• Blog

Privacy Litigation: Landgericht Saarbrücken fragt EUGH zu Artikel 82 DSGVO

Artikel 82 DSGVO gewährt einen eigenständigen deliktischen Anspruch auf Schadensersatz, der auch einen immateriellen Schaden erfasst. Wie zahlreiche Gerichtsentscheidungen zeigen, ist der Anspruch von erheblicher praktischer Bedeutung, weil er nicht nur in Ausnahmefällen greift. Die Voraussetzungen für einen Anspruch auf Ersatz eines Schadens sind nach dem Wortlaut von Art. 82 I DSGVO überschaubar. Die offenen Auslegungsfragen sind dafür umso zahlreicher. Es ist also höchste Zeit, dass der EUGH für Rechtssicherheit sorgt und die für die Praxis relevanten Fragen beantwortet.

I. Hintergrund der Entscheidung des LG Saarbrücken

Nach dem Bundesarbeitsgericht legt mit dem Landgericht Saarbrücken (Beschluss vom 22. November 2021 – 5 O 151/19) ein weiteres deutsches Gericht die nachstehenden Fragen zu Art. 82 DSGVO dem EuGH zur Vorabentscheidung vor:

  1. Ist der Begriff des immateriellen Schadens in Art. 82 Abs. 1 DSGVO im Hinblick auf Erwägungsgrund 85 und den Erwägungsgrund 146 S. 3 EUV 2016/679 in dem Sinne zu verstehen, dass er jede Beeinträchtigung der geschützten Rechtsposition erfasst, unabhängig von deren sonstigen Auswirkungen und deren Erheblichkeit?
  2. Wird die Haftung auf Schadensersatz gemäß Art. 82 Abs. 3 DSGVO dadurch ausgeschlossen, dass der Rechtsverstoß auf menschliches Verhalten im Einzelfall einer im Sinne von Art. 29 DSGVO unterstellten Person zurückgeführt wird?
  3. Ist bei der Bemessung des immateriellen Schadensersatzes eine Orientierung an den in Art. 83 DSGVO, insbesondere Art. 83 Abs. 2 und Abs. 5 DSGVO, genannten Zumessungskriterien erlaubt bzw. geboten?
  4. Ist der Schadensersatz für jeden einzelnen Verstoß zu bestimmen oder werden mehrere – zumindest mehrere gleichgelagerte – Verstöße mit einer Gesamtentschädigung sanktioniert, die nicht durch eine Addition von Einzelbeträgen ermittelt wird, sondern auf einer wertenden Gesamtbetrachtung beruht?

 

In dem Verfahren bei dem Landgericht Saarbrücken streiten die Parteien darüber, ob die Beklagte gegen die Vorgaben der DSGVO verstoßen hat. Die Beklagte sprach den Kläger dreimal mittels Direktwerbung an. Diese Werbung erhielt der Kläger jeweils zu einem Zeitpunkt, nachdem dieser bereits drei Mal seinen Widerspruch gegen diese werbliche Ansprache erklärt hatte. Der Kläger sieht in diesem Vorgang folgerichtig drei eigenständige Verstöße gegen die Vorgaben der DSGVO und ist vor diesem Hintergrund der Auffassung, dass ihm drei Mal Schadensersatz nach Art. 82 DSGVO zustehen würde.

II. Pflicht zur Vorlage zum EUGH fest – eine Übersicht

Aufgrund der divergierenden Entscheidungen der deutschen Instanzgerichte ist es wichtig, dass für eine einheitliche Auslegung von Art. 82 DSGVO eine Vorlage wesentlicher Fragen an den EUGH erfolgt. Das geschah bislang jedoch in Deutschland nicht.

Das Amtsgericht Goslar legte dem EuGH die Frage nach dem Vorliegen einer Bagatellgrenze nicht dem EuGH zur Vorabentscheidung vor, obwohl gegen die Entscheidung des Amtsgerichts kein Rechtmittel mehr möglich war. Hiergegen erhob der Kläger Verfassungsbeschwerde. Das Bundesverfassungsgericht musste dem Amtsgericht erklären, dass ein Verstoß gegen das Recht auf einen gesetzlichen Richter aus Art. 101 Abs. 1 S. 2 GG vorliegt, wenn das letztinstanzliche Gericht nicht nach Art. 267 Abs. 3 AEUV dem EUGH zur Vorabentscheidung vorlegt, obwohl eine entscheidungserhebliche Frage nicht abschließend geklärt sei. Das sei bei der Frage nach einer Bagatellgrenze in Art. 82 DSGVO der Fall.

