• Blog

Data Privacy Litigation: OGH fragt EUGH zu Art. 82 DSGVO

Seit gut drei Jahren entfaltet die Datenschutz-Grundverordnung (DSGVO) ihre Wirkung in den einzelnen Mitgliedsstaaten der EU. Überladen mit hochkomplexen Konzepten und gleichzeitig nicht eindeutigen Definitionen, braucht es juristische Experten, um die DSGVO zu durchblicken und richtig umzusetzen, gibt der EU-Parlamentarier Axel Voss zu und plädiert für eine Änderung des DSGVO. Divergierende Äußerungen und Warnungen deutscher Landesdatenschutzbehörden sorgen einerseits verlässlich für Verunsicherung in der deutschen Wirtschaft. Andererseits fragt man sich, was etwa die Datenschutzaufsicht in Irland davon abhält, endlich ihren Job im Hinblick auf amerikanische Unternehmen wie Facebook zu erledigen (vgl. Franz, CR-Online: „Es kann nicht sein, dass nach drei Jahren Geltung der DSGVO ein Angebot wie “Facebook Custom Audience mit erweitertem Abgleich” in Deutschland völlig unbehelligt auf dem Markt angeboten wird.„).

Nationale Gerichte können den Gerichtshof der Europäischen Union (EUGH) unter bestimmten Voraussetzungen fragen, wenn es um ungeklärte Fragen im Kontext der DSGVO geht: 2018 das Oberlandesgericht Düsseldorf im Fall Fashion ID (C-40/17), 2019 das Verwaltungsgericht Wiesbaden (C-272/19) und der belgische Hof van beroep te Brussel (C-645/19), 2020 die Rechtbank Midden-Nederland (C-245/20) und das Tribunal d’arrondissement aus Luxemburg (C-610/20) und 2021 das Oberlandesgericht Düsseldorf (C-252/21), um nur einige Vorlageverfahren zu nennen.

Kürzlich hat der Oberste Gerichtshof der Republik Österreich (60b 35/21x) dem EUGH drei wichtige Fragen zur Auslegung von Art. 82 DSGVO zur Vorabentscheidung vorgelegt. Das ist ein wichtiges Verfahren, weil Schadenersatzansprüche in der Arena des Datenschutzes zunehmend an Bedeutung gewinnen. Nach Art. 82 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter (vgl. Arbeitsgericht Münster: 5.000 EUR Schmerzensgeld wegen Veröffentlichung eines Bildes)

Hintergrund der Vorlage des Obersten Gerichtshof der Republik Österreich (OGH)

In dem Verfahren in Österreich geht es um eine Adresshändlerin. Sie verfolgte das Ziel, ihren werbetreibenden Kunden den zielgerichteten Versand von Werbung zu ermöglichen. 2017 erhob sie Informationen zur Parteiaffinität der gesamten österreichischen Bevölkerung. Hierzu wurden anonyme Umfragen unter anderem zum Interesse an Wahlwerbung durchgeführt. Die Ergebnisse dieser Umfragen wurden von der Adresshändlerin mit Statistiken aus Wahlergebnissen kombiniert. Aus dieser Kombination und mit Hilfe eines Algorithmus wurden Zielgruppenadressen nach soziodemografischen Merkmalen definiert. Die einzelnen Personen wurden je nach Wohnort, Alter, Geschlecht usw. einer oder mehrerer Marketinggruppen und –klassifikationen zugeordnet. Die Daten wurden an verschiedene Organisationen verkauft.

Auch über den Kläger in dem Verfahren in Österreich wurden personenbezogene Daten in diesem Kontext verarbeitet. Der Kläger hatte hierzu keine Einwilligung erteilt. Er fordert Unterlassung und Schadensersatz in Höhe von 1.000,00 EUR.

Die Gerichte in Österreich haben dem Unterlassungsbegehren des Klägers stattgegeben und eine Verletzung von datenschutzrechtlichen Rechten des Klägers festgestellt. Das Zahlungsbegehren des Klägers wurde sowohl vom Gericht der ersten Instanz als auch vom Berufungsgericht abgewiesen. Das Berufungsgericht war der Ansicht, dass ein Anspruch auf Ersatz eines immateriellen Schadens nach Art. 82 DSGVO unter dem Gesichtspunkt des „Kontrollverlustes“ nur in Betracht käme, wenn die personenbezogenen Daten auch Dritten tatsächlich zugänglich gemacht worden wären oder diese sonst wie veröffentlicht worden wären. Beides war im Falle des Klägers allerdings nicht gegeben. Zudem könne ein Schadensersatz nur zugesprochen werden, wenn auch tatsächlich ein ideeller Schaden eingetreten sei. Das bloße Vorliegen eines Datenschutzverstoßes reiche hierfür nicht aus. Ersatzfähig sei nur eine Schadensfolge, die über den durch die Rechtsverletzung hervorgerufenen Ärger bzw. Gefühlsschaden hinausgehe. Auch das sei im Fall des Klägers nicht festgestellt worden. Das Berufungsgericht ist darüber hinaus der Ansicht, dass eine gewisse Erheblichkeit des Schadens vorliegen müsse.

