von Dr. Christoph A. BausTim WybitulStefan Patzer, Dr. Isabelle Brams

Die Entscheidung des EuGH wird erhebliche Auswirkungen auf Unternehmen und Schadensersatzklagen nach Art. 82 DSGVO haben.

Der Österreichische Oberste Gerichtshof (OGH) hat mit Beschluss vom 15. April 2021 (Az. 6Ob35/21x) den Weg zu einer einheitlichen Auslegung des datenschutzrechtlichen Schadenersatzrechts geebnet. Im Wege eines Vorabentscheidungsersuchens (Art. 267 AEUV) legte der OGH dem Europäischen Gerichtshof (EuGH) wesentliche Fragen zur Auslegung von Art. 82 DSGVO zur Vorabentscheidung vor. Die bevorstehende Klärung grundsätzlicher Fragen zu DSGVO-Schadensersatz kann erheblichen Einfluss auf entsprechende Gerichtsverfahren in Deutschland haben. Dieser Beitrag gibt einen Überblick über Schadensersatzklagen wegen Datenschutzverstößen und darüber, welche Auswirkungen das Vorabentscheidungsgesuch auf laufende Gerichtsverfahren haben könnte.

Überblick

  • Schadensersatzklagen wegen Datenschutzverstößen: Von Datenschutzverstößen betroffene Personen können nach Art. 82 DSGVO immateriellen Schadensersatz wegen Datenschutzverstößen verlangen. Da Datenschutzverstöße typischerweise eine große Anzahl von Personen betreffen können, haben sich bereits einige Verbraucheranwälte und Organisationen (z.B. EuGD, RightNow, Kleinfee) auf die massenhafte Geltendmachung von DSGVO-Schadensersatz spezialisiert.
  • Tendenzen der Rechtsprechung: In den vergangenen Jahren sind eine Vielzahl von Gerichtsentscheidungen zu Art. 82 DSGVO ergangen. Die bislang höchste zugesprochene Schmerzensgeldsumme beträgt 5.000 EUR (ArbG Düsseldorf, Urt. v. 5. März 2020 – 9 Ca 6557/18). Allerdings haben auch zahlreiche Gerichte Klagen auf immateriellen Schadensersatz abgewiesen, etwa weil Kläger keinen Verstoß gegen Datenschutzbestimmungen oder keine spürbare Beeinträchtigung vorgetragen bzw. nachgewiesen hatten. Einen stets aktuellen Überblick über relevante Entscheidungen zu Art. 82 DSGVO bietet die Latham DSGVO-Schadensersatztabelle.
  • Vorgaben des Bundesverfassungsgerichts: Das deutsche Bundesverfassungsgericht (BVerfG) stellte in einem Beschluss vom 14. Januar 2021 (Az. 1 BvR 2853/19) fest, dass die Voraussetzungen eines Schadensersatzanspruchs nach Art. 82 DSGVO im Detail weder erschöpfend geklärt seien noch unmittelbar aus der DSGVO abgeleitet werden könnten. In letzter Instanz tätige Gerichte müssten bestimmte Rechtsfragen zu Art. 82 DSGVO daher dem EuGH zur Vorabentscheidung vorlegen, wenn es für die jeweilige Entscheidung im Einzelfall darauf ankommt.
  • Beschluss des OGH: Die österreichischen Richter legen dem EuGH im Interesse einer einheitlichen Anwendung des Unionsrechts die im folgenden Abschnitt zusammengefassten Fragen zu Art. 82 DSGVO zur Vorabentscheidung nach Art. 267 AEUV vor. Damit erhält der EuGH erstmals die Gelegenheit, zentrale Fragen zum DSGVO-Schadensersatz zu klären.

Über welche Fragen wird der EuGH entscheiden?

Der OGH legte dem EuGH folgende drei Fragen vor:

  • Datenschutzverstoß gleich Schaden: Reicht bereits die Verletzung von Bestimmungen der DSGVO als solche für die Zuerkennung von Schadenersatz aus? Teilweise argumentieren Kläger und Gerichte, dass bereits der mit einem Datenschutzverstoß einhergehende Verlust der Kontrolle über die eigenen Daten einen Schadensposten darstellen solle.
  • EU-rechtliche Anforderungen: Gibt es neben den Grundsätzen der Effektivität und Äquivalenz noch weitere Vorgaben des Unionsrechts, die nationale Gerichte bei der Bemessung des Schadenersatzes nach Art. 82 DSGVO beachten müssen?
  • Erheblichkeitsschwelle: Setzt ein immaterieller Schaden voraus, dass die Rechtsverletzung Folgen von zumindest einigem Gewicht hat, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgehen?

