Der EuGH hatte sich im Rahmen eines Vorabentscheidungsverfahrens (Rechtssache C‑507/23) einmal mehr zu Fragen des datenschutzrechtlichen Schadensersatzes zu äußern. Während der EuGH insoweit bislang vergleichsweise strenge Maßstäbe anlegte, entschied er, dass im Einzelfall auch eine reine Entschuldigung ausreichen kann.
Sachverhalt
Der Kläger des Ausgangsverfahrens ist in Lettland als Journalist mit Fachkenntnissen im Automobilbereich bekannt.
Im Rahmen einer Kampagne zur Sensibilisierung der Verbraucher für die Risiken beim Kauf eines Gebrauchtwagens verbreitete das PTAC – dabei handelt es sich um eine Einrichtung für den Schutz von Verbraucherrechten – auf mehreren Websites eine Videosequenz, in der u. a. eine Person zu sehen war, die den Kläger imitierte, ohne dass dieser dem zugestimmt hätte. Obwohl der Kläger der Anfertigung und Verbreitung dieser Videosequenz widersprach, blieb sie online verfügbar. Zudem lehnte das PTAC seine ausdrücklichen Forderungen nach Beendigung der Verbreitung und Schadenersatz wegen Rufschädigung ab.
Der Kläger ging daraufhin gerichtlich vor und beantragte, festzustellen, dass die Handlungen des PTAC, die darin bestanden, seine personenbezogenen Daten ohne seine Zustimmung zu verwenden und zu verbreiten, rechtswidrig waren, und ihm Ersatz seines immateriellen Schadens in Form einer Entschuldigung und einer Entschädigung in Höhe von EUR 2.000,00 zuzusprechen. Das Gericht erklärte diese Handlungen für rechtswidrig und gab dem PTAC auf, sie zu unterlassen, sich öffentlich beim Kläger des Ausgangsverfahrens zu entschuldigen und ihm eine Entschädigung in Höhe von EUR 100,00 Euro für den ihm entstandenen immateriellen Schaden zu leisten.
In der Berufungsinstanz wurde die Rechtswidrigkeit der Verarbeitung personenbezogener Daten bestätigt. Das Berufungsgericht ordnete an, dieses Verhalten zu beenden und eine Entschuldigung auf den Websites zu veröffentlichen, auf denen die Videosequenz verbreitet worden war. Den Antrag auf finanzielle Entschädigung für den dem Kläger des Ausgangsverfahrens entstandenen immateriellen Schaden wies das Gericht hingegen zurück.
Mit einer Beschwerde wendete sich der Kläger gegen dieses Urteil, soweit darin die finanzielle Entschädigung für seinen immateriellen Schaden abgelehnt wurde. Er macht im Wesentlichen geltend, dass das Berufungsgericht Fehler bei der Beurteilung der Schwere der Verletzung seiner Rechte und bei der Bewertung des daraus resultierenden Schadens begangen habe. Schadenersatz in Form einer Entschuldigung sei im Hinblick auf Art. 82 DSGVO weder fair noch angemessen.
Das Beschwerdegericht setzte das Verfahren aus und legte dem EuGH Fragen zum datenschutzrechtlichen Schadensersatzanspruch vor.
Vorlagefragen (Auswahl) und Entscheidung
Ist Art. 82 Abs. 1 DSGVO dahin auszulegen, dass er es gestattet, dass dann, wenn keine Möglichkeit zur Wiederherstellung des Zustands vor der Verursachung des Schadens besteht, als einziger Ersatz für den immateriellen Schaden die Verpflichtung auferlegt wird, sich zu entschuldigen?
Hierzu sich der EuGH dahingehend, dass die DSGVO keine Bestimmungen enthalte, welche Regeln für die Bemessung eines Schadenersatzanspruchs festlege. Damit hätten die nationalen Gerichte zu diesem Zweck die innerstaatlichen Vorschriften über den Umfang der finanziellen Entschädigung anzuwenden, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden.
Was die Wahrung des Effektivitätsgrundsatzes angeht, bedinge die ausschließlich ausgleichende Funktion des in Art. 82 Abs. 1 DSGVO vorgesehenen Schadenersatzanspruchs, dass die Kriterien für die Bemessung des geschuldeten Schadenersatzes innerhalb der Rechtsordnung der einzelnen Mitgliedstaaten festzulegen seien, wobei ein solcher Schadenersatz vollständig und wirksam sein müsse, ohne dass ein solcher, vollumfänglicher Ausgleich die Verhängung von Strafschadenersatz erfordere.
Der EuGH habe ferner anerkannt, dass ein nationales Gericht bei fehlender Schwere des der betroffenen Person entstandenen Schadens diesen ausgleichen kann, indem es dieser Person einen geringfügigen Schadenersatz zuspricht, sofern die geringe Höhe des gewährten Schadenersatzes geeignet ist, den Schaden in vollem Umfang auszugleichen. Art. 82 Abs. 1 DSGVO verwehre es auch nicht, dass eine Entschuldigung einen eigenständigen oder ergänzenden Ersatz eines immateriellen Schadens darstellen kann.
