DS-GVO-Verstoß - Voraussetzungen eines Schadensersatzanspruchs
Leitsatz
1. Art. 82 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen.
2. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass er einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat.
3. Art. 82 der Verordnung 2016/679 ist dahin auszulegen, dass die nationalen Gerichte bei der Festsetzung der Höhe des Schadenersatzes, der aufgrund des in diesem Artikel verankerten Schadenersatzanspruchs geschuldet wird, die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden haben, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden.
Gesetze: VO (EU) 2016/679 Art. 82 Abs. 1
Gründe
1 Das vorliegende Vorabentscheidungsersuchen betrifft die Auslegung von Art. 82 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, im Folgenden: DSGVO) in Verbindung mit den Grundsätzen der Äquivalenz und der Effektivität.
2 Es ergeht im Rahmen eines Rechtsstreits zwischen UI und der Österreichischen Post AG wegen einer Klage von UI auf Ersatz des immateriellen Schadens, der ihm dadurch entstanden sein soll, dass die Österreichische Post AG Daten über die politischen Affinitäten von Personen mit Wohnsitz in Österreich, insbesondere auch von ihm, verarbeitet habe, obwohl er einer solchen Verarbeitung nicht zugestimmt habe.
Rechtlicher Rahmen
3 In den Erwägungsgründen 10, 75, 85 und 146 der DSGVO heißt es:
„(10) Um ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und die Hemmnisse für den Verkehr personenbezogener Daten in der [Europäischen] Union zu beseitigen, sollte das Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten gleichwertig sein. …
…
(75) Die Risiken für die Rechte und Freiheiten natürlicher Personen – mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere – können aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einem physischen, materiellen oder immateriellen Schaden führen könnte, insbesondere wenn die Verarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder ‑betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann, wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren, wenn personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen … hervorgehen, … verarbeitet werden …
…
(85) Eine Verletzung des Schutzes personenbezogener Daten kann – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder ‑betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person. …
…
(146) Der Verantwortliche oder der Auftragsverarbeiter sollte Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, ersetzen. Der Verantwortliche oder der Auftragsverarbeiter sollte von seiner Haftung befreit werden, wenn er nachweist, dass er in keiner Weise für den Schaden verantwortlich ist. Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht. Dies gilt unbeschadet von Schadenersatzforderungen aufgrund von Verstößen gegen andere Vorschriften des Unionsrechts oder des Rechts der Mitgliedstaaten. Zu einer Verarbeitung, die mit der vorliegenden Verordnung nicht im Einklang steht, zählt auch eine Verarbeitung, die nicht mit den nach Maßgabe der vorliegenden Verordnung erlassenen delegierten Rechtsakten und Durchführungsrechtsakten und Rechtsvorschriften der Mitgliedstaaten zur Präzisierung von Bestimmungen der vorliegenden Verordnung im Einklang steht. Die betroffenen Personen sollten einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. …“
4 Art. 1 („Gegenstand und Ziele“) Abs. 1 und 2 DSGVO bestimmt:
„(1) Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.
(2) Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.“
5 In Art. 4 („Begriffsbestimmungen“) Nr. 1 DSGVO heißt es:
„Im Sinne dieser Verordnung bezeichnet der Ausdruck:
1. ,personenbezogene Daten‘ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ,betroffene Person‘) beziehen; …“
6 Kapitel VIII („Rechtsbehelfe, Haftung und Sanktionen“) der DSGVO enthält die Art. 77 bis 84.
7 Art. 77 DSGVO bezieht sich auf das „Recht auf Beschwerde bei einer Aufsichtsbehörde“, während Art. 78 DSGVO das „Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde“ betrifft.
8 In Art. 82 („Haftung und Recht auf Schadenersatz“) Abs. 1 und 2 DSGVO heißt es:
„(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
(2) Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. …“
9 Art. 83 („Allgemeine Bedingungen für die Verhängung von Geldbußen“) Abs. 1 DSGVO sieht vor:
„Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 4, 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.“
10 Art. 84 („Sanktionen“) Abs. 1 DSGVO lautet:
„Die Mitgliedstaaten legen die Vorschriften über andere Sanktionen für Verstöße gegen diese Verordnung – insbesondere für Verstöße, die keiner Geldbuße gemäß Artikel 83 unterliegen – fest und treffen alle zu deren Anwendung erforderlichen Maßnahmen. Diese Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein.“
Ausgangsverfahren und Vorlagefragen
11 Ab dem Jahr 2017 sammelte die Österreichische Post, eine im Adressenhandel tätige Gesellschaft österreichischen Rechts, Informationen über die politischen Affinitäten der österreichischen Bevölkerung. Mit Hilfe eines Algorithmus, der verschiedene soziale und demografische Merkmale berücksichtigte, definierte sie „Zielgruppenadressen“. Die so generierten Daten wurden an verschiedene Organisationen verkauft, um ihnen den zielgerichteten Versand von Werbung zu ermöglichen.
