Schadenersatz gemäß Art 82 DSGVO für jegliche Datenschutzverletzung?

24.08.2022

I. Durch zahlreiche Medienberichte (etwa https://www.derstandard.at/story/2000138472819/datenschutzanwalt-fordert-in-massenbrief-190-euro-von-websitebetreibern-fuer-google und https://www.kleinezeitung.at/oesterreich/6165832/Verstoss-gegen-Datenschutz_Aufregung-um-Unterlassungsschreiben) wurde diese Woche bekannt, dass derzeit eine Vielzahl von praktisch gleichlautenden Schreiben an Website-Betreiber verschickt werden, in welchen die rechtswidrige Verarbeitung von personenbezogenen Daten (IP-Adressen) behauptet wird und (unter anderem) ein geringer Betrag als Schadenersatz für diese Rechtsverletzung gefordert wird. In rechtlicher Hinsicht wird in diesen Schreiben zur Stützung des Anspruchs auf Schadenersatz auf eine Entscheidung sowohl des Obersten Gerichtshofs in Österreich als auch eine Entscheidung des Landgerichts München I verwiesen und wird ein „spürbarer Nachteil“ durch die behauptete Rechtsverletzung, sowie auch eine Genervtheit durch den „nachlässigen Umgang“ mit dem Thema Datenschutz behauptet. Tatsächlich ist die Rechtslage hinsichtlich des geforderten Schadenersatzes nicht eindeutig geklärt.

II. Die hier herangezogene rechtliche Grundlage für die Forderung von Schadenersatz bei Datenschutzverletzungen ist Artikel 82 der Datenschutz-Grundverordnung (DSGVO). Wenn tatsächlich Gerichte den Eintritt eines Schadens (dabei kann es sich auch um immateriellen Schaden bzw. um bloßen Ärger oder Angst vor einer Offenlegung von personenbezogenen Daten handeln) bei einer von einer Datenschutzverletzung betroffenen Person feststellen können[1], gebührt gemäß Art 82 DSGVO eine Entschädigung. Darüber, ob auch der „Ärger“, der mit jeder Rechtsverletzung gleichsam automatisch verbunden ist, oder schon die Rechtsverletzung per se (auch ohne jeglichen „Ärger“ darüber) den Zuspruch von Schadenersatz gemäß Art 82 DSGVO rechtfertigt, wurde in der rechtswissenschaftlichen Lehre viel geschrieben (meist ablehnend[2]), abschließende höchstgerichtliche Judikatur zu dieser Frage gibt es freilich noch nicht.

Bei der DSGVO handelt es sich um Unionsrecht und nur der Europäische Gerichtshof kann bindend über derartige ungelöste Fragen des Unionsrechts entscheiden. Insofern haben sowohl der Oberste Gerichtshof in Österreich als auch das Landgericht Saarbrücken den Europäischen Gerichtshof (EuGH) letztes Jahr mit der Frage befasst, ob bereits ein Verstoß gegen die Bestimmungen der DSGVO, ohne weitere Voraussetzungen, einen Schadenersatzanspruch der betroffenen Person begründen kann und gefragt, nach welchen Kriterien der Umfang der Entschädigung gemäß Art 82 DSGVO zu bemessen ist.[3] Mit einer einschlägigen Entscheidung des EuGH ist wohl frühestens im Jahr 2023 zu rechnen.

In diesen Vorabentscheidungsersuchen wird darauf hingewiesen, dass einerseits viel dafür spricht, den Begriff des Schadens im Sinne des Art 82 DSGVO weit auszulegen, andererseits aber auch Anhaltspunkte dafür bestehen, dass „Bagatellschäden“ keiner Entschädigung zugänglich sein sollen. In praktischer Hinsicht läuft die Frage darauf hinaus, ob schon der bloße Nachweis (irgendeiner) Rechtsverletzung für den Zuspruch einer Entschädigung durch die Zivilgerichte ausreicht oder ob bestimmte Schäden bei der betroffenen Person (wenn auch bloße Unmutsgefühle) behauptet und bewiesen werden müssen und schließlich, ob diese Schäden eine bestimmte Bagatellgrenze überschreiten müssen.

