Europäischer Gerichtshof, Urteil vom 11.04.2024 – C 741/21
Hintergrund
Vorliegend hatte ein selbstständiger Rechtsanwalt gegen die beklagte Gesellschaft juris, die eine juristische Datenbank betreibt, aufgrund der Speicherung von personenbezogenen Daten geklagt.
Der Kläger hatte zunächst in die Verarbeitung seiner Daten eingewilligt, nachdem er jedoch erfuhr, dass seine Daten von juris auch zu Zwecken der Direktwerbung verwendet wurden, widerrief er im November 2018 die Einwilligungen, die er gegenüber juris erteilt hatte, und widersprach der Verarbeitung seiner Daten für sämtliche Zwecke mit Ausnahme des Versands des juristischen Newsletters der Beklagten, da er diesen weiterhin empfangen wollte.
Dennoch gingen bei dem Kläger im Januar 2019 zwei Werbeschreiben an seiner Geschäftsadresse ein, woraufhin der Kläger mit Verweis auf seinen früheren Widerspruch gegenüber juris mitteilte, dass es sich um eine rechtswidrige Verarbeitung seiner Daten handele und er entsprechend der Datenschutz-Grundverordnung (DSGVO) Schadensersatz verlangen würde. Im Mai 2019 wurde ihm dennoch erneut ein Werbeschreiben zugesendet. Diese Werbeschreiben enthielten jeweils einen individuellen Zahlencode, bei dessen Eingabe auf der Webseite der Beklagten sich eine Bestellmaske öffnete, die persönliche Angaben des Klägers enthielt.
Daraufhin entschloss sich der Kläger, den Widerspruch gegenüber juris von einem Gerichtsvollzieher zustellen zu lassen und beauftragte einen Notar, die genannte Bestellmaske aufzurufen, um die dortige Speicherung der Daten zu beweisen.
Anschließend wandte sich der Kläger an das Landgericht Saarbrücken mit dem Begehren nach Schadensersatz gemäß Art. 82 DSGVO. Er machte als Kostenpunkte zum einen die Gerichtsvollzieher- und Notarkosten geltend und verwies darüber hinaus auf einen immateriellen Schaden. Der Kläger war der Ansicht, dass er die Kontrolle über seine Daten verloren habe, indem diese Daten trotz seiner Widersprüche weiterhin von juris verwendet wurden.
Juris machte dagegen geltend, dass die verspätete Berücksichtigung des Widerspruchs des Klägers entweder darauf beruht hätte, dass ein Mitarbeiter von juris weisungswidrig gehandelt hätte oder eine Berücksichtigung des Widerspruchs mit übermäßigen Kosten verbunden gewesen wäre.
Das Landgericht Saarbrücken setzte das Verfahren nun aus und legte dem Europäischen Gerichtshof unter anderem die Frage vor, ob ein immaterieller Schaden entsprechend der DSGVO bereits bei jeder Beeinträchtigung einer geschützten Rechtsposition vorliegt oder ob eine gewisse Erheblichkeitsschwelle erreicht werden müsse.
Gründe
Art. 82 Abs. 1 DSGVO statuiert, dass ein Anspruch auf Schadensersatz besteht, wenn einer Person wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist.
Der Europäische Gerichtshof hat bereits in der Vergangenheit festgestellt, dass ein bloßer Verstoß gegen die DSGVO für sich genommen noch keinen Schadensersatz begründet, sondern dass ein materieller oder immaterieller Schaden vorliegen muss, der kausal durch einen Verstoß gegen die DSGVO entstanden sein muss, wobei diese Voraussetzungen bei ihrem kumulativen Vorliegen einen Schadensersatzanspruch begründen.
Es obliegt dabei dem Anspruchssteller, den Verstoß gegen die DSGVO und das Vorliegen eines Schadens nachzuweisen. Der Schaden muss dabei jedoch keinen bestimmten Schweregrad erreichen.
Bereits der Verlust der Kontrolle über die personenbezogenen Daten hinsichtlich der eigenen Person kann ein Schaden im Sinne der DSGVO sein. Dieser Ansicht ist der Europäische Gerichtshof insbesondere mit Hinblick auf den 85. Erwägungsgrund der DSGVO, der den Verlust der Kontrolle über die eigenen Daten als Schaden, der aufgrund einer Verletzung personenbezogener Daten entstehen kann, nennt, gefolgt.
Selbst der kurzzeitige Verlust der Kontrolle über die eigenen Daten ist somit ein immaterieller Schaden im Sinne dieser Verordnung. Dies muss der Betroffene jedoch nachweisen. Auch hier genügt ein bloßer Verstoß gegen die Vorschriften der DSGVO nicht aus.
Insbesondere hat der Europäische Gerichtshof in diesem Urteil auch festgestellt, dass sich ein Unternehmen nicht darauf berufen kann, dass eine ihm unterstellte Person den Schaden durch ein eigenes Fehlverhalten verursacht hat. Juris kann sich daher nicht exkulpieren, indem es darlegt, ein Mitarbeiter hätte weisungswidrig gehandelt.
Bewertung
Dieses Urteil des Europäischen Gerichtshofs stärkt weiter die Rechte von Betroffenen von Datenverarbeitungen. Nachdem das Gericht bereits in der Vergangenheit mehrfach dargelegt hat, dass ein Schaden, damit er ersatzfähig entsprechend der DSGVO ist, keine gewisse Erheblichkeitsschwelle überschreiten muss (lesen Sie hierzu etwa ein Urteil des Europäischen Gerichtshofs vom Mai 2023), hat es nun ausdrücklich darauf hingewiesen, dass der Verlust der Kontrolle über die eigenen personenbezogenen Daten einen immateriellen Schaden darstellen kann.
Auch die Feststellung, dass sich Unternehmen nicht darauf berufen können, ein Angestellter hätte sich weisungswidrig verhalten und so gegen die DSGVO verstoßen und einen Schaden bei dem Anspruchsteller verursacht, ist nutzerfreundlich, denn ansonsten könnte ein Unternehmen auf derartige Weise in vielen Fällen seiner Haftung entgehen, und der Schadensersatzanspruch würde Gefahr laufen, ausgehöhlt zu werden.
Es genügt jedoch weiterhin nicht, sich lediglich darauf zu berufen, dass gegen die Vorschriften der DSGVO verstoßen wurde. Vielmehr muss der Anspruchsteller einen aufgrund des Verstoßes entstandenen Schaden nachweisen, mag dieser auch noch so gering sein.
Das Landgericht Saarbrücken wird nun das Verfahren weiter verhandeln, dabei die Rechtsansicht des Europäischen Gerichtshofs zugrundelegen und dann über einen Schadensersatzanspruch des Klägers entscheiden.
Julia Wulf
Anwältin für Datenschutzrecht
Lesen Sie mehr zu den Schwerpunkten unserer Kanzlei unter www.rnsp.de.