12 Im Rahmen ihrer Tätigkeit verarbeitete die Österreichische Post Daten, aus denen sie im Wege einer statistischen Hochrechnung eine hohe Affinität des Klägers des Ausgangsverfahrens zu einer bestimmten österreichischen politischen Partei ableitete. Diese Informationen wurden nicht an Dritte übermittelt, aber der Kläger des Ausgangsverfahrens, der der Verarbeitung seiner personenbezogenen Daten nicht zugestimmt hatte, fühlte sich dadurch beleidigt, dass ihm eine Affinität zu der fraglichen Partei zugeschrieben wurde. Die Speicherung von Daten zu seinen mutmaßlichen politischen Meinungen durch die Österreichische Post habe bei ihm großes Ärgernis und einen Vertrauensverlust sowie ein Gefühl der Bloßstellung ausgelöst. Aus dem Vorlagebeschluss geht hervor, dass außer diesen vorübergehenden gefühlsmäßigen Beeinträchtigungen kein Schaden festgestellt werden konnte.
13 In diesem Zusammenhang erhob der Kläger des Ausgangsverfahrens beim Landesgericht für Zivilrechtssachen Wien (Österreich) Klage gegen die Österreichische Post auf Unterlassung der Verarbeitung der fraglichen personenbezogenen Daten und auf Zahlung von 1 000 Euro als Ersatz des ihm angeblich entstandenen immateriellen Schadens. Mit Urteil vom gab dieses Gericht dem Unterlassungsbegehren statt, wies das Schadenersatzbegehren jedoch ab.
14 Das mit der Berufung befasste Oberlandesgericht Wien (Österreich) bestätigte mit Urteil vom das erstinstanzliche Urteil. Hinsichtlich des Schadenersatzbegehrens verwies dieses Gericht auf die Erwägungsgründe 75, 85 und 146 der DSGVO und stellte fest, dass die innerstaatlichen Rechtsvorschriften der Mitgliedstaaten im Bereich der zivilrechtlichen Haftung die Bestimmungen der DSGVO ergänzten, sofern diese keine Sonderregelungen beinhalte. Nach österreichischem Recht führe ein Verstoß gegen die Vorschriften zum Schutz personenbezogener Daten nicht automatisch zu einem immateriellen Schaden und begründe nur dann einen Schadenersatzanspruch, wenn ein solcher Schaden eine „Erheblichkeitsschwelle“ erreiche. Dies sei jedoch bei den negativen Gefühlen, auf die sich der Kläger des Ausgangsverfahrens berufen habe, nicht der Fall.
15 Der von beiden Parteien des Ausgangsverfahrens angerufene Oberste Gerichtshof (Österreich) gab der Revision der Österreichischen Post gegen die ihr auferlegte Unterlassungsverpflichtung mit Teilurteil vom nicht Folge. Der Oberste Gerichtshof bleibt daher nur mehr mit der Revision befasst, die der Kläger des Ausgangsverfahrens gegen die Abweisung seines Schadenersatzbegehrens erhoben hat.
16 Zur Stützung seines Vorabentscheidungsersuchens weist das vorlegende Gericht darauf hin, dass aus dem 146. Erwägungsgrund der DSGVO hervorgehe, dass mit Art. 82 DSGVO eine eigenständige Haftungsregelung für den Schutz personenbezogener Daten eingeführt worden sei, die die in den Mitgliedstaaten geltenden Regelungen überlagert habe. Daher seien die in Art. 82 DSGVO enthaltenen Begriffe, insbesondere der in Abs. 1 verwendete Begriff „Schaden“, autonom auszulegen und die Voraussetzungen für den Eintritt der Haftung nicht anhand der Vorschriften des nationalen Rechts, sondern anhand der Anforderungen des Unionsrechts zu bestimmen.
