Neue höchstrichterliche Rechtsprechung zur DSGVO:

Schadenersatz und Bußgelder

Martin Bahr

Dr. Bahr ist Rechtsanwalt in Hamburg und auf das Recht der Neuen Medien und den gewerblichen Rechtsschutz (Marken-, Urheber- und Wettbewerbsrecht) spezialisiert. Neben der reinen juristischen Qualifikation besitzt er ausgezeichnete Kenntnisse im Soft- und Hardware-Bereich. Unter Law-Podcasting.de betreibt er seit 2006 einen eigenen Podcast und unter Law-Vodcast.de einen Video-Vodcast.

Mehr von diesem Autor Artikel als PDF laden

Seit 2018 quält die DSGVO die Unternehmer in Europa. Viele Einzelfragen sind nach wie vor unklar und werden von einzelnen Datenschutzbehörden ganz unterschiedlich ausgelegt. Während die einen Datenschützer hü sagen, sind die anderen der Auffassung hott. Und auch als beratender Anwalt im Datenschutzrecht kann man den Mandanten häufig nur eine Entweder-oder-Antwort geben, also die klassische juristische Einschätzung à la „Es kommt darauf an“. Daher ist es umso erfreulicher, dass nun der Europäische Gerichtshof (EuGH) vor Kurzem in drei wichtigen Entscheidungen eine (relative) Sicherheit zu einzelnen Problemstellungen gegeben hat.

1. Vorbemerkung

Die drei Gerichtsentscheidungen, die wir heute besprechen, sind in einem relativ engen Zeitraum ergangen, nämlich im Dezember 2023. Die Sachverhalte sind aber durchgehend unterschiedlich und haben nichts miteinander zu tun.

2. Keine Bagatellgrenze bei Schadensersatzansprüchen mehr

a. Problemlage

Bei Datenschutzverletzungen kann der einzelne Unternehmer grundsätzlich vom betroffenen Verbraucher auf Schadensersatz in Anspruch genommen werden (Art. 82 DSGVO).

In der deutschen Rechtsprechung herrschte bislang Kraut und Rüben, welche Voraussetzungen vorliegen mussten, damit ein solcher Anspruch begründet ist. Ein Großteil der angerufenen Gerichte urteilte, dass eine sogenannte Bagatellgrenze überschritten sein musste, damit eine Haftung ausgelöst wird. Andere Gerichte verneinten dieses Merkmal und sprachen relativ frei Schadenssummen zu.

b. Entscheidung des EuGH

Im Dezember 2023 entschied nun der EuGH¹ mit deutlichen Worten, dass eine solche Erheblichkeitsschwelle nicht existiert:

„Somit kann nicht angenommen werden, dass über diese drei […] genannten Voraussetzungen hinaus für die Haftung nach Art. 82 Abs. 1 DSGVO weitere Voraussetzungen aufgestellt werden dürfen, etwa die, dass der Nachteil spürbar oder die Beeinträchtigung objektiv sein muss. Folglich verlangt Art. 82 Abs. 1 DSGVO nicht, dass nach einem erwiesenen Verstoß gegen Bestimmungen dieser Verordnung der von der betroffenen Person geltend gemachte ‚immaterielle Schaden‘ eine ‚Bagatellgrenze‘ überschreiten muss, damit dieser Schaden ersatzfähig ist.“

Das Merkmal der Bagatellgrenze ist damit obsolet.

Unternehmen müssen sich somit darauf einstellen, dass zukünftig deutlich mehr Schadensersatzansprüche gegen sie geltend gemacht werden.

c. Sinnvolle Reaktion der Unternehmen

Da sich durch die neueste Rechtsprechung das Risiko für Schadensersatzansprüche potenziert hat, sollten Unternehmen noch einmal grundlegend ihr Datenschutzkonzept auf Risiken überprüfen. Dies betrifft insbesondere die Fälle, bei denen Firmen aufgrund des Kriteriums der Bagatellgrenze bislang ein erhöhtes Risiko in Kauf genommen haben. Nunmehr müssen die Betriebe damit rechnen, dass sie deutlich häufiger in diesen Fällen verklagt werden.

Der Schwerpunkt der anwaltlichen Verteidigung wird sich damit zukünftig verlagern: Es wird häufig nicht mehr um das „Ob“ gehen, sondern vielmehr darum, in welcher Höhe der Schadensersatzanspruch besteht.

Hierzu gibt es bislang kaum einheitliche Rechtsprechung, sondern vielmehr sehr inkonsistente, widersprüchliche Entscheidungen.

