Anna-Lena Glander, Julian Rosenfeld
Gemäß Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Der EuGH hat in einigen wegweisenden Entscheidungen der jüngeren Vergangenheit die Voraussetzungen für einen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO gefestigt. Danach hängt der Schadensersatzanspruch von 3 kumulativen Voraussetzungen ab:
(1) es muss ein DSGVO-Verstoß vorliegen,
(2) es muss ein Schaden vorliegen und
(3) es muss ein Kausalzusammenhang zwischen Verstoß und Schaden bestehen.
Erste Voraussetzung: DSGVO-Verstoß
In Zusammenhang mit der ersten Voraussetzung, dem Vorliegen eines DSGVO-Verstoßes nach Art. 82 Abs. 1 DSGVO, ist in Literatur und Rechtsprechung umstritten, ob nur die unrechtmäßige Verarbeitung von personenbezogenen Daten oder darüber hinaus auch bereits bloße Verstöße gegen Pflichten der DSGVO, die selbst keine Verarbeitung von personenbezogenen Daten darstellen, von dem Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO umfasst sind. Die Beschränkung des Schadensersatzanspruchs auf Schäden, die aufgrund einer unrechtmäßigen Verarbeitung entstanden sind, ist in dem Wortlaut von Art. 82 Abs. 2 S. 1 grundsätzlich angelegt ("Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde"). Auch Erwägungsgrund 146 S. 1 der DSGVO beschränkt die zu ersetzenden Schäden ausdrücklich auf "Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, ersetzen". Der EuGH hat sich diesbezüglich bislang nicht ausdrücklich positioniert. Gleichwohl hat er aber als Voraussetzung für die Entstehung des Schadenersatzanspruchs und unter Bezugnahme auf Art. 82 Abs. 2 DSGVO von "eine[r] Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DSGVO" gesprochen. Eine finale Klärung dieser Frage durch den EuGH steht damit noch aus; auch der BGH hat diese Frage in einer kürzlich ergangenen Entscheidung zum sogenannten Scraping bewusst offen gelassen.
Zurecht hat der BGH in dieser Entscheidung allerdings festgehalten, dass der Verarbeitungsbegriff gemäß Art. 4 Nr. 2 DSGVO weit auszulegen ist. Dementsprechend dürfte auch bei einem engeren Verständnis von Art. 82 Abs. 1 DSGVO noch ein weiter Anwendungsbereich gegeben sein. Beispielsweise können Verstöße gegen die Grundsätze der Datenverarbeitung gem. Art. 5-11 DSGVO, Verstöße gegen Art. 26, 30 DSGVO und gegen Art. 32 DSGVO in den Anwendungsbereich von Art. 82 DSGVO fallen.
Zweite Voraussetzung: Schaden
Weiterhin muss dem Betroffenen ein Schaden entstanden sein. Art. 82 DSGVO definiert den Begriff des Schadens nicht. Art. 82 DSGVO enthält ferner keinen Verweis auf das innerstaatliche Recht der Mitgliedstaaten. Dementsprechend ist der Begriff des (materiellen oder immateriellen) "Schadens" autonom unionsrechtlich zu definieren.
Nach EG 146 S. 3 DSGVO ist der Begriff des Schadens weit auszulegen, um den Zielen der Verordnung vollumfänglich zu entsprechen. Erwägungsgrund 85 der DSGVO nennt hierzu als typische Schadensgruppen den Verlust der Kontrolle über personenbezogene Daten, die Einschränkung der Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung oder den Verlust der Vertraulichkeit. Allein der Diebstahl der personenbezogenen Daten einer betroffenen Person begründet indes noch keinen Anspruch auf Ersatz des immateriellen Schadens nach Art. 82 Abs. 1 der DSGVO, sondern erst, wenn die Anspruchsvoraussetzungen des Art. 82 DSGVO erfüllt sind.
Geklärt ist weiterhin, dass nicht schon allein der objektive Verstoß gegen die DSGVO einen Schaden begründet. Die betroffene Person muss vielmehr einen Schaden erlitten haben. Dabei kann bereits die (begründete) Befürchtung des Missbrauchs der Daten nach einem DSGVO-Verstoß einen immateriellen Schaden im Sinne von Art. 82 DSGVO mit sich bringen. Die betroffene Person muss hierzu nachweisen, dass diese negativen Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen. Weiterhin muss das zuständige Gericht prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann.
Rege umstritten war bislang die Frage, ob ein bloßer Kontrollverlust der betroffenen Person über ihre personenbezogenen Daten bereits für sich genommen einen immateriellen Schaden begründet. Dies hat durch die Leitentscheidung des BGH nun vermeintlich Klärung erfahren, der dies bejaht. Dabei stützt sich der BGH ausdrücklich und umfänglich auf die Rechtsprechung des EuGH zum Schadensersatzanspruch nach Art. 82 DSGVO, der dies inhaltlich so entschieden hätte. Inhaltlich geht der BGH insoweit von einem acte éclairé aus, da die Rechtslage aufgrund der vorgenannten Entscheidungen des EuGH geklärt und eine Vorlage an d...