17 Konkret ist als Erstes festzuhalten, dass das vorlegende Gericht, was das Recht auf Schadenersatz wegen Verstoßes gegen den Schutz personenbezogener Daten betrifft, im Licht des sechsten Satzes des 146. Erwägungsgrundes der DSGVO zu der Auffassung neigt, dass Schadenersatz nach Art. 82 DSGVO nur dann zustehe, wenn der betroffenen Person tatsächlich ein materieller oder immaterieller Schaden entstanden sei. Die Gewährung eines solchen Schadenersatzes hänge vom Nachweis eines konkreten Schadens ab, der sich vom erwähnten Verstoß unterscheide, welcher für sich genommen das Vorliegen eines immateriellen Schadens nicht belege. Der 75. Erwägungsgrund der DSGVO erwähne die bloße Möglichkeit, dass ein immaterieller Schaden aus den dort aufgeführten Verstößen resultiere, und im 85. Erwägungsgrund werde zwar die Gefahr eines „Verlustes der Kontrolle“ über die betroffenen Daten erwähnt, jedoch sei diese Gefahr im vorliegenden Fall unbestimmt, da die Daten nicht an Dritte weitergegeben worden seien.
18 Als Zweites vertritt das vorlegende Gericht hinsichtlich der Beurteilung des Schadenersatzes, der nach Art. 82 DSGVO gewährt werden kann, die Ansicht, dass der unionsrechtliche Effektivitätsgrundsatz nur begrenzte Auswirkungen haben dürfe, da in der DSGVO für den Fall des Verstoßes gegen ihre Vorschriften bereits hohe Strafen vorgesehen seien und es daher nicht erforderlich sei, darüber hinaus einen hohen Schadenersatz zuzusprechen, um die praktische Wirksamkeit der DSGVO zu gewährleisten. Der aus diesem Grund geschuldete Schadenersatz müsse verhältnismäßig, wirksam und abschreckend sein, damit der zugesprochene Schadenersatz eine Ausgleichsfunktion erfüllen könne, aber keinen Strafcharakter habe, der dem Unionsrecht fremd sei.
19 Als Drittes zieht das vorlegende Gericht die von der Österreichischen Post vertretene Auffassung in Zweifel, dass die Gewährung eines solchen Schadenersatzes von der Voraussetzung abhänge, dass durch den Verstoß gegen den Schutz personenbezogener Daten ein besonders hoher Schaden entstanden sei. Der 146. Erwägungsgrund der DSGVO fordere insoweit eine weite Auslegung des Begriffs „Schaden“ im Sinne dieser Verordnung. Ein immaterieller Schaden sei nach Art. 82 DSGVO zu ersetzen, wenn er spürbar sei, selbst wenn er gering sein sollte. Dagegen dürfe ein solcher Schaden nicht ersetzt werden, wenn er völlig vernachlässigbar sei, wie dies bei bloßen unangenehmen Gefühlen der Fall sei, die mit einem solchen Verstoß typischerweise einhergingen.
20 Unter diesen Umständen hat der Oberste Gerichtshof beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:
Erfordert der Zuspruch von Schadenersatz nach Art. 82 DSGVO neben einer Verletzung von Bestimmungen der DSGVO auch, dass der Kläger einen Schaden erlitten hat oder reicht bereits die Verletzung von Bestimmungen der DSGVO als solche für die Zuerkennung von Schadenersatz aus?
Bestehen für die Bemessung des Schadenersatzes neben den Grundsätzen der Effektivität und Äquivalenz weitere Vorgaben des Unionsrechts?
Ist die Auffassung mit dem Unionsrecht vereinbar, dass Voraussetzung für den Zuspruch immateriellen Schadens ist, dass eine Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht vorliegt, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgeht?
Zu den Vorlagefragen
Zur Zulässigkeit der ersten und der zweiten Frage
21 Der Kläger des Ausgangsverfahrens bringt im Wesentlichen vor, die erste Vorlagefrage sei unzulässig, weil sie hypothetisch sei. Er macht zunächst geltend, dass seine Schadenersatzklage nicht auf eine „reine“ Verletzung einer Bestimmung der DSGVO gestützt sei. Sodann lasse sich dem Vorlagebeschluss entnehmen, das Einigkeit darüber bestehe, dass Schadenersatz nur dann gebühre, wenn eine solche Verletzung mit einem tatsächlich erlittenen Schaden einhergehe. Schließlich scheine zwischen den Parteien des Ausgangsverfahrens lediglich strittig zu sein, ob der Schaden eine „Erheblichkeitsschwelle“ überschreiten müsse. Würde der Gerichtshof die hierzu gestellte dritte Frage jedoch – wie vom Kläger des Ausgangsverfahrens selbst vorgeschlagen – verneinen, wäre die erste Frage nach Ansicht des Klägers des Ausgangsverfahrens für die Entscheidung des Ausgangsrechtsstreits irrelevant.
