Anfang Oktober unternahm der Generalanwalt am EuGH (C-300/21) in seinem Schlussplädoyer einen fast verzweifelt anmutenden Versuch, die sich an europäischen Gerichten Bahn brechende weite Schadensersatzpraxis zu durchbrechen. Nahezu Einigkeit besteht allerdings darin, dass der sich gerade in Datenschutzsachen sehr verbraucher- bzw. betroffenenfreundlich äußernde EuGH den Schlussanträgen des Generalanwalts wohl kaum mehrheitlich – wenn überhaupt – folgen wird. Denn bei der Auslegung der DSGVO hat augenscheinlich nicht deren Zweck im Mittelpunkt gestanden haben, sondern der Versuch einer Korrektur bzw. Risikominimierung zum Schutz der Wirtschaft. Der EuGH hat zuletzt dagegen eher unter Beweis gestellt, dass der Datenschutz und insbesondere die Verarbeitungen personenbezogener Daten unter besonderen Schutz gestellt werden.
Worin liegt denn nun aber gerade in Deutschland die vom Generalanwalt dargelegte ausufernde Gerichtspraxis?
- Schadenersatz dem Grunde nach: jeder Verstoß gegen DSGVO und Derivate
Der Datenschutzverstoß als solcher indiziert den Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO. Eines besonderen Vortrags des betroffenen Verletzten hierzu bedarf es nicht, denn Art. 82 DSGVO beinhaltet eine Warnungs- und Abschreckungsfunktion. Vielmehr hat die verletzte Person schon bei einem bloßen Verstoß gegen die DSGVO dem Grunde nach den Schadensersatzanspruch aus Art. 82 Abs. 1. Es ist insbesondere auch nicht erforderlich, dass die verletzte Person einen (weiteren) von ihr erlittenen immateriellen Schaden darlegt.
Eine Spürbarkeits-/Erheblichkeits- oder Bagatellschwelle existiert nicht. Deshalb kann der Schaden auch bereits in einem unguten Gefühl liegen, dass personenbezogene Daten Unbefugten bekannt geworden sind, wenn nicht ausgeschlossen werden kann, dass die Daten unbefugt weiterverwendet werden. Auch ein Verlust der Vertraulichkeit von personenbezogenen Daten kann ein zu berücksichtigender Nachteil sein, ebenso der Verlust, die personenbezogenen Daten kontrollieren zu können.
Außerdem genügt jedwede Pflichtverletzung, d.h. jegliche Verstöße gegen die DSGVO einschließlich deren bloßen Formvorschriften. Verstoß ist auch eine Verarbeitung, die nicht mit den aufgrund der DSGVO erlassenen Rechtsakten der Mitgliedsstaaten im Einklang steht. Dies betrifft insbesondere auch das auf der Basis der DSGVO ergangene Bundesdatenschutzgesetz.
2. Schadenersatz der Höhe nach: Effektiv und abschreckend
Die betroffene Person soll einen vollständigen und wirksamen Ersatz für den erlittenen Schaden erhalten. Deshalb soll es darauf ankommen, dass die Höhe eines immateriellen Schadensersatzes der Schwere des mit ihm geahndeten Verstoßes gegen die DSGVO entspricht, wobei insbesondere Vorsätzlichkeit oder die Verwirklichung eines Straftat- oder Ordnungswidrigkeitstatbestandes Kriterien für die Schwere sind. Die Judikatur geht davon aus, dass im Vordergrund eine abschreckende Wirkung des Schadensersatzes steht, die insbesondere durch dessen Höhe erreicht werden soll.
Was die Kriterien für die Bemessung anbelangt, so sind der Grad des Verschuldens und die Art, Schwere und Dauer des Verstoßes maßgeblich, dies unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung, die betroffenen Kategorien personenbezogener Daten und – last but not least – die vom Gesetzgeber explizit beabsichtigte abschreckende Wirkung, die in der Regel nur durch für den Anspruchsgegner empfindliche Schmerzensgelder erreicht wird, insbesondere wenn eine Kommerzialisierung fehlt. Es ist eine wirksam abschreckende Wirkung – mit spezial-/ generalpräventivem Charakter – zu gewährleisten, zugleich aber auch der allgemeine Grundsatz der Verhältnismäßigkeit zu wahren.
3. Verschuldensunabhängigkeit (Garantiehaftung)
Bundesarbeitsgericht und Oberlandesgericht Köln, zwei altgediente „Dickschiffe“ der deutschen Justiz also, sind der Auffassung, dass die Haftung des Verantwortlichen verschuldensunabhängig ist, also Art. 82 DSGVO die Haftung des Urhebers eines Verstoßes keineswegs vom Vorliegen oder dem Nachweis eines Verschuldens abhängig macht.
4. Beweislast beim Verantwortlichen
Die Beweislast im Schadensersatzverfahren nach Art. 82 DSGVO liegt beim Verantwortlichen. Der Verantwortliche muss selbst darlegen und im Bestreitensfall beweisen, dass weder ein Verstoß noch ein Schaden oder ein Verschulden vorliegen. Dies ergibt sich laut Oberlandesgericht Stuttgart, einem weiteren maßgebenden Obergericht, aus dem Rechenschaftsgrundsatz des Art. 5 Abs. 2 DSGVO.
5. Kein Mitverschulden
Ein Haftungsausschluss nach Art. 82 Abs. 3 DSGVO ist nur dann möglich, wenn dem Verantwortlichen der Schaden „in keinerlei Hinsicht“ zur Last gelegt werden kann. Hieraus wird abgeleitet, dass ein Mitverschulden nicht zu berücksichtigen ist. Die betroffene Person soll nach EG 146 Satz 6 DSGVO vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten.
Nun wird mit Spannung die Entscheidung des EuGH erwartet, für die allerdings noch kein Verkündungstermin feststeht und die noch einige Monate auf sich warten lassen dürfte.
Angesichts dieser Durchbrechung der in Deutschland angestammten Schadensersatzrechtsprechung wird gerade hierzulande mit Spannung die Entscheidung des EuGH erwartet, für die allerdings noch kein Verkündungstermin feststeht und die leider noch einige Monate auf sich warten lassen dürfte.