Die Schadensersatznorm des Artikel 82 DSGVO weckt – etwas zynisch formuliert – immer wieder Begehrlichkeiten. Die Grenzen dieser Norm werden (oder besser: wurden?) regelmäßig von Betroffenen und oft zweifelhaften Legal-Tech-Anbietern ausgetestet.

„Hol dir 5.000 Euro von Facebook zurück“ klingt fast zu schön, um wahr zu sein. Kein Wunder also, dass es immer mehr Rechtsprechung dazu gibt. Mittlerweile entscheidet auch der Europäische Gerichtshof (EuGH) regelmäßig über vermeintliche Ansprüche nach Artikel 82 DSGVO. Und sie scheitern meist.

Für Schlagzeilen hat ein Fall der Österreichischen Post (EuGH (3. Kammer) Urteil vom 4.5.2023 – C-300/21) gesorgt. Während der Sachverhalt selbst den Datenschützern die Haare zu Berge stehen ließ, war es mit dem Schadensersatz allerdings nicht weit her.

Ab 2017 hat die Österreichische Post Informationen über die politische Affinität der österreichischen Bevölkerung gesammelt. Mithilfe eines Algorithmus wurden anhand sozialer und demografischer Merkmale „Zielgruppenadressen“ definiert. Aus den so gesammelten Daten leitete die Post ab, dass ein Bürger eine hohe Affinität zu einer bestimmten österreichischen politischen Partei habe.

Obwohl diese Verarbeitung personenbezogener Daten auf keiner wirksamen Rechtsgrundlage beruhte und daher datenschutzwidrig war, reichte der bloße Verstoß gegen die DSGVO nicht aus, um einen Schadenersatzanspruch zu begründen. Zwar habe der Beschwerdeführer in die Verarbeitung seiner personenbezogenen Daten nicht eingewilligt und fühle sich dadurch verletzt, dass ihm eine Parteiverwandtschaft unterstellt worden sei. Das habe bei ihm eine große Verärgerung, einen Vertrauensverlust und ein Gefühl der Bloßstellung ausgelöst. Eine vorübergehende emotionale Beeinträchtigung – abgesehen davon stellten die Gerichte keinen Schaden fest.

Nach Auffassung des EuGH muss ein Schaden tatsächlich eingetreten sein und dargelegt werden. Der Betroffene muss also nachweisen, dass die von ihm behauptete Datenschutzverletzung einen Schaden bewirkt hat, der sich von der bloßen Datenschutzverletzung unterscheidet.

Zu diesem Ergebnis kommt auch der EuGH in seinem Urteil vom 14.12.2023 – C-456/22. Die Gemeinde Ummendorf hatte im Juni 2020 den Namen des Klägers – wohl datenschutzwidrig – mit der Tagesordnung einer Gemeinderatssitzung im Internet veröffentlicht. Der EuGH bezweifelt hier nicht, dass die unbefugte Veröffentlichung personenbezogener Daten und der damit verbundene kurzzeitige Kontrollverlust über diese Daten zu einem immateriellen Schaden bei den Betroffenen führen kann. Die Betroffenen müssen jedoch nachweisen, dass sie tatsächlich einen solchen Schaden erlitten haben, mag er auch noch so gering sein. Einen erforderlichen „Mindestschaden“ oder eine „Bagatellgrenze“ gibt es im Datenschutzrecht nämlich nicht, stellte der EuGH in demselben Urteil fest.

Der Verlust der Kontrolle über personenbezogene Daten spielt auch in einem weiteren Urteil des EuGH eine Rolle (Urteil vom 14.12.2023 – C-340/21): Cyberkriminelle hatten Steuer- und Sozialversicherungsdaten von rund sechs Millionen Menschen bei der bulgarischen Nationalen Agentur für Einnahmen (NAP) entwendet und veröffentlicht.

Ein Betroffener verlangte daraufhin von der NAP wegen des Verlusts der Kontrolle über seine Daten Schadensersatz in Höhe von rund 510 Euro nach Artikel 82 DSGVO. Die Klage scheiterte, denn laut EuGH kann der Kontrollverlust zwar zu einem immateriellen Schaden führen, jedoch muss der Betroffene nachweisen, dass dieser kausal auf einen Datenschutzverstoß der NAP zurückzuführen ist.