3. Auch subjektive Schäden fallen unter den DSGVO-Schaden

a. Problemlage

Bislang hatte die ganz überwiegende Rechtsprechung in Deutschland verlangt, dass der zu ersetzende Schaden zumindest rein objektiv vorliegen und bestimmbar sein muss. Subjektive Schäden hingegen, wie zum Beispiel Angst oder Furcht, wurden abgelehnt.

b. Entscheidung des EuGH

Im Dezember 2023 entschied nun der EuGH² in einem weiteren Verfahren, dass bereits die Befürchtung eines möglichen Missbrauchs personenbezogener Daten für sich genommen einen immateriellen Schaden darstellen kann:

„Allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, kann einen ‚immateriellen Schaden‘ darstellen.“

Diese Aussage ist nichts anderes als ein absoluter Paukenschlag im Datenschutzrecht und erweitert das Haftungsrisiko für Unternehmen enorm. Zukünftig müssen Firmen damit rechnen, dass auch Klagen stattgegeben werden, die auf freien subjektiven Empfindungen des Verbrauchers beruhen, also zum Beispiel bei bloßer Furcht vor missbräuchlicher Datenverwendung. Eine nicht zu unterschätzende Gefahr für alle Betriebe.

So weitreichend sich diese neue Rechtsprechung anhört, gibt es jedoch einen kleinen Lichtblick am Tunnel: Auch weiterhin muss der jeweilige Kläger den konkreten Schaden nachweisen. So heißt es in der Entscheidung:

„Allerdings ist darauf hinzuweisen, dass eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie negative Folgen gehabt hat, nachweisen muss, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen […].

Insbesondere muss das angerufene nationale Gericht, wenn sich eine Person, die auf dieser Grundlage Schadenersatz fordert, auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann.“

c. Sinnvolle Reaktion der Unternehmen

Durch dieses Urteil wird das Haftungsrisiko für Unternehmen in Deutschland und in Europa noch einmal massiv erhöht.

Auch wenn der EuGH klargestellt hat, dass nicht jede subjektive Empfindung einen Schadensersatzanspruch auslösen kann, steht zu befürchten, dass in der Praxis die Plausibilitätsprüfung häufig zugunsten des betroffenen Verbrauchers ausfallen wird.

Nach welchen Kriterien sollte bestimmt werden, ob eine solche Befürchtung begründet ist oder nicht?

Reicht zukünftig bereits der Verlust bestimmter Arten von Daten (zum Beispiel Kontodaten) aus, um eine plausible Furcht zu statuieren? Oder muss es schon einmal zur missbräuchlichen Verwendung dieser Daten gekommen sein?

Es steht zu befürchten, dass hier deutsche Gerichte sehr, sehr unterschiedlich die Vorgaben des EuGH auslegen werden. Zumal der deutschen Rechtsordnung ein solches subjektives Schadenskriterium bislang fremd gewesen ist.

Auch hier kann nur dringend angeraten werden, dass jedes Unternehmen seine datenschutzrechtlichen Bausteine Stück für Stück noch einmal überprüft und neu evaluiert. Gerade Firmen, die besonders sensible Daten (zum Beispiel Krankheitsdaten) verarbeiten, sollten noch einmal eine Neuüberprüfung vornehmen und in eine vertiefte Kosten-Nutzen-Analyse einsteigen. Möglicherweise kann nämlich auf einen Teil der gespeicherten Daten verzichtet werden, sodass sich das Gefahrenpotenzial deutlich minimieren lässt.

4. Verhängung von Bußgeldern/konkrete Bußgeldhöhe

a. Problemlage

Datenschutzverletzungen können nicht nur zu Schadenersatzansprüchen führen, sondern die jeweilige Datenschutzbehörde kann in einem solchen Fall auch Bußgelder bis zu einer Höhe von 20 Millionen Euro bzw. 4 % des weltweiten Jahresumsatzes verhängen (Art. 83 DSGVO).

Einzelne Datenschutzbehörden hatten hier sogar die Ansicht vertreten, dass ein Unternehmen ohne Verschulden haften kann, das heißt, wenn es weder vorsätzlich noch fahrlässig handelt. Auch war umstritten, ob und wie weit bei einem Konzern nur auf den Umsatz des einzelnen Unternehmens abzustellen war oder ob der Jahresumsatz des Gesamtkonzerns für die Höhe des Bußgelds maßgeblich war.

b. Entscheidung des EuGH

Im Dezember 2023 beantwortete der EuGH³ beide Fragen.

Grundsätzlich haftet danach ein Unternehmen nur dann, wenn es schuldhaft gehandelt hat, das heißt, wenn ihm Vorsatz oder zumindest Fahrlässigkeit vorgeworfen werden kann. So positiv sich das im Einzelnen anhört, steckt auch hier der Teufel im Detail.