22 Der Kläger des Ausgangsverfahrens macht ferner geltend, dass die zweite Vorlagefrage unzulässig sei, weil sie inhaltlich sehr breit und zugleich zu ungenau formuliert sei, da das vorlegende Gericht „Vorgaben des Unionsrechts“ anführe, ohne eine von ihnen konkret anzugeben.
23 Insoweit ist darauf hinzuweisen, dass es nach ständiger Rechtsprechung allein Sache des nationalen Gerichts ist, das mit dem Rechtsstreit befasst ist und in dessen Verantwortungsbereich die zu erlassende Entscheidung fällt, anhand der Besonderheiten der Rechtssache sowohl die Erforderlichkeit einer Vorabentscheidung für den Erlass seines Urteils als auch die Erheblichkeit der Fragen zu beurteilen, die es dem Gerichtshof vorlegt, wobei für die Fragen eine Vermutung der Entscheidungserheblichkeit gilt. Der Gerichtshof ist folglich grundsätzlich gehalten, über die ihm vorgelegte Frage zu befinden, wenn sie die Auslegung oder die Gültigkeit einer Vorschrift des Unionsrechts betrifft, es sei denn, dass die erbetene Auslegung offensichtlich in keinem Zusammenhang mit den Gegebenheiten oder dem Gegenstand des Ausgangsrechtsstreits steht, dass das Problem hypothetischer Natur ist oder dass der Gerichtshof nicht über die tatsächlichen und rechtlichen Angaben verfügt, die für eine zweckdienliche Beantwortung der Frage erforderlich sind (vgl. in diesem Sinne Urteile vom , Bosman, C‑415/93, EU:C:1995:463, Rn. 61, vom , Beck und Bergdorf, C‑355/97, EU:C:1999:391, Rn. 22, sowie vom , Zagrebačka banka, C‑567/20, EU:C:2022:352, Rn. 43 und die dort angeführte Rechtsprechung).
24 Im vorliegenden Verfahren betrifft die erste Frage die Voraussetzungen für die Geltendmachung des Schadenersatzanspruchs nach Art. 82 DSGVO. Außerdem ist nicht offensichtlich, dass die erbetene Auslegung in keinem Zusammenhang mit dem Ausgangsrechtsstreit stünde oder dass das aufgeworfene Problem hypothetischer Natur wäre. Zum einen betrifft dieser Rechtsstreit nämlich ein Schadenersatzbegehren, das unter die durch die DSGVO eingeführte Regelung zum Schutz personenbezogener Daten fällt. Zum anderen soll mit dieser Frage geklärt werden, ob es für die Anwendung der in der DSGVO aufgestellten Haftungsregeln erforderlich ist, dass die betroffene Person einen Schaden erlitten hat, der sich vom Verstoß gegen diese Verordnung unterscheidet.
25 Hinsichtlich der zweiten Frage ist bereits entschieden worden, dass der Umstand allein, dass der Gerichtshof aufgefordert ist, sich abstrakt und allgemein zu äußern, nicht die Unzulässigkeit eines Vorabentscheidungsersuchens nach sich ziehen kann (Urteil vom , International Mail Spain, C‑162/06, EU:C:2007:681, Rn. 24). Eine abstrakt und allgemein formulierte Frage kann als hypothetisch und damit unzulässig angesehen werden, wenn die Vorlageentscheidung nicht das Mindestmaß an Erläuterungen, das erforderlich ist, um einen Zusammenhang zwischen der Frage und dem Ausgangsrechtsstreit herstellen zu können, enthält (vgl. in diesem Sinne Urteil vom , Sanresa, C‑295/20, EU:C:2021:556, Rn. 69 und 70).
