04.05.2023

Unterraschung: Der EuGH, die DSGVO und die Klageindustrie

Portrait von Christian Franz, LL.M.
Christian Franz, LL.M. Rechtsanwalt, Fachanwalt für Gewerblichen Rechtsschutz

Der Europäische Gerichtshof hat ein lang erwartetes Urteil gefällt: Es gibt keine Bagatellgrenze für Schadensersatz im Datenschutzrecht (EuGH, Urt. v. 4.5.2023, C-300/21). Was bedeutet das für die Praxis?

Die Erwartungen waren hoch gesteckt. Der Generalanwalt hatte in seinen Schlussanträgen vehement für eine Auslegung des Datenschutzrechts im Ganzen geworben, die auf einen Interessenausgleich hinausläuft und anerkennt, dass menschliche Interaktion (die immer mit einem Austausch personenbezogener Daten einhergeht) nichts bemakeltes, nichts anrüchiges ist, sondern ein wünschenswerter Grundzustand, dem das Datenschutzrecht nur als Korrektiv zur Seite gestellt werden darf.

Er hatte Recht.

Dem EuGH waren diese Erwägungen allerdings offensichtlich zu juristisch. Er beschränkte sich in der nun veröffentlichten Entscheidung darauf, eng an der relevanten Norm des Art. 82 DSGVO entlang zu referieren, was sich ohnehin aus der DSGVO und seiner bisherigen Rechtsprechung ergibt. Danach gilt in Zukunft:

  1. Ein bloßer Verstoß gegen die DSGVO rechtfertigt noch keinen Schadensersatz; es braucht schon einen Schaden.
  2. Ob ein Schaden vorliegt, muss einzelfallbezogen ermittelt werden, wobei es keine Bagatellgrenze gibt.
  3. Hat man einen Schaden festgestellt, müssen die Gerichte unter Zugrundelegung der jeweiligen nationalen Rechtsordnungen Kriterien entwickeln, um eine angemessene Schadensersatzhöhe zu bestimmen, wobei sie allerdings nicht zu niedrig zielen dürfen, um den Anspruch nicht im Ergebnis so zu entwerten, dass es einer Bagatellgrenze gleichkäme.
Was bedeutet das für die zahlreichen Datenleck-Fälle?

Wie immer gibt der Europäische Gerichtshof der Rechtspraxis Steine statt Brot, indem er um die wirklich interessanten Fragen herumstakst. Das ist im vorliegenden Fall die Frage, was als „immaterieller Schaden“ (oder überhaupt als Schaden) im Sinne der DSGVO zu werten ist. Hierbei handelt es sich um einen unionsrechtlich determinierten und damit autonom auszulegenden Rechtsbegriff. Das bedeutet, dass die Rechtstradition des jeweiligen nationalen Rechts nicht oder kaum herangezogen werden kann. Die durch das vorlegende Gericht, dem österreichischen Obersten Gerichtshof, aufgeworfene Frage, ob „bloße Verärgerung“ bereits als immaterieller Schaden gelten kann, blieb damit unbeantwortet. Aus der bisherigen Rechtsprechung des Europäischen Gerichtshofs (s. EuGH, Urt. v. 12.3.2002, C-168/00 - Leitner ./. TUI Deutschland) lässt sich allerdings entnehmen, dass nach dem Unionsrecht Beeinträchtigungen der Gefühlswelt, die nicht in Schmerzen liegen, als (immaterieller) Schaden gelten können. Es wird danach ein Gebot der Vorsicht sein, im Fall der klageweisen Durchsetzung von Schadenersatzansprüchen von Datenleck-Opfern vorzutragen, dass und wie sehr der Betroffene sich über den Vorfall aufgeregt hat.

Der Euro fällt Cent-weise

Interessant wird für die weitere Entwicklung sein, inwieweit der EuGH oder die ihm vorausgehende nationalgerichtliche Rechtsprechung dem Gedanken Raum geben werden, dass die Rechtfertigung für die Annahme eines Schadens in Wahrheit ganz woanders liegt, nämlich im Bereich des Kontrollverlusts über die eigenen Daten. Damit einher geht nämlich ein Risiko, von einem Missbrauch durch Dritte betroffen zu sein, dessen Verwirklichung man effektiv nicht auf die konkrete Datenschutzrechtsverletzung zurückführen können wird. Genau diese Beeinträchtigung ist es nämlich, vor der das Datenschutzrecht im Ganzen den Betroffenen bewahren soll: Er soll nicht zum bloßen Objekt fremder Verarbeitung degradiert und Entscheidungen oder Maßnahmen ausgesetzt werden, die auf seiner heimlichen Beobachtung fußen und denen er daher einfluss- und machtlos gegenübersteht. Er soll dem Grunde nach wissen, was geschieht (zumindest, wenn damit eine gewisse Relevanz für ihn selbst verbunden ist). Bei zutreffender und vor allen widerspruchsfreier Würdigung ist es dieses Defizit, das am ehesten als immaterieller Schaden eines Betroffenen gelten kann.

