EuGH, Urt. 20.6.2024 - C-590/22
Bemessungskriterien für Schadensersatz gem. Art. 82 DSGVO
Autor: RA Markus Rössel, LL.M. (Informationsrecht), Köln
Aus: IT-Rechtsberater, Heft 08/2024
Aus: IT-Rechtsberater, Heft 08/2024
Das nationale Recht kann eine Entschädigung zusprechen, die höher ist als der in Art. 82 Abs. 1 DSGVO vorgesehene vollständige und wirksame Schadenersatz, wenn dieser Ersatz wegen Verstoßes auch gegen nationales Recht, das sich auf den Schutz personenbezogener Daten ohne intendierte Präzisierung der DSGVO bezieht, nicht als ausreichend oder angemessen angesehen würde.
DSGVO Art. 82 Abs. 1, Art. 83
Nicht zwingender Nachweis des Missbrauchs: Der unionsautonome weite Begriff des immateriellen Schadens i.S.v. Erwgrd. 85, 146 DSGVO und das intendierte hohe Schutzniveau erlaubten, dass die durch einen DSGVO-Verstoß ausgelöste Befürchtung einer nicht nachgewiesenen missbräuchlichen Datenverwendung einen Schaden darstellen könne (Rz. 31 f. m.w.N.).
Nachweis der Folgen negativer Gefühle: Der – selbst kurzzeitige – Datenkontrollverlust könne einen Schaden darstellen, sofern das tatsächliche Erleiden eines noch so geringfügigen, über den DSGVO-Verstoß hinausgehenden Schadens nachgewiesen werde. Daher reiche die bloße Befürchtung einer Drittweitergabe aus, sofern diese Befürchtung samt ihren negativen Folgen ordnungsgemäß nachgewiesen sei (Rz. 33–36 m.w.N.; Ls. 2).
Keine Ersatzbemessung nach Bußgeldkriterien: Die Bemessungskriterien richteten sich mangels Unionsrechts vorbehaltlich des Äquivalenz- und Effektivitätsgrundsatzes nach nationalem Recht. Wegen unterschiedlicher Ziele von Art. 82 DSGVO, Erwgrd. 146 und Art. 83 DSGVO, Erwgrd. 148 seien trotz gegenseitiger Ergänzung zur Einhaltung der DSGVO die Bemessungskriterien gem. Art. 83 DSGVO i.R.v. Art. 82 DSGVO nicht entsprechend anwendbar (Rz. 38 ff., 43 f. m.w.N.; Ls. 3 Halbs. 1).
Keine Präventionsfunktion: Art. 82 DSGVO erfülle keine abschreckende oder gar Straffunktion, so dass sich das Verstoßgewicht auf die Ersatzhöhe nicht auswirke. Angesichts der Ausgleichsfunktion (Erwgrd. 146 Satz 6 DSGVO) sei die Geldentschädigung „vollständig und wirksam“, wenn sie den konkreten Schaden ohne Strafcharakter voll ausgleiche (Rz. 41 f., 44 m.w.N.; Ls. 3 Halbs. 2).
Ersatzerhöhung durch nationales Recht: Nach Art. 82 Abs. 1 DSGVO seien bei der Schadensbemessung zugleich verwirklichte Verstöße gegen nationale Vorschriften, bspw. des Berufsrechts der Steuerberater, nicht zu berücksichtigen, „die sich auf den Schutz personenbezogener Daten beziehen“, aber – etwa wegen Erlasses vor Inkrafttreten der DSGVO nicht ihre i.S.v. Erwgrd. 146 Satz 5 DSGVO erfasste – Präzisierung bezwecken. Das nationale Recht könne aber einen höheren Ersatz als einen i.S.v. Art. 82 Abs. 1 DSGVO vorsehen, wenn er wegen solcher Verstöße „nicht als ausreichend oder angemessen angesehen würde“ (Rz. 46–50; Ls. 4).