26 Dies ist hier jedoch nicht der Fall, da das vorlegende Gericht erläutert, dass seine zweite Frage auf Zweifeln beruhe, ob es im Rahmen der Prüfung, ob die Österreichische Post wegen eines Verstoßes gegen Bestimmungen der DSGVO Schadenersatz zu leisten habe, erforderlich sei, nicht nur die in dieser Frage genannten Grundsätze der Äquivalenz und der Effektivität, sondern auch etwaige weitere Anforderungen des Unionsrechts zu beachten. In diesem Zusammenhang hindert der Umstand, dass das vorlegende Gericht keine genaueren Angaben als jene zu diesen Grundsätzen gemacht hat, den Gerichtshof nicht daran, eine zweckdienliche Auslegung der einschlägigen Vorschriften des Unionsrechts vorzunehmen.
27 Folglich sind die erste und die zweite Frage zulässig.
Zu den Vorlagefragen
Zur ersten Frage
28 Mit seiner ersten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung ausreicht, um einen Schadenersatzanspruch zu begründen.
29 Insoweit ist darauf hinzuweisen, dass nach ständiger Rechtsprechung die Begriffe einer Bestimmung des Unionsrechts, die für die Ermittlung ihres Sinnes und ihrer Tragweite nicht ausdrücklich auf das Recht der Mitgliedstaaten verweist, in der Regel in der gesamten Union eine autonome und einheitliche Auslegung erhalten müssen (Urteile vom , Latvijas Republikas Saeima [Strafpunkte], C‑439/19, EU:C:2021:504, Rn. 81, und vom , ShareWood Switzerland, C‑595/20, EU:C:2022:86, Rn. 21), die insbesondere unter Berücksichtigung des Wortlauts der betreffenden Bestimmung und des Zusammenhangs, in den sie sich einfügt, zu ermitteln ist (vgl. in diesem Sinne Urteile vom , The North of England P & I Association, C‑786/19, EU:C:2021:276, Rn. 48, sowie vom , KRONE – Verlag, C‑65/20, EU:C:2021:471, Rn. 25).
30 Die DSGVO verweist für den Sinn und die Tragweite der in ihrem Art. 82 enthaltenen Begriffe, insbesondere in Bezug auf die Begriffe „materieller oder immaterieller Schaden“ und „Schadenersatz“, nicht auf das Recht der Mitgliedstaaten. Daraus folgt, dass diese Begriffe für die Anwendung der DSGVO als autonome Begriffe des Unionsrechts anzusehen sind, die in allen Mitgliedstaaten einheitlich auszulegen sind.
31 Was als Erstes den Wortlaut von Art. 82 DSGVO betrifft, ist darauf hinzuweisen, dass nach Abs. 1 dieses Artikels „[j]ede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, … Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter [hat]“.
32 Zum einen geht aus dem Wortlaut dieser Bestimmung klar hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DSGVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind.
33 Daher kann nicht davon ausgegangen werden, dass jeder „Verstoß“ gegen die Bestimmungen der DSGVO für sich genommen den Schadenersatzanspruch der betroffenen Person im Sinne von Art. 4 Nr. 1 dieser Verordnung eröffnet. Eine solche Auslegung liefe dem Wortlaut von Art. 82 Abs. 1 DSGVO zuwider.
34 Zum anderen ist hervorzuheben, dass die gesonderte Erwähnung eines „Schadens“ und eines „Verstoßes“ in Art. 82 Abs. 1 DSGVO überflüssig wäre, wenn der Unionsgesetzgeber davon ausgegangen wäre, dass ein Verstoß gegen die Bestimmungen der DSGVO für sich allein in jedem Fall ausreichend wäre, um einen Schadenersatzanspruch zu begründen.
35 Als Zweites wird die vorstehende Wortauslegung durch den Zusammenhang bestätigt, in den sich diese Bestimmung einfügt.
36 Art. 82 Abs. 2 DSGVO, der die Haftungsregelung, deren Grundsatz in Abs. 1 dieses Artikels festgelegt ist, präzisiert, übernimmt nämlich die drei Voraussetzungen für die Entstehung des Schadenersatzanspruchs, nämlich eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DSGVO, ein der betroffenen Person entstandener Schaden und ein Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden.
