In der Praxis stellt sich häufig die Frage, in welchen Fällen und in welcher Höhe ein Anspruch auf Ersatz eines immateriellen Schadens bei unzulässigen Datenverarbeitungen besteht. In Deutschland existieren bereits massenhaft Urteile aus verschiedenen Rechtsbereichen hierzu. Jedoch gibt es bislang keine konkreten Aussagen des EuGH zur Höhe eines Schadenersatzanspruchs.

Der EuGH hat nun am 5.3.2024 in der Rechtssache C‑755/21 P entschieden, dass bei Weitergabe intimer personenbezogener Daten an unbefugte Personen ein Schadenersatzanspruch in Höhe von 2.000 EUR besteht. Diese Summe wirkt angesichts der betroffenen intimen Informationen mit sexuellem Charakter im Vergleich zu in der deutschen Rechtsprechung mitunter zugesprochenen Schadenersatzsummen sehr niedrig. Obwohl die Entscheidung des EuGH in Bezug auf Art. 50 der Europol-Verordnung gefällt wurde, kann man auch einige Aspekte auf immaterielle Schadenersatzansprüche aus der DSGVO übertragen. In diesem Beitrag fassen wir zusammen, worum es im vom EuGH entschiedenen Fall ging, wie entschieden wurde und welche Folgen sich für Schadenersatzansprüche aus der DSGVO ableiten lassen.

Worum ging es?

Die slowakischen Behörden und Europol führten Ermittlungen wegen der Ermordung eines Journalisten und dessen Verlobten durch. Es wurden u.a. zwei Telefone des einen immateriellen Schadenersatzanspruch geltenden machenden Klägers beschlagnahmt und die darauf gespeicherten Daten wurden extrahiert. Zudem wurden u.a. Gespräche mit intimem Charakter zwischen ihm und seiner Freundin transkribiert. Die slowakische Behörde hatte bei den Ermittlungen die Unterstützung von Europol erbeten. Die slowakische Presse berichtete später über Einzelheiten der beschlagnahmten Daten. Es musste also zu einer Weitergabe der bei den Ermittlungen erhobenen Daten an die Presse gekommen sein.

Der Kläger verlangte auf Basis von Art. 50 Europol-Verordnung eine Entschädigung in Höhe von 50.000 Euro als Ersatz des immateriellen Schadens. Nach Art. 50 Abs. 1 hat jede Person, der wegen einer widerrechtlichen Datenverarbeitung ein Schaden entsteht, das Recht von Europol oder von einem Mitgliedstaat Schadenersatz zu fordern.

Der immaterielle Schaden sei dadurch entstanden, dass Europol die Transkriptionen der aus den in Rede stehenden Mobiltelefonen hervorgegangenen Gesprächen mit intimem und sexuellem Charakter zwischen ihm und seiner Freundin weitergegeben habe. In erster Instanz hatte das EuG dem Kläger keinen Schadenersatz zugesprochen. Der EuGH musste nun in letzter Instanz entscheiden, ob dem Kläger ein immaterieller Schadenersatzanspruch wegen einer rechtswidrigen Datenverarbeitung zusteht.

Wie hat der EuGH entschieden?

Wie aus der Überschrift dieses Newsbeitrags bereits hervorgeht, hat der EuGH dem Kläger einen Schadenersatzanspruch in Höhe von 2.000 EUR zugestanden. Die Höhe der Entschädigungssumme erscheint angesichts des intimen Charakters der Daten mit Bezug zu sexuellen Aspekten sehr gering.

Im Urteil geht der EuGH auf die Voraussetzungen für das Bestehen eines Schadenersatzanspruchs ein. Dabei werden deutliche Überschneidungen zu den Voraussetzungen aus der DSGVO erkennbar. Wenn jemand den Ersatz eines immateriellen Schadens verlangt, dann muss das Vorliegen einer widerrechtlichen Datenverarbeitung, eines Schadens und eines Kausalzusammenhangs zwischen der Datenverarbeitung und dem Schaden nachgewiesen werden (Rn. 74). Genau diese Anforderungen stellt der EuGH auch an Ansprüche nach Art. 82 DSGVO.

Im Anwendungsbereich von Art. 50 Europol-Verordnung muss nicht nachgewiesen werden, ob der Schaden Europol oder einem Mitgliedstaat zuzurechnen ist (Rn. 76). Das lässt sich ggf. auch auf gemeinsam Verantwortliche unter der DSGVO übertragen. Betroffene müssten dann also nicht nachweisen, welchem gemeinsam Verantwortlichen ein Schaden zuzurechnen ist. Der Kläger muss aber Beweise zum Nachweis des Vorliegens und des Umfangs des von ihm geltend gemachten Schadens sowie des Bestehens eines hinreichend unmittelbaren ursächlichen Zusammenhangs zwischen dem Verstoß und dem geltend gemachten Schaden erbringen (Rn. 135). Wenn ein Schadenersatzanspruch wegen der Weitergabe von Daten an einen Unbefugten geltend gemacht wird, muss der Kläger nachweisen, dass es so eine unbefugte Weitergabe tatsächlich gab (Rn. 138). In der Praxis wird es für betroffene Personen häufig schwierig sein, eine tatsächlich erfolgte Weitergabe zu beweisen. Hier bestehen also auch Verteidigungsmöglichkeiten für Unternehmen, die sich Schadenersatzforderungen ausgesetzt sehen.