Mit Beschluss vom 15. April 2021 – 60b 35/21x legte nun der Oberste Gerichtshof der Republik Österreich (OGH) dem EUGH die nachfolgenden Fragen zur Auslegung von Art. 82 DSGVO zur Vorabentscheidung vor:

  1. Erfordert der Zuspruch von Schadensersatz nach Art. 82 DSGVO […] neben einer Verletzung von Bestimmungen der DSGVO auch, dass der Kläger einen Schaden erlitten hat oder reicht bereits die Verletzung von Bestimmungen der DSGVO als solche für die Zuerkennung von Schadensersatz aus?
  2. Bestehen für die Bemessung des Schadensersatzes neben den Grundsätzen der Effektivität und Äquivalenz weitere Vorgaben des Unionsrechts?
  3. Ist die Auffassung mit dem Unionsrecht vereinbar, dass Voraussetzung für den Zuspruch immateriellen Schadens ist, dass eine Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht vorliegt, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgeht?

 

Durch die Vorlage des OGH wird unter anderem die für die Praxis relevante Frage nach dem Vorliegen einer Bagatellgrenze vom EUGH beantwortet werden.

Wie eingangs bereits erwähnt, hat auch das Bundesarbeitsgericht (BAG) dem EUGH mit Beschluss vom 26. August 2021 ragen zur Auslegung von Art. 82 DSGVO vorgelegt. Der Senat möchte vom EUGH unter anderem die nachfolgenden Fragen zu Art. 82 DSGVO beantwortet haben:

  1. Hat Art. 82 I DSGVO spezial- bzw. generalpräventiven Charakter und muss dies bei der Bemessung der Höhe des zu ersetzenden Schagens auf der Grundlage von Art. 82 I DSGVO zulasten des Verantwortlichen bzw. Auftragsverarbeiters berücksichtigt werden?
  2. Kommt es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 I DSGVO auf den Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters an? Insbesondere, darf ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen bzw. Auftragsverarbeiters zu dessen Gunsten berücksichtigt werden?

Damit liegen nun einige Auslegungsfragen dem EUGH zur Vorabentscheidung vor, um Art. 82 DSGVO unionsweit einheitlich anwenden zu können. Auch die vom LG Saarbrücken vorgelegten Fragen haben für die Praxis eine besondere Bedeutung.

III. Bewertung des Vorabentscheidungsersuchen des LG Saarbrücken

1 Die erste Frage an den EUGH

Die erste Frage adressiert die noch nicht abschließend geklärte Streitfrage, ob bereits in dem Verstoß gegen eine Vorgabe aus der DSGVO zugleich auch schon der ersatzfähige Schaden bei der betroffenen Person liegt. Der Wortlaut von Art. 82 I DSGVO („wegen“) lässt darauf schließen, dass mit dem „Verstoß“ und dem „Schaden“ zwei voneinander getrennte Anforderungen erfüllt werden müssen. Hiernach führt der bloße Verstoß gegen eine Vorgabe aus der DSGVO nicht zwangsläufig auch zu einem Schaden bei der betroffenen Person. Sollte der EUGH die erste Vorlagefrage des Landgericht Saarbrücken mit „Nein“ beantworten, bliebe jedoch weiterhin unbeantwortet, was zusätzlich hinzutreten muss, um einen Anspruch auf Geldentschädigung gegenüber einem Verantwortlichen durchsetzen zu können. Insoweit erscheint die erste Vorlagefrage des Landgerichts nicht ausdifferenziert genug, um das hinter der Frage stehende Problem erschöpfend durch den EuGH beantworten zu lassen.