37 Diese Auslegung wird auch durch die Erläuterungen in den Erwägungsgründen 75, 85 und 146 der DSGVO bestätigt. Zum einen bezieht sich der 146. Erwägungsgrund der DSGVO, der speziell den in Art. 82 Abs. 1 dieser Verordnung vorgesehenen Schadenersatzanspruch betrifft, in seinem ersten Satz auf „Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht“. Zum anderen heißt es in den Erwägungsgründen 75 und 85 der DSGVO, dass „[d]ie Risiken … aus einer Verarbeitung personenbezogener Daten hervorgehen [können], die zu einem … Schaden führen könnte“ bzw. dass eine „Verletzung des Schutzes personenbezogener Daten … einen … Schaden … nach sich ziehen [kann]“. Daraus ergibt sich erstens, dass der Eintritt eines Schadens im Rahmen einer solchen Verarbeitung nur potenziell ist, zweitens, dass ein Verstoß gegen die DSGVO nicht zwangsläufig zu einem Schaden führt, und drittens, dass ein Kausalzusammenhang zwischen dem fraglichen Verstoß und dem der betroffenen Person entstandenen Schaden bestehen muss, um einen Schadenersatzanspruch zu begründen.
38 Die Wortauslegung von Art. 82 Abs. 1 DSGVO wird auch durch einen Vergleich mit anderen Bestimmungen bestätigt, die ebenfalls in Kapitel VIII der DSGVO enthalten sind, das u. a. die verschiedenen Rechtsbehelfe regelt, mit denen die Rechte der betroffenen Person im Fall einer Verarbeitung ihrer personenbezogenen Daten, die gegen die Bestimmungen dieser Verordnung verstoßen soll, geschützt werden können.
39 Hierzu ist festzustellen, dass die in diesem Kapitel enthaltenen Art. 77 und 78 DSGVO im Fall eines behaupteten Verstoßes gegen diese Verordnung Rechtsbehelfe bei einer bzw. gegen eine Aufsichtsbehörde vorsehen, wobei sie – anders als Art. 82 DSGVO in Bezug auf Schadenersatzklagen – keinen Hinweis darauf enthalten, dass der betroffenen Person ein „Schaden“ entstanden sein müsste, um solche Rechtsbehelfe einlegen zu können. Dieser Unterschied in der Formulierung offenbart die Bedeutung des Kriteriums „Schaden“ und damit seine Eigenständigkeit gegenüber dem Kriterium „Verstoß“ für die Zwecke der auf die DSGVO gestützten Schadenersatzansprüche.
40 Auch haben die Art. 83 und 84 DSGVO, die die Verhängung von Geldbußen und anderen Sanktionen erlauben, im Wesentlichen einen Strafzweck und hängen nicht vom Vorliegen eines individuellen Schadens ab. Das Verhältnis zwischen den in Art. 82 DSGVO und den in den Art. 83 und 84 DSGVO enthaltenen Vorschriften zeigt, dass zwischen diesen beiden Kategorien von Bestimmungen ein Unterschied besteht, sie einander aber als Anreiz zur Einhaltung der DSGVO auch ergänzen, wobei das Recht jeder Person, den Ersatz eines Schadens zu verlangen, die Durchsetzungskraft der in dieser Verordnung vorgesehenen Schutzvorschriften erhöht und geeignet ist, von der Wiederholung rechtswidriger Verhaltensweisen abzuschrecken.
41 Schließlich ist darauf hinzuweisen, dass nach dem vierten Satz des 146. Erwägungsgrundes der DSGVO die Vorschriften der DSGVO unbeschadet von Schadenersatzforderungen aufgrund von Verstößen gegen andere Vorschriften des Unionsrechts oder des Rechts der Mitgliedstaaten gelten.
42 Nach alledem ist auf die erste Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen.
Zur dritten Frage
43 Mit seiner dritten Frage, die vor der zweiten Frage zu prüfen ist, möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass er einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat.
44 Insoweit ist auf die oben in Rn. 30 gemachten Ausführungen hinzuweisen, wonach der Begriff „Schaden“ und im vorliegenden Fall speziell der Begriff „immaterieller Schaden“ im Sinne von Art. 82 DSGVO in Anbetracht des Fehlens jeglicher Bezugnahme auf das innerstaatliche Recht der Mitgliedstaaten eine autonome und einheitliche unionsrechtliche Definition erhalten müssen.