Wann ist mit der Entscheidung zu rechnen?

Angesichts der hohen Praxisrelevanz der dem EuGH vorgelegten Fragen wäre eine baldige Klärung wünschenswert. Allerdings beträgt die durchschnittliche Verfahrensdauer beim EuGH etwa eineinhalb Jahre.

Wie wird der EuGH entscheiden?

Entscheidungen des EuGH lassen sich erfahrungsgemäß nur schwer vorhersagen. In den vergangenen Jahren ergangene Entscheidungen der Luxemburger Richter zum Datenschutz lassen jedoch teilweise eine sehr verbraucherfreundliche Tendenz erkennen. Insbesondere zeigen Entscheidungen wie „Schrems II“ (EuGH, Urt. v. 16. Juli 2020 – C311/18), dass sich die Richter auch dann nicht von „datenschutzfreundlichen“ Entscheidungen abhalten lassen, wenn deren Umsetzung in der Praxis mit erheblichen Schwierigkeiten und Folgefragen verbunden ist.

Welche Auswirkungen hat die Vorlage zum EuGH auf laufende Verfahren?

In laufenden Verfahren zu DSGVO-Schadensersatz (etwa in Österreich, Deutschland oder anderen EU-Mitgliedsstaaten) können Gerichte laufende Verfahren aussetzen, wenn die dortige Entscheidung von der Beantwortung der vom OGH vorgelegten Fragen abhängt. Allerdings sind etwa deutsche Gerichte zu einer solchen Aussetzung nicht verpflichtet und jüngste Erfahrungen im Zusammenhang mit Massenverfahren liefern empirische Hinweise, dass deutsche Gerichte diese Aussetzungsmöglichkeit bislang sehr zurückhaltend handhaben.

Welche Prozessstrategien können beklagte Unternehmen verfolgen?

Beklagte Unternehmen haben auch nach den Beschlüssen des BVerfG und des OGH weiterhin einige Möglichkeiten, sich gegen Schadensersatzklagen zu verteidigen. Beispielsweise können sie sich weiterhin auf die allgemeinen zivilprozessualen Grundsätze der Darlegungs- und Beweislast stützen. Danach obliegt es grundsätzlich dem Anspruchsteller, die Voraussetzungen der geltend gemachten Anspruchsgrundlage darzulegen und zu beweisen. Demnach können deutsche Gerichte Schadensersatzklagen abweisen, wenn der Kläger den behaupteten Datenschutzverstoß oder erlittenen Schaden nicht substantiiert nachweisen kann. Zudem können Gerichte Schadensersatzansprüche wegen fehlender Kausalität zwischen Verstoß und Schaden ablehnen.

Was müssen Unternehmen jetzt beachten?

Unternehmen sind gut beraten, sich bereits beim Auftreten von Indizien für Datenschutzverstöße auf mögliche Gerichtsverfahren vorzubereiten. Die Erfahrung zeigt, dass etwa Presseberichte über Datenverluste oder sonstige mögliche Verstöße gegen die Vorgaben der DSGVO häufig zu Klagen auf immateriellen Schadensersatz führen. Angesichts der bevorstehenden Entscheidung des EuGH zu den ihm vorgelegten Fragen empfiehlt es sich, bestehende Lücken bei der Umsetzung datenschutzrechtlicher Vorgaben zeitig zu identifizieren und zu schließen. Darüber hinaus ist eine gerichtsfeste Datenschutzdokumentation für eine erfolgreiche Verteidigung sehr hilfreich. Die Dokumentation bestehender Strukturen und Prozesse zur Umsetzung der Vorgaben der DSGVO sollte sich auch an dem Ziel orientieren, Gerichte in möglichen künftigen Schadensersatzprozessen davon zu überzeugen, dass das Unternehmen die Anforderungen des Datenschutzes richtig umgesetzt hat.

Das könnte Sie auch interessieren:
Bundesverfassungsgericht (BVerfG) bejaht Vorlagepflicht zum Europäischen Gerichtshof (EuGH) im Zusammenhang mit DSGVO-Schadensersatzansprüchen
Datenschutzklagen als Geschäftsmodell kommerzieller Anbieter – Was müssen Unternehmen jetzt beachten
Latham DSGVO-Schadensersatztabelle
Strategien zur erfolgreichen Verteidigung gegen DSGVO-Bußgelder – Data Privacy Litigation
Trend zu Klagen auf immateriellen Schadensersatz wegen DSGVO-Verstößen?
Vermeidung von DSGVO-Risiken nach Datenpannen und Cyberangriffen
Verteidigung gegen Schadensersatzklagen wegen Datenschutzverstößen