Neues vom EuGH zum Schadensersatz nach Art. 82 DSGVO (21.12.2023 – C-667/21): Die Schwere des Verschuldens kann sich auf Schadensersatz auswirken – die Schwere der Rechtsverletzung nicht! - Verschulden wird vermutet.
von RA Johannes Zimmermann, Fachanwalt für IT-Recht
Nur wenige Tage, nachdem der Europäische Gerichtshof (EuGH) entschieden hat, dass auch die bloße Befürchtung des Missbrauchs von Daten nach einem Datenschutzverstoß zum immateriellen Schadensersatz berechtigt (wir berichteten hier), legt das Gericht zur Bemessung der Schadenshöhe nach.
Worum geht es?
In der dem EuGH vorgelegten Sache wurde der Mitarbeiter eines Medizinischen Dienstes der Krankenkassen (MdK) infolge einer Erkrankung von eben diesem MdK untersucht, so dass dessen personenbezogene Gesundheitsdaten vom Arbeitgeber für andere Zwecke als die Durchführung des Arbeitsverhältnisses verarbeitet wurden, wobei die Möglichkeit bestand, dass auch die Arbeitskollegen des Mitarbeiters Kenntnis von diesen Gesundheitsdaten erlangen. Das Bundesarbeitsgericht, das den Fall dem EuGH vorlegte, zieht in Betracht, dass insoweit Ansprüche zum Ersatz immateriellen Schadens bestehen könne und legt dem EuGH u.a. Fragen zu Grundlage und Bemessung des Schadensersatzes vor.
Was wurde entschieden?
Der EuGH hat entschieden, dass der von Art. 82 DSGVO gewährte Schadensersatzanspruch nur Ausgleichs-, nicht aber Sanktionscharakter habe. Das bedeutet, dass der Anspruch nicht dem Zweck dient, die Verantwortliche Stelle von Datenschutzverletzungen abzuhalten, sondern dass lediglich materielle und immaterielle Einbußen des von Datenschutzverletzungen Betroffenen ausgeglichen werden sollen. Dementsprechend spielt die Schwere der Rechtsverletzung für die Höhe des Schadensersatzes keine Rolle. Hat eine schwere Verletzung nur geringe Folgen, folgt daraus nur geringer Schadensersatz – umgekehrt können durch kleine Rechtsverletzungen auch zum Ersatz großer Schäden verpflichten.
Der EuGH hat ferner entschieden, dass Voraussetzung für die Haftung ein Verschulden ist, dessen Schwere für den Schadensersatz aber keine Rolle spielen muss, und dessen Vorliegen vermutet wird. Ausgehend von dem Gedanken, dass es beim Schadensersatz lediglich um die Kompensation von Einbußen geht, erscheint dies konsequent. Der EuGH lässt jedoch eine Hintertür offen: diese Maßgabe gilt nämlich nur für die DSGVO selbst. Sieht jedoch das nationale Recht eines Mitgliedsstaates die Berücksichtigung des Verschuldensgrades für die Bemessung des Schadensersatzes vor, gilt dies auch für Ersatzansprüche nach Art. 82 DSGVO.
Was bedeutet das? Wie geht es weiter?
Speziell dem deutschen Recht ist die Berücksichtigung des Verschuldensgrades beim Ersatz immateriellen Schadens nicht fremd. Das in § 253 Abs. 2 BGB geregelte Schmerzensgeld verfolgt nach ständiger höchstrichterlicher Rechtsprechung neben einer Kompensationsfunktion auch eine Genugtuungsfunktion, d.h. es soll dem Geschädigten eine Genugtuung für dasjenige verschaffen, was der Täter ihm angetan hat. Mit dem Anstieg des Verschuldensgrades ist damit auch der Anstieg des Schmerzensgeldanspruchs verbunden.
Gesetzlich festgehalten ist diese Art der Schmerzensgeldbemessung indes nicht, weshalb auch die Übertragung dieser Grundsätze auf andere Fälle des Ersatzes immaterieller Schäden nicht selbstverständlich ist. Es bleibt also vor dem Hintergrund, dass der EuGH einen Sanktionscharakter verneint, spannend, ob die Gerichte die bekannten, aber nicht gesetzlich geregelten Grundsätze zum Schmerzensgeld übernehmen. Besonders bedeutsam wird dies, wenn es um Schadensersatz wegen Vorsatztaten geht.
Allerdings steht nicht zu erwarten, dass diese Fragen alsbald vom Bundesarbeitsgericht entschieden werden, das sich nunmehr erneut mit dem Fall zu beschäftigen und zu entscheiden hat. Die weiteren Ausführungen des EuGH legen nämlich nahe, dass in dem konkreten Fall überhaupt nicht den Maßgaben der DSGVO zuwidergehandelt wurde.