45 Als Erstes ist in der DSGVO der Begriff „Schaden“ für die Zwecke der Anwendung dieses Instruments nicht definiert. Art. 82 DSGVO beschränkt sich auf die ausdrückliche Feststellung, dass nicht nur ein „materieller Schaden“, sondern auch ein „immaterieller Schaden“ Anspruch auf Schadenersatz eröffnen kann, ohne dass eine wie auch immer geartete Erheblichkeitsschwelle genannt wird.
46 Als Zweites deutet auch der Zusammenhang, in den sich diese Bestimmung einfügt, darauf hin, dass der Schadenersatzanspruch nicht davon abhängt, dass der betreffende Schaden eine gewisse Erheblichkeit erreicht. Nach dem dritten Satz des 146. Erwägungsgrundes der DSGVO sollte „[d]er Begriff des Schadens … im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht“. Es stünde jedoch zu dem vom Unionsgesetzgeber gewählten weiten Verständnis des Begriffs „Schaden“ im Widerspruch, wenn dieser Begriff auf Schäden mit einer gewissen Erheblichkeit beschränkt wäre.
47 Als Drittes und Letztes wird diese Auslegung durch die mit der DSGVO verfolgten Ziele bestätigt. Insoweit ist darauf hinzuweisen, dass im dritten Satz des 146. Erwägungsgrundes der DSGVO ausdrücklich gefordert wird, bei der Definition des Begriffs „Schaden“ im Sinne dieser Verordnung „den Zielen dieser Verordnung in vollem Umfang“ zu entsprechen.
48 Insbesondere geht aus dem zehnten Erwägungsgrund der DSGVO hervor, dass diese namentlich darauf abzielt, innerhalb der Union ein gleichmäßiges und hohes Niveau des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten zu gewährleisten und zu diesem Zweck für eine unionsweit gleichmäßige und einheitliche Anwendung der Vorschriften zum Schutz der Grundrechte und Grundfreiheiten dieser Personen bei der Verarbeitung personenbezogener Daten zu sorgen (vgl. in diesem Sinne Urteile vom , Facebook Ireland und Schrems, C‑311/18, EU:C:2020:559, Rn. 101, sowie vom , Österreichische Post [Informationen über die Empfänger personenbezogener Daten], C‑154/21, EU:C:2023:3, Rn. 44 und die dort angeführte Rechtsprechung).
49 Würde aber der Ersatz eines immateriellen Schadens von einer Erheblichkeitsschwelle abhängig gemacht, könnte dies die Kohärenz der mit der DSGVO eingeführten Regelung beeinträchtigen, da die graduelle Abstufung einer solchen Schwelle, von der die Möglichkeit, Schadenersatz zu erhalten, abhinge, je nach Beurteilung durch die angerufenen Gerichte unterschiedlich hoch ausfallen könnte.
50 Allerdings bedeutet diese Auslegung nicht, dass eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 dieser Verordnung darstellen.
51 Nach alledem ist auf die dritte Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass er einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat.
Zur zweiten Frage
52 Mit seiner zweiten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 DSGVO dahin auszulegen ist, dass die nationalen Gerichte bei der Festsetzung der Höhe des Schadenersatzes, der aufgrund des in diesem Artikel verankerten Schadenersatzanspruchs geschuldet wird, die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung unter Beachtung nicht nur der unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität anzuwenden haben.
53 Insoweit ist darauf hinzuweisen, dass es nach ständiger Rechtsprechung mangels einschlägiger Unionsregeln nach dem Grundsatz der Verfahrensautonomie Sache der innerstaatlichen Rechtsordnung jedes Mitgliedstaats ist, die verfahrensrechtlichen Modalitäten der Rechtsbehelfe, die zum Schutz der Rechte der Bürger bestimmt sind, festzulegen, vorausgesetzt allerdings, dass diese Modalitäten bei unter das Unionsrecht fallenden Sachverhalten nicht ungünstiger sind als diejenigen, die gleichartige Sachverhalte regeln, die dem innerstaatlichen Recht unterliegen (Äquivalenzgrundsatz), und dass sie die Ausübung der durch das Unionsrecht verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren (Effektivitätsgrundsatz) (vgl. in diesem Sinne Urteile vom , El Hassani, C‑403/16, EU:C:2017:960, Rn. 26, und vom , Uniqa Versicherungen, C‑18/21, EU:C:2022:682, Rn. 36).
