Liebe Leserinnen und Leser,
herzlich willkommen zu einem weiteren Ausflug in die aktuellen und spannenden Fragen des Datenschutzrechts.
Heute befassen wir uns mit einer Entscheidung des Bundesverfassungsgerichts (BVerfG), welches ein Urteil des Amtsgerichts (AG) Goslar aufgehoben hat. Warum soll das relevant sein?
Es geht um die – auch praktisch hochrelevante – Frage, ob die Schadensersatzpflicht bei Datenschutzverstößen von einer Erheblichkeit der Verletzung abhängt oder nicht. Ganz praktisch also darum, ob die betroffene Person bei jedem Datenschutzverstoß sofort Schadensersatz verlangen darf oder erst, wenn der Datenschutzverstoß eine gewisse Erheblichkeit erreicht hat.
Wieso ist diese Frage streitig? Was bedeutet überhaupt Erheblichkeit? Und was ist überhaupt dieser Schadensersatz aus der DSGVO? Gute Fragen, mit denen wir uns nun beschäftigen wollen. Viel Spaß beim Lesen.
Nun erstmal der Reihe nach
Es geht in diesem Blogbeitrag um den Schadensersatzanspruch, den eine betroffene Person hat, wenn ihr Recht auf Datenschutz verletzt wurde. Dieser Anspruch auf Schadenersatz steht in Art. 82 DSGVO:
„(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen […].“
Von einem immateriellen Schaden sprechen Jurist*innen dann, wenn es bei dem Geschädigten zu keiner finanziellen Einbuße kam, er aber dennoch in seiner Rechtssphäre verletzt ist. Das ist zum Beispiel der Fall, wenn das Persönlichkeitsrecht durch ehrverletzende Äußerungen geschädigt ist. Im Volksmund wird der immaterielle Schadensersatz oft als „Geldentschädigung“ oder „Schmerzensgeld“ bezeichnet.
Mit dem immateriellen Schadensersatz nach der DSGVO sollen negative Folgen für die Persönlichkeitssphäre, die durch einen Datenschutzverstoß entstehen, ausgeglichen werden.
Im deutschen Recht werden immaterielle Schäden nur erstattet, wenn das Gesetz dies ausdrücklich vorsieht. Das kann – bekannt als klassisches Schmerzensgeld – nach einer Körperverletzung sein, Entschädigung für entgangene Urlaubsfreuden, wenn den halben Tag der Presslufthammer vor dem Hotel dröhnt, oder auch Schadenersatz für unerlaubt veröffentlichte Fotografien. Dabei sind die Gerichte in Deutschland in derartigen Fällen tendenziell zurückhaltend.
Immateriellen Schadenersatz gibt es zumeist nur, wenn der Verstoß eine gewisse Erheblichkeitsschwelle überschreitet und auch dann ist die Höhe des Schadenersatzes eher überschaubar. Ein nicht spürbarer, unerheblicher Verstoß führt im deutschen Recht also in der Regel nicht dazu, dass ein Schmerzensgeld gezahlt werden müsste.
Was verlangt die DSGVO?
Soweit also die deutsche Rechtslage. Nun sind wir aber nicht im deutschen Recht, sondern in der europäischen DSGVO. Und die DSGVO kann andere Voraussetzungen für den immateriellen Schadensersatz aufstellen, an die die deutsche Juristerei so nicht gewöhnt ist.
Schauen wir uns nochmal die Vorschrift des Art. 82 DSGVO an:
„(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“
Eine Erheblichkeitsschwelle sehen wir im Wortlaut dieser Vorschrift nicht. Ob dennoch eine solche Erheblichkeitsschwelle in Art. 82 DSGVO hineingelesen werden muss, damit befassen sich Jurist*innen zurzeit.
Das AG Goslar (Az. 28 C 7/19) gelangt – wie auch einige andere Amts- und Landgerichte zuvor – zur Auffassung: Ja, immateriellen Schadensersatz gibt es nur bei erheblichen Verstößen gegen die DSGVO. Im Fall, den das AG zu entscheiden hatte, ging es um den Versand einer einzelnen, klar gekennzeichneten Werbemail zu normalen Tageszeiten. Das ist zwar ein Verstoß gegen die DSGVO, aber für einen immateriellen Schadensersatz sei dies nicht erheblich genug, so das Gericht.
Ist die Frage damit nicht geklärt?
Die DSGVO enthält keine glasklare und unmissverständliche Aussage darüber, ob ein Schadensersatz von einer Erheblichkeitsschwelle abhängig ist oder nicht. Mit guten Argumenten – die wir uns unten noch näher anschauen wollen – können beide Ergebnisse gut vertreten werden.
Wenn man europäisches Recht verschieden auslegen kann und diese unterschiedlichen Auslegungen auch tatsächlich zu einem Unterschied bei der Beantwortung der Streitfrage führen, dann darf nicht einfach das Amtsgericht diese Auslegung vornehmen. Stattdessen muss das Gericht sein Verfahren aussetzen und die Frage, welche Auslegung des EU-Rechts denn die Richtige ist, dem Europäischen Gerichtshof (EuGH) vorlegen.
