwalt wollte dem offenbar nicht zustimmen und verklagte das Unternehmen auf Zahlung von Schadensersatz wegen Datenschutzverstößen. Das mit dem Sachverhalt befasste LG Saarbrücken hat u.a. zu Fragen der Schadensbemessung und Haftung für Drittverschulden ein Urteil des EuGH erwirkt.
Der Sachverhalt
Die aktuelle Entscheidung des EuGH (Urt. v. 11.04.2024 – C-741/21) hat ein Vorabentscheidungsersuchen des LG Saarbrücken zum Gegenstand, welches sich im Rahmen einer Schadensersatzklage mit Rechtsfragen in Bezug auf die DSGVO zu befassen hatte.
Der klagende Rechtsanwalt hatte seine Einwilligung in die Datenverarbeitung durch juris zum Zwecke der Direktwerbung widerrufen. Nachdem er gleichwohl weiterhin Werbeschreiben von juris erhielt, stellte er außergerichtlich eine Schadensersatzforderung. Anstelle einer Zahlung versandte juris an ihn jedoch ein weiteres Werbeschreiben. Sämtliche der in Rede stehenden Werbeschreiben enthielten jeweils einen individuellen Produktcode, bei dessen Eingabe auf der juris-Website personenbezogene Daten des Klägers automatisch in die Bestellmaske übernommen wurden.
Der Kläger hat von juris insbesondere Ersatz des immateriellen Schadens verlangt, welcher ihm durch den Verlust der Kontrolle über seine persönlichen Daten entstanden sei. Juris hat Klageabweisung beantragt. Das Unternehmen hat sich u.a. darauf berufen, dass es als Handlungsanweisung an seine Beschäftigten einen Prozess zum rechtssicheren Umgang mit Widersprüchen implementiert habe. Der Umstand, dass der Kläger trotz Widerrufs Werbeschreiben erhalten habe, sei entweder darauf zurückzuführen, dass ein Mitarbeiter weisungswidrig gehandelt habe oder dass eine Berücksichtigung des klägerischen Widerspruchs nur zu unverhältnismäßig hohen Kosten hätte erfolgen können.
Das LG hat das Verfahren ausgesetzt und dem EuGH vier Fragen zum Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO vorgelegt.
Die Entscheidung
- Die Frage des LG, ob ein immaterieller Schaden für den Betroffenen schon im bloßen Verstoß gegen eine Bestimmung der DSGVO zu erblicken sei, verneinte der EuGH. Für die Zuerkennung eines Anspruchs bedürfe es eines kausalen Schadens, der vom Betroffenen darzulegen und nachzuweisen sei. Der Verlust der Kontrolle über die trotz Widerspruchs verarbeiteten personenbezogenen Daten stelle einen solchen immateriellen Schaden dar, der zu ersetzen sei, ohne dass der Schaden einen gewissen Schweregrad erreicht haben müsse.
- Die Frage des LG, ob eine Haftungsbefreiung nach Art. 82 Abs. 3 DSGVO auf ein weisungswidriges Fehlverhalten einer dem Verantwortlichen unterstellten Person nach Art. 29 DSGVO gestützt werden könne, beantwortete der EuGH dahin, dass ein Arbeitgeber sich nicht allein mit Fahrlässigkeit oder Fehlverhalten eines Arbeitnehmers exkulpieren könne, weil er zu gewährleisten habe, dass seine Weisungen korrekt ausgeführt würden. Vielmehr trage der Verantwortliche die Beweislast dafür, dass er „in keinerlei Hinsicht“ für den Schaden verantwortlich sei. Dies gelinge nur, wenn er nachweisen könne, dass kein Kausalzusammenhang zwischen der Verletzung und dem entstandenen Schaden bestehe.
- Die Frage des LG, ob für die Bemessung des Schadensersatzes die in Art. 83 DSGVO verankerten Kriterien für die Festsetzung von Geldbußen entsprechend herangezogen werden könnten, verneinte der EuGH. Der Schadensersatznorm des Art. 82 Abs. 1 DSGVO komme keine Straf- sondern eine Ausgleichsfunktion zu. Zu ersetzen sei daher allein der konkret entstandene Schaden. Für die Ermittlung sei auf die im jeweiligen Mitgliedstaat entwickelten Bemessungskriterien abzustellen, sofern sie mit den unionsrechtlichen Grundsätzen der Effektivität und Äquivalenz in Einklang stünden.
- Auf die Frage des LG, ob der Schadensersatz höher auszufallen habe, wenn ein Verstoß mehrfach begangen wäre, verwies der EuGH auf ebendiese Begründung. Aufgrund des fehlenden Sanktionscharakters der Schadensersatznorm, könne der Umstand, dass dem Verantwortlichen mehrere Verstöße zur Last fielen, kein relevantes Kriterium für die Höhe des Anspruchs sein. Denn es gelte allein, den entstandenen Schaden auszugleichen.
Praxishinweise
Mit dem vorstehenden Urteil hat der EuGH klargestellt, dass der Schadensersatzanspruch nicht an das Überschreiten einer bestimmten Erheblichkeitsschwelle geknüpft ist. Allerdings setzt ein solchen Anspruch voraus, dass ein kausaler Schaden tatsächlich entstanden ist. Neben dem Verlust der Kontrolle über personenbezogene Daten kennt die DSGVO ausweislich ihres Erwägungsgrundes 85 noch folgende weitere Fallgruppen immaterieller Schäden:
- Rechtseinschränkungen,
- Diskriminierung,
- Identitätsdiebstahl oder -betrug,
- finanzielle Verluste,
- unbefugte Aufhebung einer Pseudonymisierung,
- Rufschädigung,
- Verlust der Vertraulichkeit von Daten, die Berufsgeheimnissen unterliegen, oder
- sonstige wirtschaftliche oder gesellschaftliche Nachteile.
Da Sinn und Zweck des Schadensersatzanspruchs nach der DSGVO allein der Ausgleich des erlittenen Schadens ist und er nicht auf Strafe oder Abschreckung abzielt, kann der Grad des Verschuldens nicht als Bemessungskriterium für die Höhe des Schadensersatzes herangezogen werden.
Für Arbeitgeber ist vor allem die aus dem Urteil folgende Erkenntnis relevant, dass sie sich mit einem weisungswidrigen Fehlverhalten von Arbeitnehmern nicht exkulpieren können. Dies dürfte jedenfalls dann gelten, wenn sie die Einhaltung ihrer Anweisungen zum korrekten Umgang mit personenbezogenen Daten nicht durch hinreichende technische und organisatorische Mittel kontrollieren und etwaige Pflichtverstöße von Mitarbeitern entsprechend sanktionieren.