54 Im vorliegenden Fall ist festzustellen, dass die DSGVO keine Bestimmung enthält, die sich den Regeln für die Bemessung des Schadenersatzes widmet, auf den eine betroffene Person im Sinne von Art. 4 Nr. 1 dieser Verordnung nach deren Art. 82 Anspruch hat, wenn ihr durch einen Verstoß gegen diese Verordnung ein Schaden entstanden ist. Daher sind die Ausgestaltung von Klageverfahren, die den Schutz der dem Einzelnen aus Art. 82 DSGVO erwachsenden Rechte gewährleisten sollen, und insbesondere die Festlegung der Kriterien für die Ermittlung des Umfangs des in diesem Rahmen geschuldeten Schadenersatzes in Ermangelung einschlägiger unionsrechtlicher Vorschriften Aufgabe des Rechts des einzelnen Mitgliedstaats, wobei der Äquivalenz- und der Effektivitätsgrundsatz zu beachten sind (vgl. entsprechend Urteil vom , Manfredi u. a., C‑295/04 bis C‑298/04, EU:C:2006:461, Rn. 92 und 98).
55 Was den Äquivalenzgrundsatz betrifft, verfügt der Gerichtshof im vorliegenden Verfahren über keinerlei Anhaltspunkte, die einen Zweifel an der Vereinbarkeit einer auf den Ausgangsrechtsstreit anwendbaren nationalen Regelung mit diesem Grundsatz aufkommen lassen und somit darauf hindeuten könnten, dass sich dieser Grundsatz im Rahmen dieses Rechtsstreits konkret auswirken könnte.
56 Was den Effektivitätsgrundsatz betrifft, ist es Sache des vorlegenden Gerichts, festzustellen, ob die im österreichischen Recht vorgesehenen Modalitäten für die gerichtliche Festsetzung des Schadenersatzes, der aufgrund des in Art. 82 DSGVO verankerten Schadenersatzanspruchs geschuldet wird, die Ausübung der durch das Unionsrecht und insbesondere durch diese Verordnung verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren.
57 In diesem Zusammenhang ist darauf hinzuweisen, dass der sechste Satz des 146. Erwägungsgrundes der DSGVO besagt, dass dieses Instrument einen „vollständigen und wirksamen Schadenersatz für den erlittenen Schaden“ sicherstellen soll.
58 Wie der Generalanwalt in den Nrn. 39, 49 und 52 seiner Schlussanträge im Wesentlichen ausgeführt hat, ist in Anbetracht der Ausgleichsfunktion des in Art. 82 DSGVO vorgesehenen Schadenersatzanspruchs eine auf diese Bestimmung gestützte finanzielle Entschädigung als „vollständig und wirksam“ anzusehen, wenn sie es ermöglicht, den aufgrund des Verstoßes gegen diese Verordnung konkret erlittenen Schaden in vollem Umfang auszugleichen, ohne dass ein solcher vollumfänglicher Ausgleich die Verhängung von Strafschadenersatz erfordert.
59 Nach alledem ist auf die zweite Frage zu antworten, dass Art. 82 DSGVO dahin auszulegen ist, dass die nationalen Gerichte bei der Festsetzung der Höhe des Schadenersatzes, der aufgrund des in diesem Artikel verankerten Schadenersatzanspruchs geschuldet wird, die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden haben, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden.
Kosten
60 Für die Beteiligten des Ausgangsverfahrens ist das Verfahren Teil des beim vorlegenden Gericht anhängigen Verfahrens; die Kostenentscheidung ist daher Sache dieses Gerichts. Die Auslagen anderer Beteiligter für die Abgabe von Erklärungen vor dem Gerichtshof sind nicht erstattungsfähig.
Aus diesen Gründen hat der Gerichtshof (Dritte Kammer) für Recht erkannt:
1. Art. 82 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
ist dahin auszulegen,
dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen.
2. Art. 82 Abs. 1 der Verordnung 2016/679
ist dahin auszulegen,
dass er einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat.
3. Art. 82 der Verordnung 2016/679
ist dahin auszulegen,
dass die nationalen Gerichte bei der Festsetzung der Höhe des Schadenersatzes, der aufgrund des in diesem Artikel verankerten Schadenersatzanspruchs geschuldet wird, die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden haben, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden.
Auf diese Entscheidung wird Bezug genommen in folgenden Gerichtsentscheidungen:
ECLI Nummer:
ECLI:EU:C:2023:370
Fundstelle(n):
GAAAJ-41389