Vorlage an den EUGH

Der OGH hat das Verfahren ausgesetzt und dem EUGH folgende Fragen gestellt:

  1. Erfordert der Zuspruch von Schadensersatz nach Art. 82 DSGVO […] neben einer Verletzung von Bestimmungen der DSGVO auch, dass der Kläger einen Schaden erlitten hat oder reicht bereits die Verletzung von Bestimmungen der DSGVO als solche für die Zuerkennung von Schadensersatz aus?
  2. Bestehen für die Bemessung des Schadensersatzes neben den Grundsätzen der Effektivität und Äquivalenz weitere Vorgaben des Unionsrechts?
  3. Ist die Auffassung mit dem Unionsrecht vereinbar, dass Voraussetzung für den Zuspruch immateriellen Schadens ist, dass eine Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht vorliegt, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgeht?

Zur Begründung seiner Vorlage stellte der OGH fest, dass der Begriff des immateriellen Schadens in Art. 2 Abs. 1 DSGVO unionsautonom zu bestimmen sei. Nationale Haftungsregime würden durch das der DSGVO überlagert. Schon aus diesem Grund könne auf die zum Ersatz immaterieller Schäden im nationalen Schadensregime entwickelten Rechtsprechungsgrundsätze nicht ohne weiteres zurückgegriffen werden.

Mit Blick auf Erwägungsgrund 146 (S. 3) des DSGVO stellt der OGH zudem fest:

„[16] 3. Einigkeit besteht darin, dass ungeachtet des unionsrechtlichen Effektivitätsgrundsatzes Ersatz nach Art 82 DSGVO aufgrund des soeben angesprochenen zentralen Ausgleichsgedankens hinter der Haftung nur dann gebührt, wenn ein (ideeller) Schaden tatsächlich eingetreten ist (vgl ErwGr 146 S 6: „für den erlittenen Schaden“).“

Nach dem OGH muss also tatsächlich auch ein Schaden bei dem Betroffenen eingetreten sein. Die bloße Verletzung einer Pflicht aus der DSGVO, ohne Schadenseintritt reiche jedenfalls nicht. Der OGH lehnt auch die Verhängung eines „Strafschadens“ für hypothetische, unbestimmte bzw. nicht spürbare Nachteile durch den Eingriff in das Recht auf informationelle Selbstbestimmung ab.

„[21] 7. Der Ersatz eines immateriellen Schadens nach Art 82 Abs 1 DSGVO setzt folglich einen konkret nachzuweisenden ideellen Nachteil durch den Datenschutzverstoß voraus: Dieser kann etwa darin liegen, dass der Betroffene Zeit und Mühe aufwenden muss, um der Rechtsverletzung ein Ende zu setzen bzw um sich gegen den drohenden Missbrauch seiner Daten oder einen Folgeschaden zu schützen. Ebenso werden aus der Rechtsverletzung resultierende Gefühlsbeeinträchtigungen wie Ängste, Stress oder Leidenszustände aufgrund einer erfolgten oder auch nur drohenden Bloßstellung, Diskriminierung oder Ähnlichem zu einer Ersatzpflicht führen […].“

 „[22] 8. Mit Recht wird in diesem Zusammenhang betont, dass eine besonders schwerwiegende Beeinträchtigung der Gefühlswelt nicht zu fordern sein wird (Paal, MMR 2020, 16), allein schon deshalb nicht, weil ErwGr 146 S 3 zur DSGVO eine weite Auslegung des Begriffs „des Schadens“ fordert, ohne dabei zwischen materiellen und immateriellen Nachteilen zu differenzieren (prägnant Frenzel in Paal/Pauly, DSGVOBDSG3 Art 82 DSGVO Rz 10, demzufolge der nach Art 82 Abs 1 DSGVO „bereits weite Schadensbegriff im Zweifel weit ausgelegt wird“).“

Auch wenn der OGH die Auffassung vertritt, dass Art. 82 DSGVO nicht erst zur Anwendung kommt, wenn eine besonders schwerwiegende Beeinträchtigung der Gefühlswelt nachgewiesen werden kann, so käme man unter dem Gesichtspunkt der Spürbarkeit der Beeinträchtigung nicht umhin, diese von gänzlich unbeachtlichen Unannehmlichkeiten abzugrenzen, die mit der Rechtsverletzung geradezu typischerweise einhergehen.