Im eigentlichen Verfahren wird dann auf Pause gedrückt und ein Vorabentscheidungsverfahren des EuGH nach Art. 267 AEUV findet statt – normalerweise.
Das AG Goslar hat, wie auch die anderen Gerichte, die bereits zum Schadenersatz nach Art. 82 DSGVO entschieden haben, die Frage, ob die DSGVO für Schadensersatzansprüche eine Erheblichkeit voraussetzt, jedoch nicht dem EuGH vorgelegt. Stattdessen hat das AG Goslar selbst die DSGVO interpretiert und ausgelegt und kam zu dem Ergebnis, dass die DSGVO eine Erheblichkeit voraussetze.
Konsequenz, wenn ein vorlagepflichtiges Gericht nicht vorlegt
Die Prozessparteien können ein Gericht nicht dazu zwingen, eine streiterhebliche Frage dem EuGH zur Entscheidung vorzulegen. Und nun?
Wenn ein deutsches Gericht selbst über Unionsrecht entscheidet, statt die offene Rechtsfrage dem EuGH vorzulegen – der nunmal für EU-Recht zuständig ist – kann dies eine Verletzung eines Grundrecht darstellen. Den Prozessparteien wird nämlich ihr gesetzlicher Richter entzogen, den Art. 101 GG garantiert. In solchen Fällen kann Verfassungsbeschwerde beim Bundesverfassungsgericht erhoben werden und genau das hat der vor dem Amtsgericht Goslar unterlegene Kläger getan.
Das Bundesverfassungsgericht (Az. 1 BvR 2853/19) hob das Urteil des AG Goslar auf und machte deutlich:
„Dieser Geldentschädigungsanspruch ist in der Rechtsprechung des [EuGH] weder erschöpfend geklärt noch kann er in seinen einzelnen, für die Beurteilung des im Ausgangsverfahrens vorgetragenen Sachverhalts notwendigen Voraussetzungen unmittelbar aus der DSGVO bestimmt werden. […] Dies gilt umso mehr, als Art. 82 DSGVO ausdrücklich immaterielle Schäden einbezieht.
bb) Die angegriffene Entscheidung zeigt, dass das Amtsgericht die Problematik der Auslegung des Art. 82 Abs. 1 DSGVO durchaus gesehen hat. Es hat sodann aber verfassungsrechtlich relevant fehlerhaft eine eigene Auslegung des Unionsrechts vorgenommen, indem es sich für die Ablehnung des Anspruchs auf ein Merkmal fehlender Erheblichkeit gestützt hat, das so weder unmittelbar in der DSGVO angelegt ist, noch von der Literatur befürwortet oder vom [EuGH] verwendet wird.“ (Rn 24 f)
Das AG Goslar hat also durch Nichtvorlage das Recht auf den gesetzlichen Richter verletzt, das Urteil musste aufgehoben werden. Damit liegt der Ball jetzt wieder beim AG Goslar, das die Frage, ob ein immaterieller Schadensersatz vorliegend gegeben ist, nun erneut – unter Berücksichtigung des BVerfG-Urteils – entscheiden muss. Wenn das AG Goslar dabei erneut die Frage einer Erheblichkeitsschwelle in Art. 82 DSGVO für die Entscheidung für relevant hält, muss das Amtsgericht die Frage dem EuGH vorlegen – oder aber die Berufung gegen seine Entscheidung zulassen. Vorlagepflichtig ist nämlich nur das letztinstanzliche Gericht.
Früher oder später wird der EuGH jedenfalls zu dieser Frage (abschließend) Stellung beziehen.
Und wie ist das nun? Verlangt der DSGVO-Schadensersatz eine Erheblichkeit?
Diese Frage wird wohl bald in Luxemburg am Sitz des EuGH zur Debatte stehen. Es gibt gute Argumente für und gegen eine solche Erheblichkeitsschwelle, was eine sichere Prognose der Entscheidung des EuGH schwierig macht.
Deshalb wollen wir uns hier vor allem die Argumente ansehen, die von Befürwortern und Kritikern einer solchen Erheblichkeitsschwelle vorgebracht werden.
Gegen eine Erheblichkeitsschwelle:
Gegen eine Erheblichkeitsschwelle spricht vor allem der Zweck der DSGVO. Mit der DSGVO wollte die EU endlich ein durchsetzungsfähiges und effektives Datenschutzregime schaffen. Datenschutz sollte seitens der Verantwortlichen ernst genommen und nicht mit „Da passiert doch eh nichts“ abgetan werden. Teil dieser Strategie: Umfassende und einschneidende Betroffenenrechte, wenn der Datenschutz missachtet wird. (vgl. Quaas, in: BeckOK Datenschutzrecht, Art. 82 Rn. 31 ff)
Anhaltspunkt für diese Auslegung ist etwa Erwägungsgrund 146 zur DSGVO. Satz 3 dieses Erwägungsgrundes lautet:
„Der Begriff des Schadens sollte im Lichte der Rechtsprechung des [EuGH] weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht.“
Der Erwägungsgrund 146 legt damit nahe, dass der Schadensersatz für immaterielle Schäden weit auszulegen ist. Schadensersatz soll nicht nur dem Ausgleich erlittener Schäden dienen, sondern auch einen Abschreckungseffekt beim Verantwortlichen erzielen. (vgl. Kühling/Buchner, in: DS-GVO BDSG, Art. 82 R. 18a)
Ferner wird auch Satz 6 des Erwägungsgrundes gegen eine Erheblichkeitsschwelle vorgebracht:
„Die betroffenen Personen sollten einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten.“
„Vollständig und wirksam“ bedeute, dass auch immaterieller Schadensersatz ohne erhebliche Restriktionen gewährt werde. (vgl. Gola, in: Gola, Datenschutz-Grundverordnung, Art. 82 R. 13)
Einige gute Argumente sprechen deshalb dagegen, immateriellen Schadensersatz erst bei Überschreiten einer Erheblichkeitsschwelle zu gewähren.