Nach Ansicht der EuGH-Richter ist es nicht erforderlich, dass der eigentliche Verstoß von einem Leitungsorgan der juristischen Person (zum Beispiel Geschäftsführer oder Vorstand) begangen werden muss oder dass diese Kenntnis von der Verletzung hatten. Vielmehr haftet eine juristische Person sowohl für Verstöße, die von ihren Vertretern, Leitungspersonen oder Geschäftsführern begangen werden, als auch für Verstöße, die von jeder sonstigen Person begangen werden, die im Rahmen ihrer unternehmerischen Tätigkeit in ihrem Namen handelt. Auch stellen die Robenträger klar, dass eine Geldbuße auch dann verhängt werden kann, wenn der Verstoß durch einen Dritten (zum Beispiel im Rahmen der Auftragsdatenverarbeitung) begangen wird, sofern die Vorgänge dem Verantwortlichen zugerechnet werden können.

Bei der Bestimmung des Umsatzes erklärte der EuGH, dass für den Fall, dass das Unternehmen zu einem Konzern gehört, auf den Jahresumsatz des Gesamtkonzerns abzustellen ist.

c. Sinnvolle Reaktion der Unternehmen

Aus Sicht des betroffenen Unternehmers ein weiterer Tiefschlag in die Magengrube.

So positiv es sich anhört, dass ein Bußgeld nur dann fällig wird, wenn mindestens fahrlässig gehandelt wurde, darf dies nicht darüber hinwegtäuschen, dass auch hier der EuGH die Haftungsreichweite enorm vergrößert: Die Richter stellen klar, dass nicht nur auf die Geschäftsführerebene abzustellen ist, sondern vielmehr eine funktionelle Betrachtungsweise entscheidend ist. Somit haftet ein Betrieb sogar für Handlungen von Dritten.

In der Praxis bedeutet dies nichts anderes, als dass noch einmal alle Vertragsverhältnisse mit Dritten überprüft werden sollten. In aller Regel dürfte es sich dabei um sogenannte Auftragsdatenverarbeitungsverhältnisse handeln. Hier sollte noch einmal tunlichst genau nachgeprüft werden, ob das Drittunternehmen auch die gesetzlichen Anforderungen erfüllt.

Ebenso wichtig wird zukünftig eine viel konsequentere Evaluierung der innerbetrieblichen Entscheidungsträger sein.

¹ EuGH, Urt. v. 14.12.2023 – Az. C-456/22.
² EuGH, Urt. v. 14.12.2023 – Az.: C-340/21.
³ EuGH, Urt. v. 05.12.2023 – Az.: C-683/21 und C-807/21.

5. Ausblick

Die ersten Legal Techs, die sich auf die Verfolgung von Datenschutzverletzungen spezialisiert haben, wetzen bereits ihre Messer und rufen Verbraucher zu einer erhöhten Wahrnehmung von Schadensersatzklagen auf. Prominente und aktuelle Beispiele sind die Ausgleichsansprüche für die Scraping-Vorfälle bei Facebook oder das Datenschutzleck beim Finanzdienstleister Scalable Capital.

Während in den letzten Jahren DSGVO-Schadensersatzklagen nur eine untergeordnete Rolle gespielt haben, ist absehbar, dass sich dies zukünftig ändern wird. Entscheidend wird dabei sein, wie die deutschen Gerichte die Vorgaben des EuGH im Einzelfall umsetzen werden.

Name	Zweck	Ablauf	Typ	Anbieter
CookieConsent	Speichert Ihre Einwilligung zur Verwendung von Cookies.	1 Jahr	HTML	Website
fe_typo_user	Ordnet Ihren Browser einer Session auf dem Server zu. Dies beeinflusst nur die Inhalte, die Sie sehen und wird von uns nicht ausgewertet oder weiterverarbeitet.	Session	HTTP	Website

Name	Zweck	Ablauf	Typ	Anbieter
_gcl_au	Wird von Google AdSense zum Experimentieren mit Werbungseffizienz auf Webseiten verwendet.	3 Monate	HTML	Google
AMP_TOKEN	Enthält einen Token, der verwendet werden kann, um eine Client-ID vom AMP-Client-ID-Dienst abzurufen.	1 Jahr	HTML	Google
_dc_gtm_--property-id--	Wird von DoubleClick (Google Tag Manager) verwendet, um die Besucher nach Alter, Geschlecht oder Interessen zu identifizieren.	2 Jahre	HTML	Google