Auf die Vorlagefrage sei zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass eine Entschuldigung einen angemessenen Ersatz eines immateriellen Schadens auf der Grundlage dieser Bestimmung darstellen kann, insbesondere, wenn es nicht möglich ist, die Lage vor dem Eintritt des Schadens wiederherzustellen, sofern diese Form des Schadenersatzes geeignet ist, den der betroffenen Person entstandenen Schaden in vollem Umfang auszugleichen.
Ist Art. 82 Abs. 1 DSGVO dahin auszulegen, dass er es gestattet, dass Umstände, die auf die Haltung und die Beweggründe der Person, die die Daten verarbeitet, hindeuten (beispielsweise die Notwendigkeit, einen im öffentlichen Interesse liegenden Auftrag zu erfüllen, das Fehlen einer Absicht, die betroffene Person zu schädigen, oder Schwierigkeiten, den rechtlichen Rahmen zu verstehen), die Festsetzung eines geringeren Ersatzes für diesen Schaden rechtfertigen?
Diese Frage verneinte der EuGH im Ergebnis und stellte fest, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass er der Möglichkeit entgegensteht, die Haltung und die Beweggründe des Verantwortlichen zu berücksichtigen, um der betroffenen Person gegebenenfalls einen Schadenersatz zu gewähren, der geringer ist als der Schaden, der ihr konkret entstanden ist.
Erstens sei Art. 83 DSGVO in Verbindung mit dem 148. Erwägungsgrund der DSGVO zu entnehmen, dass für die Entscheidung, ob und in welcher Höhe eine Geldbuße zu verhängen ist, als „erschwerender oder mildernder Umstand“ u. a. Kriterien im Zusammenhang mit der Haltung und den Beweggründen des Verantwortlichen zu berücksichtigen sind. In Art. 82 DSGVO würde diese Kriterien hingegen nicht erwähnt, und im Übrigen auch nicht im 146. Erwägungsgrund der DSGVO, in dem es speziell um den Schadenersatzanspruch nach Art. 82 DSGVO geht.
Zweitens schließe es die ausschließlich ausgleichende Funktion des in Art. 82 Abs. 1 DSGVO verankerten Schadenersatzanspruchs aus, dass der Schweregrad und die etwaige Vorsätzlichkeit des Verstoßes gegen die Verordnung, den der Verantwortliche begangen hat, für den Ersatz eines Schadens auf der Grundlage dieser Bestimmung berücksichtigt wird. In Anbetracht der ausschließlich ausgleichenden und nicht strafenden Funktion dieses Schadenersatzanspruchs könne sich die Schwere eines solchen Verstoßes nicht auf die Höhe des auf der Grundlage von Art. 82 Abs. 1 DSGVO gewährten Schadenersatzes auswirken.
Anmerkung
Mit Blick auf die Systematik der DSGVO und die bisherige Rechtsprechung des EuGH dürfte es kaum überraschen, dass im Kontext eines Schadensersatzanspruchs die Beweggründe des Verantwortlichen für die Bemessung eines zu ersetzenden Schadens keine Rolle spielen. Es geht schließlich um Kompensation und nicht um Sanktion.
Höchst interessant erscheinen allerdings die Ausführungen des EuGH zur Entschuldigung als hinreichend schadenskompensierender Maßnahme. Damit bietet sich gerade für Konstellationen, die eher niederschwellige Datenschutzverletzungen ohne größeres Schadenspotential betreffen, eine interessante Möglichkeit zur Begrenzung einer formalen Geldentschädigung. Einem Betroffenen mag mit einer ehrlichen Entschuldigung im Einzelfall auch mehr gedient sein als mit einer eher niedrigen Geldentschädigung.
Dass der Hintergrund für die Entscheidung allerdings der Umstand bildet, dass im lettischen Recht eine Entschuldigung als Mittel des Schadensersatzes ausdrücklich vorgesehen ist, trübt die Aussichten für eine ähnliche Auslegung und Argumentation nach deutschem Recht naturgemäß. Gleichwohl erscheint eine unter Bezugnahme auf die EuGH-Entscheidung in Verfahren vor deutschen Gerichte angelehnte Argumentation nicht per se aussichtslos, zumal eine Entschuldigung – die man im Übrigen auch ohne Eingeständnis eines Fehlverhaltens formulieren kann – nicht weh tut.
Ein – ernst gemeintes – „Sorry“ dürfte die Verteidigungsaussichten in einem Schadensersatzverfahren wegen Datenschutzverletzung jedenfalls nicht schmälern, zumal eine offene und wertschätzende Kommunikation ein Schadensersatzverfahren im Einzelfall auch durchaus vermeiden kann.
