Der in Art. 82 Abs. 1 DSGVO vorgesehene Schadenersatzanspruch erfüllt ausschließlich eine Ausgleichsfunktion, da eine auf diese Bestimmung gestützte Entschädigung in Geld es ermöglichen soll, den erlittenen Schaden in vollem Umfang auszugleichen.
Der Grad der Schwere und die etwaige Vorsätzlichkeit des von dem für die Verarbeitung Verantwortlichen begangenen Verstoßes muss beim Schadensersatz berücksichtigt werden.
Das Amtsgericht München legte dem Europäischen Gerichtshof (EuGH) folgende Fragen zur Vorabentscheidung vor:
- Ist Art. 82 DSGVO dahin auszulegen, dass dem Schadenersatzanspruch auch im Rahmen der Bemessung seiner Höhe kein Sanktionscharakter, insbesondere keine generelle oder spezielle Abschreckungsfunktion zukommt, sondern der Anspruch auf Schadenersatz nur eine Ausgleichs- und unter Umständen Genugtuungsfunktion hat?
- Ist für die Bemessung des immateriellen Schadenersatzanspruchs als Verständnis davon auszugehen, dass der Schadenersatzanspruch auch eine individuelle Genugtuungsfunktion hat – hier verstanden als das im Privaten des Verletzten bleibende Interesse, das verursachende Verhalten geahndet zu sehen, oder kommt dem Schadenersatzanspruch nur eine Ausgleichsfunktion zu – hier verstanden als die Funktion, erlittene Beeinträchtigungen zu kompensieren?
Wenn davon auszugehen ist, dass dem immateriellen Schadenersatzanspruch sowohl Ausgleichs- als auch Genugtuungsfunktion zukommt: Ist bei seiner Bemessung davon auszugehen, dass die Ausgleichsfunktion einen strukturellen oder zumindest als Regel-Ausnahmeverhältnis zu sehenden Vorrang vor der Genugtuungsfunktion hat? Führt dies dazu, dass eine Genugtuungsfunktion nur bei vorsätzlichen ober grob fahrlässigen Verletzungen in Betracht kommt?
Wenn dem immateriellen Schadenersatzanspruch keine Genugtuungsfunktion zukommt: Führen bei seiner Bemessung nur vorsätzliche oder grob fahrlässige Datenschutzverletzungen als Beurteilung von Verursachungsbeiträgen zu zusätzlichem Gewicht?
- Ist für das Verständnis des immateriellen Schadenersatzes in seiner Bemessung von einem strukturellen Rangverhältnis oder zumindest Regel-Ausnahme-Rangverhältnis auszugehen, bei dem das von einer Datenverletzung ausgehende Beeinträchtigungserleben weniger Gewicht hat als das mit einer Körperverletzung verknüpfte Beeinträchtigungs- und Schmerzerleben?
- Steht einem nationalen Gericht offen, wenn von einem Schaden auszugehen ist, angesichts fehlender Schwere einen materiell nur im Geringfügigen bleibenden und damit unter Umständen von Verletztenseite oder allgemein nur als symbolisch empfundenen Schadenersatz zuzusprechen?
- Ist für das Verständnis des immateriellen Schadenersatzes in der Beurteilung seiner Folgen davon auszugehen, dass ein Identitätsdiebstahl im Sinne des 75. Erwägungsgrundes der DSGVO erst dann vorliegt, wenn tatsächlich ein Straftäter die Identität des Betroffenen angenommen hat, sich also in irgendeiner Form als der Betroffene ausgegeben hat, oder liegt schon im Umstand, dass inzwischen Straftäter über Daten verfügen, die den Betroffenen identifizierbar machen, ein solcher Identitätsdiebstahl?