Der EuGH hat festgestellt, dass die Weitergabe der relevanten Daten an unbefugte Personen (hier die Presse) eine rechtswidrige Datenverarbeitung war. Die erste Voraussetzung ist also erfüllt. Mit Blick auf den entstandenen Schaden stellte der Gerichtshof fest, dass die rechtswidrige Datenverarbeitung das durch Art. 7 der Charta garantierte Recht auf Achtung des Privat- und Familienlebens und der Kommunikation verletzt hat. Zudem wurden Ehre und Ansehen des Klägers beeinträchtigt. Hierdurch war auch ein immaterieller Schaden entstanden.

Der Kläger hatte einen Schadenersatz in Höhe von 50.000 EUR verlangt. Der EuGH würdigte, dass die weitergegeben Daten besonders intim und sensibel waren und einen sexuellen Charakter hatten. Im Anwendungsbereich der DSGVO wäre es also um besondere Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO gegangen. Aus der Weitergabe der Transkriptionen der Gespräche mit intimem und sexuellem Charakter ist nach Ansicht des EuGH jedoch kein Schaden in Höhe von 50.000 EUR entstanden. Der Gerichtshof urteilte, dass der Schaden durch „Zahlung einer nach billigem Ermessen auf 2.000 Euro festgesetzten Entschädigung angemessen ausgeglichen wird.“ Leider gibt es im Urteil keine Anhaltspunkte dafür, anhand welcher Kriterien der EuGH die Höhe des Schadenersatzanspruchs konkret bemessen hat. Klar ist jedoch, dass der EuGH trotz des besonders sensiblen Charakters der Daten, hier nur 4% der beantragten Schadenersatzsumme zuspricht.

Was sind die Folgen für immaterielle Schadenersatzansprüche unter der DSGVO?

In Deutschland gibt es ganz unterschiedliche Gerichtsentscheidungen zu Ansprüchen auf immateriellen Schadenersatzanspruch. So hat bspw. das LG Oldenburg am 20. Oktober 2022 unter dem Aktenzeichen O 1809/22 einen Schadenersatzanspruch in Höhe von 2.000 EUR für die unbefugte Weitergabe von Daten wie der Telefonnummer, des Namens, der E-Mail-Adresse, dem Geschlecht und Geburtsdatum zugesprochen. Es gibt auch weitere Urteile, in denen Gerichte ähnlich hohe Schadenersatzsummen zusprachen. Vergleicht man die Sensibilität der Daten mit den bei der EuGH-Entscheidung relevanten unbefugten Datenweitergaben, so wird schnell klar, dass die Entscheidung des LG Oldenburg und viele weitere Urteile wohl kaum dem nun angelegten Maßstab des EuGH entsprechen würden. So kann auch gut bezweifelt werden, ob die Höhe der mitunter für eine verspätete Auskunftserteilung zugesprochenen Schadenersatzansprüche angemessen ist. Denn in solchen Fällen geht es allein um eine zeitliche Verzögerung der Auskunft, jedoch nicht im Entferntesten um eine Weitergabe sensibler Daten an Dritte. Hierbei sei bspw. an das Urteil des ArbG Dresden (Urt. v. 11.1.2023 – 4 Ca 688/22 – siehe bei beck-online hier) zu denken, indem 1.000 EUR für eine verspätete und weitere 1.500 EUR für eine unvollständige Auskunft zugesprochen wurden.

In Deutschland bildet sich seit einiger Zeit eine Art Klageindustrie für Schadenersatzansprüche nach Art. 82 DSGVO, die mitunter öffentlichkeitswirksam und vollmundig (die wettbewerbs- und berufsrechtliche Zulässigkeit hier einmal ausgespart) für angeblich bestehende Ansprüche in Höhe mehrerer tausenden Euro für die unbefugte Weitergabe von wenig sensiblen Daten wirbt. Derartige Höhen von Schadenersatzansprüchen erscheinen nach dem neuen EuGH-Urteil wohl eher als Wunschdenken und etwas realitätsfern. Mit Schadenersatzforderungen konfrontierte Unternehmen können der neuen Entscheidung des EuGH in jedem Fall einige Argumente zur Verteidigung gegen Schadenersatzansprüche entnehmen. Obwohl der EuGH ganz eindeutig die Sensibilität der unbefugt weitergegebenen Daten gewürdigt hat und wusste, dass solche Daten auch in der Presse veröffentlicht wurden, gesteht er dem Kläger immerhin nur einen Anspruch auf 2.000 EUR zu.