Prof. Dr. Hervé Edelmann, Fachanwalt für Bank- und Kapitalmarktrecht, Thümmel, Schütze & Partner, Stuttgart
Im Anschluss an seine in BTS, Ausgabe Februar 2024, S. 4 ff. besprochenen Urteile vom 14.12.2023 und 25.01.2024 erinnert der EuGH in seiner Entscheidung vom 11.04.2024, C-741/21, daran, dass der bloße Verstoß gegen die DSGVO nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Vielmehr müsse der vermeintlich Geschädigte nicht nur den Verstoß gegen Bestimmungen der DSGVO nachweisen, sondern auch, dass ihm durch diesen Verstoß ein konkreter Schaden – so geringfügig er auch sein mag – tatsächlich entstanden ist (Rn. 33, 34, 35 u. 42). Insofern könne allein der Verstoß gegen die DSGVO keinen immateriellen Schaden i. S. d. Verordnung darstellen (Rn. 37).
Sodann hält der EuGH fest, dass es für eine Befreiung des Verantwortlichen von seiner Haftung nach Art. 82 Abs. 3 DSGVO nicht ausreicht, dass er geltend macht, dass der in Rede stehende Schaden durch ein Fehlverhalten einer ihm unterstellten Person verursacht wurde. Dies deshalb, weil es auch Sache des Verantwortlichen ist, sich zu vergewissern, dass seine Weisungen von seinen Arbeitnehmern korrekt ausgeführt werden (Rn. 49 und 54). Dies berücksichtigend hält der EuGH sodann fest, dass dem Verantwortlichen bei einer Verletzung des Schutzes personenbezogener Daten durch eine ihm unterstellte Person eine Befreiung nur dann zugutekommen kann, wenn dieser nachweist, dass es keinen Kausalzusammenhang zwischen der etwaigen Verletzung der ihm nach der DSGVO obliegenden Verpflichtung zum Datenschutz und dem der betroffenen Person entstandenen Schaden gibt (Rn. 51).
Was wiederum die Bemessung der Höhe des Schadensersatzanspruches anbelangt, so hält der EuGH fest, dass im Hinblick darauf, dass dem Schadensersatzanspruch nur Ausgleichsfunktion und nicht auch Straffunktion zukommt, bei der Festlegung der Höhe des Anspruchs die für die Bestimmung von Geldbußen in Art. 83 DSGVO genannten Kriterien nicht zu berücksichtigen sind. Zugleich verweist der EuGH darauf, dass der Schadensersatzbetrag auch nicht in einer Höhe bemessen werden darf, die über dem vollständigen Ersatz des dem vermeintlich Verletzten entstandenen Schadens hinausgeht (Rn. 56–60). Schließlich führt der EuGH noch aus, dass die Höhe des Schadensersatzanspruchs sich weder nach der Schwere des Verstoßes gegen die DSGVO noch nach der Anzahl der DSGVO Verstöße orientieren darf.
PRAXISTIPP
Einmal mehr stellt der EuGH klar, dass allein ein DSGVO-Verstoß nicht ausreicht, um dem vermeintlich Verletzten einen immateriellen Schadensersatzanspruch zuzusprechen. Vielmehr müsse der Geschädigte sowohl den Verstoß gegen die Bestimmungen der DSGVO nachweisen als auch seinen ihm entstandenen tatsächlichen immateriellen Schaden. In diesem Zusammenhang hat erst kürzlich das LAG Rheinland-Pfalz in einer Entscheidung v. 08.02.2024, 5 Sa 154/23, festgehalten, dass weder ein Kontrollverlust noch das Warten auf oder das Ärgern über eine verspätete Auskunft einen Schadensersatz nach Art. 82 DSGVO zu begründen vermag. Einmal mehr betont der EuGH weiterhin, dass dem immateriellen Schadensersatzanspruch keine Straf-, sondern lediglich eine Ausgleichsfunktion zukommt, weswegen weder die Schwere des Verstoßes noch die Anzahl der Verstöße noch die Kriterien, welche für die Bemessung eines Bußgeldes maßgeblich sind, bei der Bestimmung der Höhe des immateriellen Schadens zu berücksichtigen sind. Der zugesprochene Schadensersatz dürfe schließlich auch nicht höher ausfallen als der vom vermeintlichen Verletzten nachgewiesene tatsächliche Schaden (Rn. 60 am Ende).
Beitragsnummer: 22614