Urteil des EuGH
Zur ersten und zum ersten Teil der zweiten Frage:
Mit seiner ersten Frage und dem ersten Teil seiner zweiten Frage, die zusammen zu prüfen sind, möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass der in dieser Bestimmung vorgesehene Schadenersatzanspruch eine Ausgleichsfunktion erfüllt, da eine auf diese Bestimmung gestützte Entschädigung in Geld es ermöglichen soll, den aufgrund des Verstoßes gegen die DSGVO erlittenen Schaden in vollem Umfang auszugleichen, oder ob er auch eine Straffunktion erfüllt, die insbesondere darauf gerichtet ist, der betroffenen Person hinsichtlich ihrer individuellen Interessen Genugtuung zu verschaffen.
Insoweit hat der Gerichtshof bereits entschieden, dass Art. 82 DSGVO – anders als andere, ebenfalls in Kapitel VIII dieser Verordnung enthaltene Bestimmungen, und zwar ihre Art. 83 und 84, die im Wesentlichen einen Strafzweck haben, da sie die Verhängung von Geldbußen und anderen Sanktionen erlauben – keine Straf‑, sondern eine Ausgleichsfunktion hat. Das Verhältnis zwischen den in Art. 82 DSGVO und den in den Art. 83 und 84 DSGVO enthaltenen Vorschriften zeigt, dass zwischen diesen beiden Kategorien von Bestimmungen ein Unterschied besteht, sie einander aber als Anreiz zur Einhaltung der DSGVO auch ergänzen, wobei das Recht jeder Person, den Ersatz eines Schadens zu verlangen, die Durchsetzungskraft der in dieser Verordnung vorgesehenen Schutzvorschriften erhöht und geeignet ist, von der Wiederholung rechtswidriger Verhaltensweisen abzuschrecken.
Dementsprechend ist Art. 82 Abs. 1 DSGVO dahin ausgelegt worden, dass der in dieser Bestimmung vorgesehene Schadenersatzanspruch, insbesondere im Fall eines immateriellen Schadens, ausschließlich eine Ausgleichsfunktion erfüllt, da eine auf diese Bestimmung gestützte finanzielle Entschädigung es ermöglichen soll, den konkret aufgrund des Verstoßes gegen die DSGVO erlittenen Schaden in vollem Umfang auszugleichen, und keine Abschreckungs- oder Straffunktion erfüllt.
Folglich ist auf die erste Frage und den ersten Teil der zweiten Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass der in dieser Bestimmung vorgesehene Schadenersatzanspruch ausschließlich eine Ausgleichsfunktion erfüllt, da eine auf diese Bestimmung gestützte Entschädigung in Geld es ermöglichen soll, den erlittenen Schaden in vollem Umfang auszugleichen.
Zum zweiten Teil der zweiten Frage:
In Anbetracht der Antwort auf die erste Frage und den ersten Teil der zweiten Frage braucht der zweite Teil der zweiten Frage nicht beantwortet zu werden.
Zum dritten Teil der zweiten Frage:
Mit dem dritten Teil seiner zweiten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass er verlangt, dass der Grad der Schwere und die etwaige Vorsätzlichkeit des von dem für die Verarbeitung Verantwortlichen begangenen Verstoßes gegen die DSGVO für die Zwecke des Ersatzes eines Schadens auf der Grundlage dieser Bestimmung berücksichtigt werden.
Was die Bemessung der Höhe des etwaigen gemäß Art. 82 DSGVO geschuldeten Schadenersatzes betrifft, haben die nationalen Gerichte in Ermangelung einer Bestimmung mit diesem Gegenstand in der DSGVO die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden.
Es ist jedoch zum einen darauf hinzuweisen, dass die Haftung des Verantwortlichen nach Art. 82 DSGVO vom Vorliegen eines ihm anzulastenden Verschuldens abhängt, das vermutet wird, sofern er nicht nachweist, dass die Handlung, die den Schaden verursacht hat, ihm nicht zurechenbar ist, und zum anderen darauf, dass Art. 82 nicht verlangt, dass die Schwere dieses Verschuldens bei der Bemessung der Höhe des als Entschädigung für einen immateriellen Schaden auf der Grundlage dieser Bestimmung gewährten Schadenersatzes berücksichtigt wird.