III. Der OGH hat bereits festgehalten, dass keine „besonders schwerwiegende Beeinträchtigung der Gefühlswelt“ zu fordern sein wird, um einen Anspruch nach Art 82 DSGVO zu begründen. Andererseits hat aber der OGH in dieser Entscheidung auch die Auffassung der unteren Instanzen, wonach bereits die Feststellung, dass eine betroffene Person durch eine bestimmte Datenverarbeitung „massiv genervt“ wäre, ausreicht um einen Schadenersatzanspruch zu begründen, akzeptiert.[4] Die Frage, ob bereits schon bei einer bloßen Verletzung von Bestimmungen der DSGVO auch ohne Feststellung eines Schadens ein Schadenersatzanspruch gebührt, wurde offen gelassen.

IV. Im Falle einer rechtswidrigen Verarbeitung einer IP-Adresse könnten freilich die angerufenen Gerichte (so wie auch das Landesgericht München I [5] ) diese Auslegungsfragen zu Art 82 DSGVO vermeiden, indem sie festhalten, dass das von der Klägerin über diese rechtswidrige Verarbeitung von personenbezogenen Daten „ empfundene individuelle Unwohlsein so erheblich “ wäre, dass ein Schadenersatzanspruch nach Art 82 DSGVO gerechtfertigt ist.

Die bloße Aussage einer betroffenen Person aber, die bewusst zahlreiche Websites nur für kurze Zeit aufsucht, um Datenschutzverstöße zu dokumentieren, dass diese dokumentierten Verstöße jeweils erhebliches Unwohlsein hervorrufen, wäre aber unserer Auffassung nach kaum glaubhaft, dies vor allem dann, wenn es keinen anderen plausiblen Grund gibt, die jeweilige Website zu besuchen. In anderen (nicht datenschutzrechtlichen) Zusammenhängen, wurde in der österreichischen Judikatur der Grundsatz gebildet, dass „Gefühlsschäden“ grundsätzlich nur dann zu ersetzen sind, wenn diese zumindest „nachvollziehbar“ sind, wenn also auch ein Durchschnittsmensch „ähnliche Unlustgefühle“ verspürt[6] - freilich lässt sich diese Rechtsprechung nicht ohne weiteres zur Auslegung von Art 82 DSGVO (einer unionsrechtlichen Norm) heranziehen.

Stellt das Gericht kein erhebliches „Unwohlsein“ aufgrund der rechtswidrigen Datenverarbeitung fest, stellt sich dann wiederum die Frage, ob die bloße Feststellung der Rechtsverletzung für die Annahme eines Schadens und den Zuspruch einer Entschädigung für einen solchen Schaden ausreicht. Diesbezüglich wäre es dann für die angerufenen Gerichte angezeigt, die Entscheidung des EuGH zu den oben angeführten Fragestellungen abzuwarten und die Verfahren aus prozessökonomischen Gründen bis dahin zu unterbrechen. Für etwaige „Musterprozesse“ hinsichtlich der Schadenersatzforderungen ist also aller Voraussicht nach mit einer erheblichen Verfahrensdauer zu rechnen.

V. Jedenfalls sollten solche Schreiben zum Anlass genommen werden, kritisch zu hinterfragen, ob man mit der eigenen Website alle datenschutzrechtlichen Anforderungen erfüllt oder ob hier nachgebessert werden muss. Gerne steht unsere Kanzlei für eine Beratung in datenschutzrechtlichen Fragen zur Verfügung.

[1] Die betroffene Person hat vor Gericht den Eintritt des Schadens zu beweisen, bei immateriellen Schäden ist das grundsätzlich nur durch eine Aussage möglich, die das Gericht dann zu würdigen hat.

[2] Vgl etwa Jahnel, Kommentar zur DSGVO (2021) Art 82 Rz 9 ff mwN; Schweiger in Knyrim (Hrsg) Praxishandbuch Datenschutzrecht⁴ (2020) Rz 19.99 ff.

[3] Derzeit anhängig beim EuGH zu C-300/21 und C-741/21.

[4] OGH 23.06.2021, 6 Ob 56/21k.

[5] Landgericht München I, 20.01.2022, 3 O 17493/20.

[6] Etwa OGH 10.11.1998, 4 Ob 281/98x.