Für eine Erheblichkeitsschwelle:
Aber auch die Befürworter einer Erheblichkeitsschwelle bringen schlüssige Argumente vor.
Zunächst wird der Ansatz, der immaterielle Schadensersatz solle Unternehmen vor Datenschutzverstößen abschrecken, abgelehnt. Denn die Abschreckungswirkung ordne die DSGVO der Geldbuße des Art. 83 DSGVO zu, nicht dem Schadensersatz. Die Geldbuße soll also im System der DSGVO die Sanktion und Abschreckung sein, nicht der Schadensersatz. (RA Tim Wybitul auf LinkedIn)
Auch Erwägungsgrund 85 spreche für eine Erheblichkeitsschwelle. Satz 1 lautet:
„Eine Verletzung des Schutzes personenbezogener Daten kann – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, […] oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person.“ (Hervorhebung durch den Autoren)
Es reicht der DSGVO also offenkundig nicht aus, dass ein Datenschutzverstoß erfolgt ist. Schutz will die DSGVO insbesondere dort entfalten, wo durch den Datenschutzverstoß negative Folgen mit einer gewissen Erheblichkeit entstanden sind. Schadensersatz für jeden Verstoß unabhängig einer solchen Erheblichkeit könnte diesem DSGVO-Gedanken entgegenlaufen. (RA Tim Wybitul auf cr-online.de)
Auch Erwägungsgrund 146, den wir uns vorhin schonmal als Argument gegen eine Erheblichkeitsschwelle angesehen haben, kann auch als Argument für eine Erheblichkeitsschwelle gelesen werden. Rufen wir uns Satz 6 noch einmal in Erinnerung:
„Die betroffenen Personen sollten einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten.“ (Hervorhebung durch den Autoren)
Das Tatbestandsmerkmal „erlitten“ dürfe man nicht einfach unterschlagen. Wenn eine Datenschutzverletzung nicht dazu führt, dass die betroffene Person einen Schaden erleidet, dann soll hieraus auch kein Schadensersatz entstehen. (RA Tim Wybitul auf cr-online.de)
Auch steht das Argument im Raum, dass durch den Verzicht auf eine Erheblichkeitsschwelle die Unterscheidung zwischen Verletzung und Schaden verwischt wäre. Damit wäre ein Grundprinzip des Rechts aus den Angeln gehoben: Zwischen schädigendem Ereignis und Schaden muss differenziert werden. Verständlich wird das am Beispiel Autounfall. Das schädigende Ereignis ist der Unfall, der Schaden jedoch sind die Reparaturkosten.
Auf das Datenschutzrecht gedacht würden Datenschutzverstoß und Schaden gleichgesetzt werden, wenn auf eine Erheblichkeitsschwelle verzichtet werden würde. Denn der Schaden würde damit gleichgesetzt, dass es zu einem Datenschutzverstoß kam. (Veil auf cr-online.de)
Wir finden also auch für die Erheblichkeitsschwelle gute Argumente.
Ergebnis: Für beide Seiten streiten gute Argumente
Sowohl für als auch gegen eine Erheblichkeitsschwelle beim Schadenersatz nach Art. 82 DSGVO sprechen also gute Argumente, die in sich geschlossen und sinnvoll sind. Es ist Aufgabe des EuGH, diese Rechtsfrage zu entscheiden.
Mit der Entscheidung des Bundesverfassungsgerichts ist eine solche Entscheidung des EuGH auch erheblich näher gerückt. Das nächste Gericht, das eine Erheblichkeitsschwelle – ob gegeben oder nicht – für entscheidungsrelevant hält, wird die Frage dem EuGH vorlegen müssen. Ob Schadensersatz nur verlangt werden kann, wenn die Datenschutzverletzung eine gewisse Erheblichkeitsschwelle überschreitet, bleibt also eine spannende Rechtsfrage mit sehr praktischer Auswirkung.
Wir halten auf jeden Fall im Blick, wie die Diskussion und gerichtliche Klärung weiter verlaufen wird und informieren Sie wie gewohnt an dieser Stelle.
Bis dahin, bleiben Sie gesund und munter!
[…] Immaterieller Schadensersatz bei Datenschutzverstößen nur bei Erheblichkeit? – Waru…Quelle: blog dierks-digital-recht > RA Tobias Hinderks […]