Massenverfahren zum immateriellen Schadenersatz? – Ja, nein, vielleicht?!
22.05.2023
In seinem Urteil vom 4. Mai 2023 hielt der Europäische Gerichtshof (EuGH) unter anderem fest, dass betroffenen Personen nur dann ein Schadenersatz wegen eines Verstoßes gegen den Schutz personenbezogener Daten zustünde, wenn tatsächlich ein materieller oder immaterieller Schaden entstanden sei. Dieser müsse im Einzelfall auch nachgewiesen werden. Bei der Beurteilung des Schadenersatzes käme es darüberhinaus nicht auf eine Erheblichkeitsschwelle an, auch geringe immaterielle Schäden seien zu ersetzen.
Artikel 82 EU-Datenschutzgrundverordnung:
(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
(2) Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.
Die Erwartungen in der Datenschutzbranche waren groß. Würde gegebenenfalls die private Durchsetzung des Datenschutzes mittels immaterieller Schadensersatzklagen zu einer stärkeren Sensibilisierung und damit letztlich zu einer besseren Durchsetzung des Datenschutzes führen? – Inwieweit auf der Grundlage dieses Urteils nun datenschutzrechtliche Massenverfahren geführt werden können, ist in der Branche jedoch äußerst umstritten.
[on emotional damages] „We welcome the clarifications by the CJEU. A whole industry tried to reinterpret the GDPR, in ordert o avoid having to pay damages to users whose rights they violated. This seems tob e rejected. We are very happy about the result.“
[on non-material claims] “We have good laws and practices in place to deal with immaterial damages in other fields of the law. National courts now can’t develop a more complicated system for GDPR claims.”
Tim Wybitul (et altres), Latham & Watkins:
„This judgment may open the door to claims for non-material damages, in particular mass claims, but is unlikely to open the floodgates for such actions relating to GDPR infringements. The implications may, however, be more significant in Germany and other Member States with jurisdiction and domestic legislation which provides for de minimis thresholds for non-material damages. Here, the CJEU’s removal of the previous de minimis “gate keeper” could result in a more noticeable uptick in claims. Further, the judgment may benefit the business models of claimant-focused law firms which bring high volumes of non-material damages claims in the aftermath of large-scale infringements — as such claims can now be more easily pursued. The future use of AI and other legal technology may also help such firms to identify and particularise such claims en masse.“
Christian Solmecke, wbs legal:
[zur Erheblichkeitsschwelle] „Die Antwort des EuGH auf diese Frage ist bahnbrechend und wird die Geltendmachung von Schadensersatz gerade in Fällen von Datenleaks und Hackerangriffen sehr erleichtern. Das ist ganz konkret auch sehr bedeutend für die zahlreichen Klagen zum Facebook-Datenleck und zum Deezer-Datenleck, in denen wir bereits weit über zehntausend Mandanten vertreten und für sie 1000 Euro immateriellen Schadensersatz erstreiten wollen. In beiden Fällen werfen wir den Unternehmen vor, die Daten der Nutzer nicht DSGVO-konform gesichert zu haben, sodass Hacker ein leichtes Spiel hatten, sie zu missbrauchen. Die Chancen für unsere Mandanten, hier einen hohen Schadensersatz zu erlangen, sind mit diesem EuGH-Urteil enorm gestiegen!“
EuGD – Europäische Gesellschaft für Datenschutz:
[Thomas Bindl, Geschäftsführer und Gründer der EuGD] „Wir erleben eine Zeitenwende. Verletzer, die bisher meinten, sie könnten sich zurücklehnen und Betroffenen den Nachweis eines besonders hohen Schadens abverlangen, um einen zuvor bei vielen Betroffenen eingetretenen Schaden („Streuschaden“) punktuell abzugelten, müssen sich künftig auf eine veränderte Raumtemperatur einstellen, denn jeder Schaden ist ersatzfähig. Wir freuen uns sehr, dass der EuGH hier die Verbraucherrechte stärkt und hoffentlich dazu beiträgt, dass Unternehmen den Datenschutz ernst nehmen und für etwaige Verstöße geradestehen.“
Christian Franz für cr-online:
„Raider heißt jetzt Twix – sonst ändert sich nix. Der EuGH stellt klar, was ohnehin klar war, und schwurbelt um die wirklich interessanten Fragen herum. Für die Praxis der (auch massenhaften) Verfolgung von Schadensersatzansprüchen nach Datenschutzvorfällen sind das gute Neuigkeiten. Vorläufig wird es ausreichen, irgendwelche Beeinträchtigungen der Gefühlswelt vorzutragen (selbstverständlich und stets unter Beachtung der prozessualen Wahrheitspflicht). Irgendwann wird sich der Gedanke durchsetzen, dass es richtigerweise auf die Frage ankommt, ob die betroffene Person einen Kontrollverlust erlitten hat, der (insbesondere materielle) Folgeschäden befürchten lässt. In beiden Lesarten kann ein Schaden nicht mehr verneint werden.“
Prof. Niko Härting für cr-online:
„Ärger über Spam-Mails, Unbehagen wegen eines Datenlecks, ein ungutes Gefühl, weil Daten abhanden gekommen sind: Ist dies schon ein „Schaden“ oder nur ein „Gefühl“? Man wird sich über diese Frage weiter munter vor deutschen Arbeits- und Zivilgerichten streiten. Das EuGH-Urteil hat keine Klarheit geschaffen und ist für die Praxis unbrauchbar.“
Fazit: …und was ist jetzt ein immaterieller Schaden?
Die unterschiedlichen Auffassungen mögen auch der persönlichen Erwartungshaltung geschuldet sein. Wer hoffnungsvoll auf die private Rechtsdurchsetzung des europäischen Datenschutzrechts geblickt hat, sieht natürlich im Wegfall der „Erheblichkeitsschwelle“ eine echte Verbesserung. Das ist aber eher ein Nebenschauplatz, denn die viel interessantere Frage – der sich der EuGH leider entzogen hat – wäre die nach den grundsätzlichen Voraussetzungen eines immateriellen Schadens gewesen. Durch das Schweigen der Richter in Luxemburg wird es weiterhin auf den Einzelfall ankommen. Ob der geltend gemachte Schaden am Ende tatsächlich nach Art. 82 DSGVO ersatzfähig ist, bleibt den nationalen Gerichten überlassen. Mehr Orientierung haben diese leider nicht gewonnen.