2. Die zweite Frage an den EUGH

Mit der zweiten Vorlagefrage will das Landgericht Saarbrücken feststellen lassen, welche Anforderungen an eine Exkulpation nach Art. 82 III DSGVO zu stellen sind. Kann sich der Verantwortliche bereits dadurch nach Art. 82 III DSGVO exkulpieren, in dem er vorträgt, der Datenschutzverstoß beruhe auf einem einmaligen Versagen eines Mitarbeiters, würde dies nach dem Landgericht Saarbrücken zu einer nicht gewollten Einschränkung eines Anspruches aus Art. 82 DSGVO führen. Dem ist insoweit zuzustimmen, dass der pauschale Hinweis auf ein Mitarbeiterversagen nicht ausreichen kann. Kann der Verantwortliche darlegen und nachweisen, dass er seine Organisation datenschutzkonform strukturiert hat und das in regelmäßigen Abständen kontrolliert, muss dies zugunsten des Verantwortlichen berücksichtigt werden. Ob es sich schadensmindernd oder anspruchsausschließend auswirkt, wird eine Frage des Einzelfalles bleiben.

3. Die dritte Frage an den EUGH

Die dritte Vorlagefrage des Landgericht Saarbrücken befasst sich mit dem Problem, dass der Wortlaut von Art. 82 DGVO den Anspruch auf Schadensersatz nur dem Grunde nach regelt. Art. 82 DSGVO beantwortet hingegen nicht, wie der Schadensersatz konkret zu bemessen ist. Vor diesem Hintergrund stellt sich die Frage, ob für die Bemessung der Schadenshöhe die Kriterien aus Art. 83 DSGVO herangezogen werden können. Hierfür spricht, dass dadurch eine unionsweit einheitliche Bemessung von Schadensersatzansprüchen möglich wäre.

4. Die vierte Frage an den EUGH

Die vierte Vorlagefrage liegt dem EuGH soweit ersichtlich noch von keinem anderen Gericht vor und hat eine besondere praktische Bedeutung für die verantwortlichen Unternehmen. Kommt es hintereinander zu mehreren vergleichbaren Verstößen, stellt sich die Frage, ob sich der Umstand, dass es sich um gleichartige Verstöße handelt, schadensmindernd auf die Höhe des Schadensersatzes auswirkt. Ist der Abstand zwischen den einzelnen Verstößen groß und wird jeder einzelne Verstoß jeweils umgehend geahndet, dürfte klar sein, dass sich der Umstand, dass das verantwortliche Unternehmen sich in der Vergangenheit bereits datenschutzwidrig verhalten hat, gerade nicht schadensmindernd auswirkt. Begeht ein Unternehmen einen Verstoß gegenüber derselben betroffenen Person in zeitlichen Abständen mehrfach, dokumentiert es hierdurch, dass es entweder organisatorisch nicht in der Lage oder nicht gewillt ist, seine Verarbeitungsprozesse datenschutzkonform zu gestalten. Zu berücksichtigen ist jedoch, dass der Schadensersatz nicht der Bestrafung des verantwortlichen Unternehmens dient, sondern lediglich dem Ausgleich der tatsächlich von der betroffenen Person erlittenen Schäden. Der wiederholte Verstoß führt also zunächst nicht zu einer Erhöhung des Schadensersatzes, wenn nicht zugleich bei der betroffenen Person durch die erneute Verletzung ein höherer Schaden entstanden ist.

IV. Ausblick

Die Beantwortung der vorgelegten Fragen wird die Weichen stellen, ob sich künftig vermehrt deutsche Gerichte mit Schadensersatzklagen nach einem Datenschutzverstoß befassen müssen. Das betrifft dann nicht nur die Arbeitsgerichte im Rahmen eines Kündigungsschutzverfahrens, sondern auch die Zivilgerichte nach einem bekanntgewordenen Datenschutzvorfall bei dem personenbezogene Daten einer Vielzahl von Personen betroffen sind.

Wir wünschen Ihnen Frohe Weihnachten, entspannende Momente sowie Gesundheit, Erfolg und Zuversicht für das neue Jahr. Wir freuen uns auf spannende Rechtsfragen im Jahr 2022!

Sebastian Laoutoumai

Hinweis zum Buch:

Privacy Litigation – Datenschutzrechtliche Ansprüche durchsetzen und verteidigen