Entscheidungsstichwort (Thema)
Vorlage zur Vorabentscheidung. Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Anspruch auf Ersatz des Schadens, der durch eine unter Verstoß gegen diese Verordnung erfolgte Datenverarbeitung verursacht worden ist. Begriff des immateriellen Schadens. Auswirkung der Schwere des erlittenen Schadens. Haftung des Verantwortlichen. Möglichkeit der Befreiung im Fall des Fehlverhaltens einer ihm im Sinne von Art. 29 unterstellten Person. Bemessung des Schadenersatzbetrags. Unanwendbarkeit der in Art. 83 für Geldbußen vorgesehenen Kriterien. Bemessung im Fall mehrfacher Verstöße gegen diese Verordnung
Normenkette
EUVO 679/2016 Art. 82-83
Beteiligte
Tenor
1.Art. 82 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
ist dahin auszulegen, dass
ein Verstoß gegen Bestimmungen dieser Verordnung, die der betroffenen Person Rechte verleihen, für sich genommen nicht ausreicht, um unabhängig vom Schweregrad des von dieser Person erlittenen Schadens einen „immateriellen Schaden“ im Sinne dieser Bestimmung darzustellen.
2.Art. 82 der Verordnung 2016/679
ist dahin auszulegen, dass
es für eine Befreiung des Verantwortlichen von seiner Haftung nach Art. 82 Abs. 3 dieser Verordnung nicht ausreicht, dass er geltend macht, dass der in Rede stehende Schaden durch ein Fehlverhalten einer ihm im Sinne von Art. 29 der Verordnung unterstellten Person verursacht wurde.
3.Art. 82 Abs. 1 der Verordnung 2016/679
ist dahin auszulegen, dass
zur Bemessung des Betrags des auf diese Bestimmung gestützten Anspruchs auf Schadenersatz zum einen die in Art. 83 dieser Verordnung vorgesehenen Kriterien für die Festsetzung des Betrags von Geldbußen nicht entsprechend anzuwenden sind und zum anderen nicht zu berücksichtigen ist, dass die Person, die Schadenersatz verlangt, von mehreren Verstößen gegen die Verordnung betroffen ist, die sich auf denselben Verarbeitungsvorgang beziehen.
Tatbestand
In der Rechtssache C-741/21
betreffend ein Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht vom Landgericht Saarbrücken (Deutschland) mit Beschluss vom 22. November 2021, beim Gerichtshof eingegangen am 1. Dezember 2021, in dem Verfahren
GP
gegen
juris GmbH
erlässt
DER GERICHTSHOF (Dritte Kammer)
unter Mitwirkung der Kammerpräsidentin K. Jürimäe sowie der Richter N. Piçarra und N. Jääskinen (Berichterstatter),
Generalanwalt: M. Campos Sánchez-Bordona,
Kanzler: A. Calot Escobar,
aufgrund des schriftlichen Verfahrens,
unter Berücksichtigung der Erklärungen
- – von GP, vertreten durch Rechtsanwalt H. Schöning,
- – der juris GmbH, vertreten durch Rechtsanwältin E. Brandt und Rechtsanwalt C. Werkmeister,
- – Irlands, vertreten durch M. Browne, Chief State Solicitor, A. Joyce und M. Lane als Bevollmächtigte im Beistand von D. Fennelly, BL,
- – der Europäischen Kommission, vertreten durch A. Bouchagiar, M. Heller und H. Kranenborg als Bevollmächtigte,
aufgrund des nach Anhörung des Generalanwalts ergangenen Beschlusses, ohne Schlussanträge über die Rechtssache zu entscheiden,
folgendes
Urteil
Entscheidungsgründe
Rz. 1
Das Vorabentscheidungsersuchen betrifft die Auslegung von Art. 82 Abs. 1 und 3 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, berichtigt u. a. in ABl. 2018, L 127, S. 2, im Folgenden: DSGVO) in Verbindung mit den Art. 29 und 83 dieser Verordnung sowie im Licht ihrer Erwägungsgründe 85 und 146.
Rz. 2
Es ergeht im Rahmen eines Rechtsstreits zwischen GP, einer natürlichen Person, und der juris GmbH, einer Gesellschaft mit Sitz in Deutschland, über den Ersatz des Schadens, den GP durch verschiedene Verarbeitungen seiner personenbezogenen Daten für Zwecke der Direktwerbung, die trotz seiner an diese Gesellschaft gerichteten Widersprüche vorgenommen wurden, seinen Angaben nach erlitten hat.
Rechtlicher Rahmen
Rz. 3
In den Erwägungsgründen 85, 146 und 148 der DSGVO heißt es:
„(85) Eine Verletzung des Schutzes personenbezogener Daten kann – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person. …
…
(146) Der Verantwortliche oder ...