Leibold begrüßt die Vorlage des OGH an den EUGH in einem lesenswerten Beitrag, weil er EUGH nun Gelegenheit habe, sich mit konkreten Fragen rund um die Vorschrift des Art. 82 Abs. 1 DS-GVO zu beschäftigen und damit für Rechtssicherheit in diesem Bereich zu sorgen (ZD-Aktuell 2021, 05213, beck-online). Er kritisiert, dass der OGH die Gelegenheit nicht ergriffen habe, weitere Fragen rund um die Auslegung des Art. 82 DSGVO  dem EuGH vorzulegen.

„Art. 82 DSGVO bietet einen bunten Strauß an Auslegungsproblemen (z. B. Fragen rund um die Kausalität oder ob Verstöße gegen nationale Vorschriften, die auf Grund der DS-GVO ergehen, einen Schadensersatzanspruch auf Grund der Verordnung rechtfertigen).“

Recht hat der junge Wissenschaftler an der Universität des Saarlandes Leibold jedenfalls, wenn er abschließend schreibt, es sei mit Sicherheit zu erwarten, dass in Zukunft weitere Vorlagefragen an den EuGH herangetragen werden. Ein Landgericht will dem EUGH in Kürze mehrere Fragen zu Art. 82 DSGVO vorlegen, u.a. zum Begriff des immateriellen Schadens in Art. 82 Abs. 1 DSGVO und zu dessen Bemessung. Mehr wird hier nicht „verraten“.

Bedeutung für die Praxis in Deutschland

Die deutschen Gerichte, allen voran aus der ordentlichen Gerichtsbarkeit, haben in den letzten Monaten zahlreiche Klagen auf Zahlung eines Schadensersatzes nach Art. 82 DSGVO unter Hinweis auf eine Bagatellgrenze zurückgewiesen. Dabei wird stets darauf hingewiesen, dass für einen Anspruch auf Geldentschädigung nach Art. 82 DSGVO eine schwerwiegende Persönlichkeitsverletzung eingetreten sein müsse. In diese Richtung haben unter anderem die nachfolgenden Gerichte entschieden:

  • OLG Dresden, Urteil vom 12. Januar 2021 – 4 U 1600/20;
  • OLG Dresden, Urteil vom 20. August 2020 – 4 U 784/20;
  • AG Frankfurt am Main, Urteil vom 10. Juli 2020 – 385 C 155/19;
  • AG Hannover, Urteil vom 9. März 2020 – 53 1 C 10952/19.

Eine weitere wichtige Auslegungsfrage ist, ob bereits die Verletzung der DSGVO einen Anspruch auf Schadensersatz begründet. So haben unter anderem die nachfolgenden Gerichte einen Anspruch auf Geldentschädigung mit der Begründung verneint, dass allein die Rechtsverletzung nicht ausreicht:

  • LG Karlsruhe, Urteil vom 9. Februar 2021 – 4 O 67/20;
  • LG Landshut, Urteil vom 6. November 2020 – 51 O 513/20;
  • LG Hamburg, Urteil vom 4. September 2020 – 324 S 9/19.

Die Klärung der Fragen durch den EUGH kann für Unternehmen ganz erhebliche Auswirkungen haben. Verneint der EUGH das Vorliegen einer Bagatellgrenze und verlangt keine hohen Anforderungen an das Vorliegen eines Schadens, kann bereits der kleinste Fehler bei der Verarbeitung personenbezogener Daten zu einem hohen Haftungsrisiko führen. Das gilt erst recht, wenn von diesem Vorfall eine Vielzahl von Personen betroffenen sind, etwa bei offengelegten Kundenlisten mit Kontaktadressen, Listen der Teilnehmer eines Online-Gewinnspiels mit E-Mail-Adressen oder offengelegte Zugangsdaten von Kunden eines Internetportals. Genau für solche Fälle formieren sich bereits professionelle Legal Tech Anbieter, welche die Ansprüche der Betroffenen gebündelt gegenüber dem Unternehmen geltend machen.

In diesen Fällen kommt es für eine erfolgreiche Verteidigung erstens darauf an, dass man als Unternehmen den Nachweis führen kann, im Vorfeld alles dafür getan zu haben, dass ein größerer Datenschutzvorfall ausgeschlossen ist. Nur so kann man das Gericht davon überzeugen, dass der konkrete Vorfall ein Ausreißer war, der in jedem Unternehmen, selbst bei den höchsten Sicherheitsanforderungen, hätte passieren können. Zweitens erfordert eine erfolgreiche Verteidigung spezialisierte Prozessanwälte, die Gerichte letztlich auch überzeugen können, dass ein beklagtes Unternehmen das Thema Datenschutz ernst genommen, hohe Sicherheitsanforderungen installiert und die getroffenen Maßnahmen dokumentiert und regelmäßig auf den Prüfstand gestellt hat.

Weitere Beiträge zum Thema „Data Privacy Litigation“: