Dr. Petra Leupold, LL.M. (UCLA), Director VKI-Academy
Ob und unter welchen Voraussetzungen Betroffenen bei Datenschutzverletzungen immaterieller Schadenersatz zusteht, ist in praxi von erheblicher Bedeutung. Zum Einen haben Verstöße in vielen Fällen von vornherein keine Vermögensschäden zur Folge. Zum Anderen handelt es sich bei Ansprüchen auf Ersatz immaterieller Schäden um zwar höchstpersönliche, aber jedenfalls abtretbare Ansprüche, sodass auch eine kollektive Rechtsverfolgung etwa in Form der „Sammelklage österreichischer Prägung“ oder – in Zukunft – durch repräsentative Abhilfeklagen in Betracht kommt.
Artikel 82 DSGVO räumt Betroffenen unstrittig Ansprüche zum Ausgleich immaterieller Schäden ein, die unionsrechtliche Haftungsnorm wirft aber zahlreiche Auslegungsfragen auf[1]. Dass dabei in der österreichischen Literatur[2] mitunter eine gewisse Skepsis gegenüber allzu großzügiger Auslegung zu beobachten ist, überrascht nicht: Für eine wirksame Absicherung der Einhaltung der DSGVO, maW für general- und spezialpräventive Zwecke, sieht man in Österreich traditionell das Aufsichtsrecht in der Pflicht. Diese Ambivalenz gegenüber haftungsrechtlichen Konsequenzen schlug sich in unterinstanzlichen Entscheidungen in der Einziehung einer „Erheblichkeitsschwelle“ für ideelle Schäden nieder[3], die den Obersten Gerichtshof im „Post-Datenskandal“ schließlich zur Vorlage an den Europäischen Gerichtshof veranlassten[4].
Im Anlassfall begehrt der betroffene Kläger einen Betrag iHv € 1.000 zum Ersatz seines immateriellen Schadens. Die Österreichische Post AG hatte im Rahmen einer statistischen Hochrechnung zu den Parteiaffinitäten der österreichischen Bevölkerung ermittelt, dass der Kläger eine hohe Affinität zur FPÖ aufweise, wobei die gespeicherten Daten nicht an Dritte weitergegeben wurden. Der Kläger hatte nicht in die Verarbeitung seiner personenbezogenen Daten eingewilligt, war über die Speicherung seiner Daten „massiv verärgert“ und brachte vor, die Rechtsverletzung habe bei ihm einen Vertrauensverlust sowie ein Gefühl der Bloßstellung ausgelöst. Die ihm zugeschriebene politische Affinität sei eine „Beleidigung“, „beschämend sowie kreditschädigend“.
In seinen mit Spannung erwarteten Schlussanträgen vom 6.10.2022 kommt Generalanwalt Manuel Campos Sanchez-Bordona zu folgenden Ergebnissen:
Was sagt der Generalanwalt?
1) Kein Schadenersatz ohne Schaden
Der Ersatz eines immateriellen Schadens setzt voraus, dass ein solcher auch tatsächlich eingetreten ist. Die bloße Rechtsverletzung als solche reicht nicht aus, sie begründet weder zwangsläufig den Eintritt eines immateriellen Schadens noch eine unwiderlegliche Vermutung für einen solchen. Art 82 dient laut Generalanwalt primär dem Ausgleich von Schäden und sekundär der Vermeidung vom Rechtsverletzer begangener künftiger Schädigungen. Der zivilrechtlichen Haftung kommt folglich kein Sanktionscharakter zu, Strafschadenersatz wird nicht normiert. Damit muss im Einzelfall geklärt werden, ob ein Verstoß zu einem ersatzfähigen Schaden führt.
2) Keine EU-Vorgaben für die Schadensbemessung
Den Grundsätzen der Äquivalenz und Effektivität kommt dem Generalanwalt zufolge in Hinblick auf die Vollharmonisierung durch Art 82 DSGVO für die Bemessung des immateriellen Schadens „keine erhebliche Rolle“ zu. Umgekehrt sollen sich Art 82 DSGVO aber keine Vorgaben zur Schadensberechnung entnehmen lassen.
3) Erheblichkeitsschwelle für immaterielle Schäden?
Nach Ansicht des Generalanwalts verbietet Art 82 den nationalen Gerichten nicht, den Ersatz immaterieller Schäden auf Folgen zu beschränken, die einen bestimmten Schweregrad übersteigen. Damit wäre die Einziehung einer Untergrenze für die Reaktion der betroffenen Person, unterhalb der – trotz Eintritt eines Schadens – kein Ersatz geleistet wird, zulässig. Der Generalanwalt ergänzt, er halte den in Art 82 DSGVO vorgesehenen Anspruch auf Schadensersatz nicht für das geeignete Instrument, um gegen Verstöße vorzugehen, wenn sie bei der betroffenen Person „lediglich zu Zorn oder Ärger führen“. Ferner sieht er die Einbeziehung bloßen Ärgers in Hinblick auf „die charakteristischen Nachteile und Schwierigkeiten“ einer gerichtlichen Geltendmachung für Kläger und Beklagten als ineffizient an. Betroffene seien in Hinblick auf sonstige Rechtsbehelfe nach der DSGVO nicht völlig rechtlos gestellt. Die schwierige Abgrenzung zwischen bloßem (nicht ersatzfähigem) Ärger und echten (ersatzfähigen) immateriellen Schäden weist der Generalanwalt den nationalen Gerichten zu.
Kritik
Die Schlussanträge sind nicht verbindlich, werden vom Europäischen Gerichtshof aber häufig übernommen. Im konkreten Fall ist zu hoffen, dass dies nicht der Fall sein wird. Die Rechtsansicht des Generalanwalts ist für die Durchsetzbarkeit von Betroffenenrechten und die Gewährleistung ausreichender praktischer Wirksamkeit der DSGVO äußerst problematisch, überzeugt aber auch in der Sache nicht:
Während sich das Erfordernis eines Schadenseintritts für Ersatzansprüche (Vorlagefrage 1) schon aus Wortlaut und Erwägungsgründen der DSGVO klar ergibt (kein Schadenersatz ohne Schaden)[5], sind der DSGVO Anhaltspunkte für die Zulässigkeit einer weiteren Anspruchsvoraussetzung in Form einer „Erheblichkeitsschwelle“ (Vorlagefrage 3) nach Wortlaut, Genese, Systematik und Erwägungsgründen (ua EG 146) nicht zu entnehmen. Eine solche Bagatellgrenze würde auch den Zielen und der Wirksamkeit (maW: dem effet utile) der DSGVO diametral zuwiderlaufen und ließe sich in Hinblick auf weitere Anwendungsfälle des Ersatzes immaterieller Schäden auch nicht mit dem Äquivalenzgrundsatz des Unionsrechts vereinbaren.
Bereits im Ansatz wenig überzeugend ist der pauschale Verweis auf nationales Recht für Voraussetzungen und Bemessung des Ersatzanspruchs schließlich in Hinblick auf die auch vom Generalanwalt betonte Vollharmonisierungsmaxime der DSGVO. Obliegen nämlich sowohl die Frage, ob Schadenersatz zusteht als auch dessen Bemessung rein dem nationalen Recht, wird die von Art 82 DSGVO bezweckte Rechtsvereinheitlichung ausgehebelt.
Falls der EuGH den Schlussanträgen des Generalanwalts folgen sollte, ergäben sich daraus nicht nur empfindliche Einbußen für den Individualrechtsschutz Betroffener. Dies hätte auch einen empfindlichen Rückschritt für die effektive Durchsetzung von Betroffenenrechten mit kollektiven Klagen zur Folge, die in Umsetzung der Verbandsklagen-Richtlinie ab 25.6.2023 auch im Datenschutzrecht verpflichtend vorgesehen sind. Insbesondere würde bei EU-weiten Verstößen eine gebündelte Durchsetzung von Schadenersatzansprüchen Betroffener gegenüber globalen und iaR außerhalb der EU angesiedelten Konzernen diesfalls ausscheiden[6].
Damit wäre zugleich der vom EU-Gesetzgeber gewählte Regelungsansatz einer kombinierten, zweispurigen Absicherung der Einhaltung datenschutzrechtlicher Vorgaben – mittels public enforcement durch die Aufsichtsbehörden einerseits und private enforcement durch die ordentliche Gerichtsbarkeit andererseits – konterkariert.
Wie geht es weiter?
Lassen sich – entsprechend der Rechtsansicht des Generalanwalts – dem Unionsrecht tatsächlich keine autonomen Vorgaben zu Schadensbegriff und Schadensbemessung entnehmen, ist der Oberste Gerichtshof am Zug. Dass er zugunsten einer Bagatellgrenze für immaterielle Schäden entscheiden würde, ist freilich alles andere als gesichert.
Gegen eine Erheblichkeitsschwelle im Datenschutzrecht spricht, dass eine solche im österreichischen Recht in vergleichbaren Fällen nicht vorgesehen ist[7]. Weder beim Schmerzengeld (§ 1325 ABGB) noch bei „Verunstaltungsentschädigung“ (§ 1326 ABGB), Verletzungen des Gleichbehandlungsgebots (§§ 17 ff GlBG) oder entgangener Urlaubsfreude (§ 12 Abs 2 PRG) ist der Ersatz immaterieller Schäden auf „unüblich“ starke negative Gefühle oder eine „erhebliche Beeinträchtigung“ beschränkt[8]. Den Schwierigkeiten bei der Bemessung ideeller Schäden und den Unterschieden in der Intensität der Gefühlsbeeinträchtigung wird vielmehr bei der Schadensbemessung (i.e. die Höhe betreffend) durch gestaffelte Zusprüche angemessen Rechnung getragen (§ 273 ZPO), was bei den Schmerzengeldsätzen im Übrigen abstrahiert vom konkreten Empfinden des Geschädigten erfolgt[9]. Einer abweichenden Beurteilung für den Bereich datenschutzrechtlicher Beeinträchtigungen stünden damit nicht nur systematisch-methodische Kohärenzerwägungen im nationalen Recht entgegen, sondern auch der unionsrechtliche Äquivalenzgrundsatz.
In diesem Sinn hat der für Datenschutzsachen zuständige 6. Fachsenat im rund zwei Monate nach dem gegenständlichen Vorlagebeschluss gefällten Teilurteil in der Causa Schrems/Facebook[10] bereits entschieden, dass dem Betroffenen immaterieller Schadenersatz schon dann zusteht, wenn ein objektiv nachvollziehbarer immaterieller Schaden vorliegt. Eine schwerwiegende Gefühlsbeeinträchtigung hielt der 6. Senat unter Verweis auf die Erwägungsgründe 146, 85 DSGVO für nicht erforderlich[11]. Nach den Feststellungen im dortigen Fall lag ein „geringes Unwohlsein“ infolge unvollständiger und verspäteter Auskunft vor, wobei der Kläger „massiv genervt“, aber nicht psychisch beeinträchtigt war. Den Zuspruch eines (noch) niedrigeren als des konkret begehrten Betrags iHv € 500,- sah der OGH ausdrücklich als nicht mit dem Effektivitätsgrundsatz vereinbar an. Welche Erwägungen bei vergleichbaren bis identen Feststellungen zur Schwere und Intensität der Gefühlsbeeinträchtigung des Klägers gerade im gegenständlichen Fall eine Änderung dieser Rechtsprechung rechtfertigen könnten, ist nicht ersichtlich, zumal der Datenschutzverstoß hier sogar die Verarbeitung sensibler Daten iSd Art 9 DSGVO betrifft.
Zu berücksichtigen ist ferner, dass der 6. Senat schon die den Schlussanträgen implizit zugrunde liegende Prämisse nicht teilt. So ortet der Generalanwalt für die seiner Meinung nach „ineffiziente“ gerichtliche Geltendmachung und Verteidigung für den Kläger und den Beklagten nicht näher ausgeführte „charakteristische Nachteile und Schwierigkeiten“. Demgegenüber hat der 6. Senat zur seinerzeit in der Lehre strittigen Zweigleisigkeit des Rechtsschutzes früh Position bezogen und klargestellt, dass Betroffene ihre Datenschutzrechte nicht nur im Verwaltungsrechtsweg durchsetzen können, sondern – im Einklang mit Wortlaut, Entstehungsgeschichte und telos der DSGVO[12] – eine parallele Zuständigkeit der ordentlichen Gerichtsbarkeit besteht. Damit hat der OGH zugleich sichergestellt, dass den ordentlichen Gerichten im Datenschutz sowohl für die Auslegung als auch in der Rechtsdurchsetzung (weiterhin) eine wesentliche Rolle zukommt.
Mit diesem (Selbst-)Verständnis lässt sich eine Bewertung des ordentlichen Rechtswegs als im Vergleich zu aufsichtsrechtlichen Mechanismen wenig(er) geeignete Rechtsschutzform schwerlich vereinbaren. Sie stünde auch in einem Spannungsverhältnis zum Enforcement-Modell der DSGVO, das neben einer aufsichtsrechtlichen Sanktionierung (Art 83) zur Verhaltenssteuerung bewusst auf zivilrechtliche Enforcement-Instrumente setzt, im Übrigen mit guten Gründen:
Die Praxis hat gezeigt, dass trotz hoher Strafdrohungen mit einer ausreichenden Generalprävention durch aufsichtsbehördliche Maßnahmen schon aufgrund notorischer Ressourcenknappheit nicht zu rechnen ist. Was folgt daraus? Es wäre an der Zeit, den primum nihil nocere-approach im datenschutzrechtlichen Haftungsrecht aufzugeben.
[1] Zur Reichweite der Beweislastumkehr nach Art 82 Abs 3 DSGVO siehe 6 Ob 217/19h VbR 2020/42, wonach sich diese auf das Verschulden beschränkt, aber keine Vermutung für Schadenseintritt, -höhe und Kausalität begründet. Zur Rechtsnatur der Haftung (Verschuldenshaftung mit Beweislastumkehr vs Gefährdungshaftung) siehe Kodek, Schadenersatz- und Bereicherungsansprüche bei Datenschutzverletzungen, in Leupold (Hrsg), Forum Verbraucherrecht 2019 (2019) 97.
[2] ZB Spitzer, Schadenersatz für Datenschutzverletzungen, ÖJZ 2019/76, 631, der „im omnipräsenten Streben nach der Maximierung europarechtlicher Effektivität“ vor der Gefahr eines „Parallelschadenersatzrechts“ warnt.
[3] ZB OLG Wien 16 R 18/21s (nicht rk), wonach „kurzfristiger Ärger“ und Sorge, dass ein künftiger Arbeitgeber Informationen zur vermeintlichen FPÖ-Affinität erhalten könnte, ohne massive Beeinträchtigung oder Gefühl des Kontrollverlusts nicht ausreichen; OLG Innsbruck 1 R 182/19b (rk) VbR 2020/51: kein Ersatz mangels „erheblicher Nachteile“. Zur parallelen Diskussion in Deutschland vgl BVerfG 14.1.2021, 1 BVR 2853/19, wonach die Nicht-Zuerkennung von Schadenersatz wegen der Zusendung von Spam-E-Mails das Recht auf den gesetzlichen Richter verletzt, weil sich eine Erheblichkeitsschwelle weder unmittelbar aus der DSGVO ergibt, noch in der Literatur befürwortet oder vom EuGH verwendet wird und die Auslegungsfrage daher dem EuGH hätte vorgelegt werden müssen.
[4] OGH 15.4.2021, 6 Ob 35/21x; anhängig zu C‑300/21, Österreichische Post AG. Bereits entschieden wurde vom 6. Senat, dass es sich auch bei Daten über vermutete politische Vorlieben des Einzelnen um sensible Daten iSd Art 9 DSGVO handelt (ebenso OLG Innsbruck 1 R 182/19b [rk] VbR 2020/51; zur Qualifikation von statistischen Wahrscheinlichkeitsaussagen als personenbezogene Daten iSd Art 4 leg cit 6 Ob 127/20z VbR 2021/56) und Unterlassungsansprüche des Betroffenen schon nach Art 79 Abs 1 DSGVO bestehen.
[5] Unstr, zB Schweiger, Dako 2020/26, 44 mwN.
[6] Der territoriale Anwendungsbereich der DSGVO (Art 3) ist nicht auf EU-Unternehmen beschränkt, sondern erstreckt sich zum Teil auch auf in Drittstaaten ansässige Unternehmer:innen. Anders als die EuGVVO (Art 6) ist auch der besondere Gerichtsstand nach Art 79 DSGVO entsprechend auf Nicht-EU-Unternehmen anwendbar; dies gilt auch für Verbandsklagen: Leupold, Private International Law and Cross-Border Collective Redress (2022) 18, 35 ff.
[7] Ausf F. Bydlinski, Der immaterielle Schaden in der österreichischen Rechtsentwicklung, in FS von Caemmerer 785; Karner/Koziol, Der Ersatz ideellen Schadens im österreichischen Recht und seine Reform, Gutachten für den 15. ÖJT II/1, 35 f.
[8] Vgl ferner § 1328 ABGB zur Beeinträchtigung der geschlechtlichen Selbstbestimmung, § 87 Abs 2 UrhG, §§ 6 ff, 8 MedienG. § 1331 ABGB (Wert der besonderen Vorliebe) stellt demgegenüber auf eine besondere Qualifikation des Verschuldens ab, § 12 Abs 2 PRG (vgl ErwGr 38 Pauschalreise-RL) auf eine „erhebliche Vertragswidrigkeit“. § 1328a Abs 1 ABGB beschränkt immateriellen Ersatz auf „erhebliche Verletzungen der Privatsphäre“, ist in Hinblick auf die Bestimmungen der DSGVO und § 29 DSG als leges posterior und speciales und den Bedeutungswandel des Datenschutzrechts aber mE als überholt anzusehen. Zum immateriellen Schadenersatzanspruch des Mitarbeiters bei rechtswidrigem GPS-Ortungssystem im Dienstwagen vgl auch OGH 9 Ob A 120/19s: Euro 2.400,- (ca Euro 400,- monatlich).
[9] Zu möglichen Aspekten und Fallgruppenbildungen iZm der Bemessung vgl Tretzmüller, Private Enforcement – Immaterieller Schadenersatz bei Datenschutzverletzungen, in Jahnel (Hrsg), Jahrbuch 17, 208; Schweiger in Knyrim, DSGVO Art 82 Rz 32; Spitzer, ÖJZ 2019/76.
[10] OGH 23.6.2021, 6 Ob 56/21k.
[11] Ebenso im „Dienstwagenfall“ noch zu § 1328a ABGB OGH 9 ObA 120/19s.
[12] Näher dazu Leupold/Schrems in Knyrim (Hrsg), DSGVO Art 79 Rz 36 ff; kritisch dagegen etwa Schmidl, Der doppelgleisige Rechtsschutz in Datenschutzsachen, VbR 2020/104. Mittlerweile stRsp: 6 Ob 91/19d VbR 2019/87; zuletzt 6 Ob 106/22i (vernetzte Autos, Art 25 Abs 2 DSGVO); 6 Ob 138/20t VbR 2021/39 (Jahnel); 6 Ob 35/21x VbR 2021/68 (Unterlassungsanspruch im Post-Datenskandal); obiter bereits 6 Ob 131/18k (dazu Leupold, VbR 2019/27). IdS im ungarischen Vorabentscheidungsverfahren zu C-132/21 für eine Parallelität der Rechtsbehelfe nach Art 77 und Art 79 DSGVO nunmehr auch die Schlussanträge von GA de la Tour vom 8.9.2022 (zur Vorlage siehe VbR 2021/45).
Blog Consumer_Law 