Damit wäre auch keineswegs eine Gleichstellung von Verstoß und Schaden verbunden. Nicht jeder Verstoß gegen die DSGVO mündet in einem Kontrollverlust des Betroffenen. Besonders deutlich wird das bei der Missachtung von Dokumentationspflichten, die für sich genommen schon deshalb keinen Einfluss auf die „Kontrolle“ des Betroffenen haben können, weil die Dokumentation den Betroffenen gar nicht zugänglich ist. Werden dagegen, wie in den Datenleckfällen, Informationen rechtswidrig an die Öffentlichkeit übermittelt, ist damit stets ein Kontrollverlust verbunden. Auch insoweit gibt es natürlich eine Einschränkung: Das kann dann nicht gelten, wenn die Informationen in ihrer konkreten Zusammenstellung bei gleicher oder anderer Gelegenheit durch die Betroffenen selbst publik gemacht wurden. Datenschutzrecht ist kein Immaterialgüterrecht. Wer sein Foto prominent auf der eigenen Homepage weltweit zugänglich macht, erfährt keinen (zusätzlichen) Kontrollverlust, wenn ein Dritter dies auch tut. Und insgesamt gilt: Menschen sind nicht aus Porzellan, das bei leisester Berührung bricht. Es wird sich zur Begründung eines Defizits, das den Namen „Schaden“ im unionsrechtlichen Sinn verdient, regelmäßig um Informationen handeln müssen, die für den Empfänger einen Informationswert über die bloße Existenz des Betroffenen hinaus vermitteln. Soweit diese Frage von einigen erstinstanzlichen Gerichten im Fall des Facebook-Datenlecks verneint wurde, sind diese Entscheidungen unter Zugrundelegung des hier geschilderten Schadensbegriffs und unter Berücksichtigung des EuGH-Urteils nicht haltbar (und waren es schon vorher nicht). Die Frage ist, ob und wie schnell sich diese Sichtweise in der Instanzrechtsprechung durchsetzen wird. Für den Moment kann der richtige Rat an die Praxis nur sein, dass fleißig zu „Schmerzen“ vorgetragen wird, weil das der Erwartungshaltung der meisten Gerichte zu entsprechen scheint, auch wenn es bei Lichte betrachtet Unsinn ist. Die geschilderten Erwägungen zum Kontrollverlust sind so datenschutzspezifisch, dass sie jedenfalls im Jahr Fünf nach Inkrafttreten der DSGVO nach wie vor schwer vermittelbar sind. Die Frage ist, ob sich das ändert, wenn man die Richter, die sich dieser Erkenntnis verschließen, einfach mal anruft. Oder ihre Töchter unter Angabe ihres Beziehungsstatus. Sorgfältig arbeitende Betroffene haben natürlich im Wege der Beweissicherung die von Facebook geleakte Datenbank gesichert und verfügen über die entsprechenden Informationen. Es wird abzuwarten sein, ob jemand diesen Weg geht.

Zusammenfassung

Raider heißt jetzt Twix - sonst ändert sich nix. Der EuGH stellt klar, was ohnehin klar war, und schwurbelt um die wirklich interessanten Fragen herum. Für die Praxis der (auch massenhaften) Verfolgung von Schadensersatzansprüchen nach Datenschutzvorfällen sind das gute Neuigkeiten. Vorläufig wird es ausreichen, irgendwelche Beeinträchtigungen der Gefühlswelt vorzutragen (selbstverständlich und stets unter Beachtung der prozessualen Wahrheitspflicht). Irgendwann wird sich der Gedanke durchsetzen, dass es richtigerweise auf die Frage ankommt, ob die betroffene Person einen Kontrollverlust erlitten hat, der (insbesondere materielle) Folgeschäden befürchten lässt. In beiden Lesarten kann ein Schaden nicht mehr verneint werden.

Welche Schadenshöhe angemessen ist, sollen die Gerichte nach nationalem Recht ausmendeln. Hier sind die mahnenden Worte des EuGH, ja nicht den Effektivitätsgrundsatz des Unionsrechts zu missachten, ein Steigbügel für die Klägerseite. Dem steht der unverhohlene Ekel einiger Instanzgerichte (namentlich des OLG Hamm) entgegen, der menschlich nachvollziehbar ist. Wer gerade noch den Verlust eines Auges mit 4.000 € abgefrühstückt hat, muss sich selbst peinliche Fragen stellen, wenn er jetzt für den Verlust einer Telefonnummer den gleichen Betrag ausurteilen soll. Hierbei handelt es sich aus anwaltlicher Sicht allerdings um ein PAL (Problem Anderer Leute). Ober sticht Unter und die Instanzgerichte werden sich dem EuGH beugen müssen.

 

Zurück