Das ist hier nicht gelungen, denn laut EuGH hätte der Cyberangriff nur dann der NAP zugerechnet werden können, wenn sie die Daten nicht angemessen nach Artikel 32 DSGVO gesichert hätte. Da die NAP das aber offensichtlich getan hatte, konnte sie nachweisen, dass sie für den Cyberangriff nicht verantwortlich ist (Art. 82 Abs. 3 DSGVO). Zu einem ähnlichen Ergebnis kommt der EuGH in seinem Urteil vom 21.12.2023 – C-667/21.

Uneinig sind sich die nationalen Gerichte noch in der Frage, ob der anspruchsbegründende Schaden durch eine tatsächliche Datenverarbeitung entstanden sein muss oder ob grundsätzlich ein Verstoß gegen irgendeine Vorschrift der DSGVO ausreicht. So kann nach Auffassung des Bundesarbeitsgerichts (2 AZR 363/21) eine verspätete Auskunft gemäß Artikel 15 DSGVO – also die unzureichende Gewährung eines Betroffenenrechts und nicht die eigentliche Datenverarbeitung – einen Schadenersatzanspruch nach Artikel 82 Absatz 1 DSGVO in Höhe von EUR 1.000,00 begründen.

Anders sehen das beispielsweise das Landgericht Stuttgart (Urteil vom 19.04.2023 – 53 O 129/22), das Landesarbeitsgericht Düsseldorf (3 Sa 285/23 vom 28.11.2023) und das Landesarbeitsgericht Nürnberg (Urteil vom 25.1.2023 – 4 Sa 201/22). Deren Auffassung stützt sich auf den Erwägungsgrund 146 der DSGVO. Dessen Einleitungssatz lautet: „Der Verantwortliche oder der Auftragsverarbeiter sollte Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, ersetzen.“

Da es sich bei der Auskunftserteilung nach Artikel 15 DSGVO aber nicht um eine Datenverarbeitung im Sinne der Legaldefinition des Artikel 4 Nummer 2 DSGVO handelt, würde ein Verstoß gegen das Auskunftsrecht keinen Schadensersatzanspruch rechtfertigen. Hierzu wird sich der EuGH wohl noch äußern müssen.

Für einen Schadensersatz nach Artikel 82 DSGVO bestehen relativ hohe Hürden, die vom EuGH und den nationalen Gerichten inzwischen herausgearbeitet wurden. Andere Aspekte bedürfen noch der Klärung. Betroffene, die Schadensersatz geltend machen wollen, oder Unternehmen, die sich einer Inanspruchnahme ausgesetzt sehen, sollten den Anspruch jedenfalls einer dreistufigen Prüfung unterziehen:

1. Liegt tatsächlich ein Verstoß gegen die DSGVO vor? Ansprüche dürften leichter zu begründen sein, wenn sich der Verstoß aus einer tatsächlichen Verarbeitung ergibt. Werden Betroffenenrechte nicht rechtzeitig oder nicht vollständig gewährt, sind möglicherweise nicht alle Voraussetzungen für einen Anspruch erfüllt.
2. Ist nachweislich ein materieller oder immaterieller Schaden durch den Verstoß entstanden? Ärger, Besorgnis und Unbehagen reichen in der Regel nicht aus.
3. Besteht ein Kausalzusammenhang zwischen dem Schaden und der Verletzung? Ist der Beklagte tatsächlich für den Verstoß verantwortlich? Datenlecks nach Cyberangriffen sind einem Unternehmen nicht zuzurechnen, wenn die Daten eigentlich ausreichend gesichert waren. Oder waren personenbezogene Daten von Nutzern eines sozialen Netzwerks öffentlich zugänglich, weil der Nutzer sie selbst auf „öffentlich“ gestellt hat? Dann sagen die Gerichte schon mal „selber schuld“.

Hier sollte eine weitere Motivation für Unternehmen liegen, in Daten- und Informationssicherheit zu investieren und für datenschutzfreundliche Voreinstellungen zu sorgen. So lässt sich im Fall der Fälle die eine oder andere Schadensersatzforderung abwehren. Der nächste Cyberangriff kommt bestimmt.