DSGVO Art. 82 Abs. 1, Art. 83
Das Problem
Eine Steuerberaterkanzlei nutzte für die Zusendung der Steuererklärung nicht die im EDV-System hinterlegte neue Anschrift der Mandanten, sondern veraltete Daten. Die neuen Bewohner an der früheren Adresse hatten den Briefumschlag geöffnet, ihre Kenntnisnahme vom weiteren Inhalt und ein partieller Dokumentenverlust wurden jedoch nicht nachgewiesen. Die Mandanten machen wegen der Datenweitergabe 15.000 € Schadensersatz gem. Art. 82 Abs. 1 DSGVO geltend.Die Entscheidung des Gerichts
Anspruchsvoraussetzungen: Der Anspruchsteller müsse einen durch einen DSGVO-Verstoß verursachten materiellen oder immateriellen Schaden nachweisen, ohne dass es auf das Schadensgewicht ankomme (Rz. 22–28 m.w.N.; Ls. 1).Nicht zwingender Nachweis des Missbrauchs: Der unionsautonome weite Begriff des immateriellen Schadens i.S.v. Erwgrd. 85, 146 DSGVO und das intendierte hohe Schutzniveau erlaubten, dass die durch einen DSGVO-Verstoß ausgelöste Befürchtung einer nicht nachgewiesenen missbräuchlichen Datenverwendung einen Schaden darstellen könne (Rz. 31 f. m.w.N.).
Nachweis der Folgen negativer Gefühle: Der – selbst kurzzeitige – Datenkontrollverlust könne einen Schaden darstellen, sofern das tatsächliche Erleiden eines noch so geringfügigen, über den DSGVO-Verstoß hinausgehenden Schadens nachgewiesen werde. Daher reiche die bloße Befürchtung einer Drittweitergabe aus, sofern diese Befürchtung samt ihren negativen Folgen ordnungsgemäß nachgewiesen sei (Rz. 33–36 m.w.N.; Ls. 2).
Keine Ersatzbemessung nach Bußgeldkriterien: Die Bemessungskriterien richteten sich mangels Unionsrechts vorbehaltlich des Äquivalenz- und Effektivitätsgrundsatzes nach nationalem Recht. Wegen unterschiedlicher Ziele von Art. 82 DSGVO, Erwgrd. 146 und Art. 83 DSGVO, Erwgrd. 148 seien trotz gegenseitiger Ergänzung zur Einhaltung der DSGVO die Bemessungskriterien gem. Art. 83 DSGVO i.R.v. Art. 82 DSGVO nicht entsprechend anwendbar (Rz. 38 ff., 43 f. m.w.N.; Ls. 3 Halbs. 1).
Keine Präventionsfunktion: Art. 82 DSGVO erfülle keine abschreckende oder gar Straffunktion, so dass sich das Verstoßgewicht auf die Ersatzhöhe nicht auswirke. Angesichts der Ausgleichsfunktion (Erwgrd. 146 Satz 6 DSGVO) sei die Geldentschädigung „vollständig und wirksam“, wenn sie den konkreten Schaden ohne Strafcharakter voll ausgleiche (Rz. 41 f., 44 m.w.N.; Ls. 3 Halbs. 2).
Ersatzerhöhung durch nationales Recht: Nach Art. 82 Abs. 1 DSGVO seien bei der Schadensbemessung zugleich verwirklichte Verstöße gegen nationale Vorschriften, bspw. des Berufsrechts der Steuerberater, nicht zu berücksichtigen, „die sich auf den Schutz personenbezogener Daten beziehen“, aber – etwa wegen Erlasses vor Inkrafttreten der DSGVO nicht ihre i.S.v. Erwgrd. 146 Satz 5 DSGVO erfasste – Präzisierung bezwecken. Das nationale Recht könne aber einen höheren Ersatz als einen i.S.v. Art. 82 Abs. 1 DSGVO vorsehen, wenn er wegen solcher Verstöße „nicht als ausreichend oder angemessen angesehen würde“ (Rz. 46–50; Ls. 4).