Prof. Dr. Hervé Edelmann, Fachanwalt für Bank- und Kapitalmarktrecht, Thümmel, Schütze & Partner, Stuttgart
In seiner Entscheidung vom 20.06.2024, C- 590/22, ZIP 2024, 2035 ff., erinnert der EuGH daran, dass er in früheren Entscheidungen (vgl. hierzu Edelmann in BTS, Ausgabe Mai 2024, 38; BTS, Ausgabe Februar 2024, S. 4 f., BTS, Ausgabe Oktober 2023, 80 f.) bereits klargestellt hat, dass aus dem Wortlaut des Art. 82 Abs. 1 DSGVO klar hervorgehe, dass das tatsächliche Vorliegen eines materiellen oder immateriellen Schadens eines der Grundvoraussetzungen für den in Art. 82 DSGVO vorgesehenen Schadensersatzanspruch darstellt. Hinzukommen müsse das Vorliegen eines Verstoßes gegen die DSGVO. Schließlich bedürfe es eines Kausalzusammenhangs zwischen dem Schaden und dem DSGVO-Verstoß, wobei diese drei Voraussetzungen kumulativ seien (Rn. 22).
Dies zugrundelegend reiche, so der EuGH weiter, der bloße Verstoß gegen die Bestimmungen der DSGVO nicht aus, um einen Schadensersatzanspruch zu begründen (Rn. 24). Vielmehr müsse die betroffene Person substantiiert darlegen und vor allem auch beweisen, dass sie tatsächlich einen materiellen oder immateriellen Schaden erlitten hat (Rn. 27), ohne dass der Schaden einen gewissen Schweregrad erreicht haben muss (Rn. 26).
Sodann hält der EuGH fest, dass bereits die durch einen Verstoß gegen die DSGVO ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, für sich genommen einen immateriellen Schaden i. S. v. Art. 82 DSGVO darstellen könnte (Rn. 32), wobei diese Befürchtung nur dann einen Schadensersatzanspruch zu begründen vermag, wenn die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat (Rn. 33). Demgemäß könne die bloße Behauptung einer Befürchtung, ohne nachgewiesene negative Folgen, einen Schadensersatz nach DSGVO nicht zu begründen oder zu rechtfertigen (Rn. 35).
Hieran anschließend erinnert der EuGH nochmals daran, dass bei der Bemessung des Schadensersatzanspruchs nach Art. 82 DSGVO die in Art. 83 DSGVO vorgesehenen Kriterien für die Festsetzung der Beträge der Geldbußen nicht herangezogen werden können (Rn. 39). Nachdem der in 82 Abs. 1 DSGVO vorgesehene Anspruch auf Schadensersatz zudem weder eine Abschreckungs- noch eine Straffunktion erfülle, könne, so der EuGH weiter, die Schwere des Verstoßes gegen die DSGVO keinen Einfluss auf die Höhe des auf der Grundlage dieser Bestimmung gewährten Schadensersatzanspruchs haben. Erst recht nicht könne der Schaden über den vollständigen Ersatz des tatsächlich entstandenen und nachgewiesenen Schadens hinausgehen (Rn. 41).
Schließlich führt der EuGH aus, dass in Anbetracht der Ausgleichsfunktion des Schadensersatzanspruchs gemäß Art. 82 DSGVO bei der Bemessung der Höhe des Schadensbetrages zugleich verwirklichte Verstöße gegen nationale Vorschriften, die sich auf den Schutz personenbezogener Daten beziehen, aber nicht bezwecken, die Bestimmungen der DSGVO zu präzisieren, nicht zu berücksichtigen sind (Rn. 50).
PRAXISTIPP
Einmal mehr hat der EuGH die bei der Gewährung eines immateriellen Schadensersatzanspruches nach Art. 82 DSGVO zu erfüllenden Voraussetzungen hervorgehoben und präzisiert und damit den nationalen Gerichten erneut Leitlinien vorgegeben, an welche sich diese bei Verfassung ihrer Urteile orientieren und halten können (zum DSGVO Schadensersatzanspruch vgl. auch Hanßen, DB 2024, 2210 ff.).
Beitragsnummer: 22739