Eine der derzeit am heißesten umstrittenen Fragen ist, ob jeder Verstoß gegen die Datenschutzgrundverordnung (DS-GVO) zu einem Schadenersatzanspruch der betroffenen Person nach Artikel 82 Abs. 1 DS-GVO führt, oder ob viel mehr die betroffene Person dafür das Vorliegen eines konkreten immateriellen Schadens nachweisen muss. In der deutschen Rechtsprechung sind dazu die Meinungen geteilt. Zuletzt hatte das Arbeitsgericht Oldenburg in einer Entscheidung vom 9. Februar 2023 sich dafür ausgesprochen, dass jeder Verstoß gegen die Datenschutzgrundverordnung einen Schadensersatzanspruch auslöst, und dies mit dem generalpräventiven Charakter von Artikel 82 Abs. 1 DS-GVO begründet (s. dazu Blogbeitrag von Dr. Engelhoven vom 22. März 2023). Der Generalanwalt vor dem Europäischen Gerichtshof hat nun in seinen Schlussanträgen vom 27. April 2023 in der Rechtssache C-340/21 die Gegenposition vertreten: Nach seiner Ansicht müsse man zwischen einem ersatzfähigen immateriellen Schaden einerseits und sonstigen (nicht ersatzfähigen) „Nachteilen, die sich aus der Nichteinhaltung von Rechtsvorschriften ergeben und die aufgrund ihrer geringen Schwere nicht unbedingt einen Anspruch auf Entschädigung begründen“ anderseits unterscheiden.
Zum Ausgangsrechtstreit
Anlass für den Rechtstreit war ein erfolgreicher Hacker-Angriff auf die bulgarische Finanzverwaltung, in deren Folge Steuer- und Sozialversicherungsdaten von mehreren Millionen Menschen, sowohl bulgarischen als auch ausländischen Staatsbürgern, im Internet veröffentlicht wurden. Die Klägerin erhob daraufhin eine Schadensersatzklage gegen die bulgarische Finanzverwaltung mit der Begründung, dass ihr dadurch ein immaterieller Schaden entstanden sei, der sich in Sorgen und Befürchtungen des künftigen Missbrauchs ihrer personenbezogenen Daten äußere. Ein konkreter Missbrauch dieser Daten lag nach dem mitgeteilten Sachverhalt nicht vor. Nach Abweisung der Klage durch das Verwaltungsgericht legte in der Berufungsinstanz das Oberste Verwaltungsgericht Bulgariens dem Europäischen Gerichtshof verschiedene Vorlagefragen vor, die im Wesentlichen darauf abzielen zu klären, wann eine Schadenersatzhaftung nach Artikel 82 Abs. 1 DS-GVO gegeben ist und wie in diesem Zusammenhang die Beweislast verteilt ist.
Schlussanträge des Generalanwalts
Der Generalanwalt hat sich, wie ausgeführt dafür ausgesprochen, dass nur ein echter, vom Kläger tatsächlich erlittener immaterieller Schaden diesen zu einem Schadensersatzanspruch nach Artikel 82 DS-GVO berechtigt. Dabei räumt der Generalanwalt ein, dass die Grenze zwischen bloßer (nicht ersatzfähiger) Beunruhigung und echten (ersatzfähigen) immateriellen Schäden zweifellos unscharf ist. Die nationalen Gerichte müssten diese Grenze von Fall zu Fall ziehen. Entscheidend sei, dass es sich nicht um eine bloße subjektive Wahrnehmung handele, sondern um die Objektivierung einer, wenn auch geringfügigen, aber nachweisbaren Beeinträchtigung der physischen oder psychischen Sphäre einer Person.
Compliance bleibt weiterhin beste Schutzmaßnahme
Die Ausführungen des Generalanwaltes sind zweifellos zu begrüßen. Abzuwarten bleibt, ob sich der Europäische Gerichtshof diesen Ausführungen anschließen wird, was in der Vergangenheit nicht immer der Fall war. Sollte dies der Fall sein, wird es Sache der nationalen Gerichte sein, ggf. eine Grenzziehung zwischen nicht ersatzfähigen Beeinträchtigungen des Gefühlslebens der betroffenen Person und ersatzfähigem immateriellen Schaden zu ziehen. Kommt das Gericht zu dem Schluss, dass die Schwelle zum ersatzfähigen Schaden überschritten ist, kann in Fällen von Hacker-Angriffen, bei denen ggf. eine sehr große Zahl betroffener Personen involviert ist, das Haftungsrisiko schnell die Millionen-Euro-Grenze überschreiten. Davor kann nur ein angemessenes Datenschutzmanagementsystem schützen, welches regelmäßig überprüft und aktualisiert wird. Selbst wenn das Compliance-System den Datenschutzverstoß ggf. nicht verhindert, wirkt sich die Einführung eines solchen Systems deutlich Bußgeld mindernd aus und dürfte auch bei der Bemessung der Höhe ggf. entstehender Schadensersatzansprüche zu berücksichtigen sein.
Mit der Entscheidung des Europäischen Gerichtshofs ist zeitnah zu rechnen, zumal ein paralleler Vorlagebeschluss des Bundesarbeitsgerichts vom August 2021 beim Europäischen Gerichtshof (Az.: C-667/21) anhängig ist, bei dem es ebenfalls um die Voraussetzungen der Geltendmachung eines Schadensersatzanspruches nach Artikel 82 Abs. 1 DS-GVO geht.