Außerdem schließt die ausschließliche Ausgleichsfunktion des in Art. 82 Abs. 1 DSGVO verankerten Schadenersatzanspruchs es aus, dass die etwaige Vorsätzlichkeit des Verstoßes gegen die Verordnung, den der für die Verarbeitung Verantwortliche begangen haben soll, bei der Bemessung des Betrags des zum Ausgleich eines immateriellen Schadens auf der Grundlage dieser Bestimmung gewährten Schadenersatzes berücksichtigt wird. Der Betrag ist jedoch so festzulegen, dass er den konkret aufgrund des Verstoßes gegen die DSGVO erlittenen Schaden in vollem Umfang ausgleicht.
Nach alledem ist auf den dritten Teil der zweiten Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass er nicht verlangt, dass der Grad der Schwere und die etwaige Vorsätzlichkeit des von dem für die Verarbeitung Verantwortlichen begangenen Verstoßes gegen die DSGVO für die Zwecke des Ersatzes eines Schadens auf der Grundlage dieser Bestimmung berücksichtigt werden.
Zur dritten Frage:
Mit seiner dritten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass im Rahmen der Festlegung der Höhe des aufgrund des Anspruchs auf Ersatz eines immateriellen Schadens geschuldeten Schadenersatzes davon auszugehen ist, dass ein solcher durch eine Verletzung des Schutzes personenbezogener Daten verursachter Schaden seiner Natur nach weniger schwerwiegend ist als eine Körperverletzung.
Insoweit ist darauf hinzuweisen, dass es nach ständiger Rechtsprechung mangels einschlägiger Unionsregeln nach dem Grundsatz der Verfahrensautonomie Sache der innerstaatlichen Rechtsordnung jedes Mitgliedstaats ist, die verfahrensrechtlichen Modalitäten der Rechtsbehelfe, die zum Schutz der Rechte der Bürger bestimmt sind, festzulegen, vorausgesetzt allerdings, dass diese Modalitäten bei unter das Unionsrecht fallenden Sachverhalten nicht ungünstiger sind als diejenigen, die gleichartige Sachverhalte regeln, die dem innerstaatlichen Recht unterliegen (Äquivalenzgrundsatz), und dass sie die Ausübung der durch das Unionsrecht verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren (Effektivitätsgrundsatz).
Im vorliegenden Fall ist festzustellen, dass die DSGVO keine Bestimmung enthält, die sich den Regeln für die Bemessung des Schadenersatzes widmet, auf den eine betroffene Person im Sinne von Art. 4 Nr. 1 dieser Verordnung nach deren Art. 82 Anspruch hat, wenn ihr durch einen Verstoß gegen diese Verordnung ein Schaden entstanden ist. Daher sind die Ausgestaltung von Klageverfahren, die den Schutz der dem Einzelnen aus Art. 82 DSGVO erwachsenden Rechte gewährleisten sollen, und insbesondere die Festlegung der Kriterien für die Ermittlung des Umfangs des in diesem Rahmen geschuldeten Schadenersatzes in Ermangelung einschlägiger unionsrechtlicher Vorschriften Aufgabe des Rechts des einzelnen Mitgliedstaats, wobei der Äquivalenz- und der Effektivitätsgrundsatz zu beachten sind.
Da die dem Gerichtshof vorliegende Akte keinen Anhaltspunkt dafür enthält, dass der Äquivalenzgrundsatz im Kontext der vorliegenden Ausgangsverfahren relevant sein könnte, ist auf den Effektivitätsgrundsatz abzustellen. Insoweit ist es Sache des vorlegenden Gerichts, festzustellen, ob die im deutschen Recht vorgesehenen Modalitäten für die gerichtliche Festsetzung des Schadenersatzes, der aufgrund des in Art. 82 DSGVO vorgesehenen Schadenersatzanspruchs geschuldet wird, die Ausübung der durch das Unionsrecht und insbesondere durch diese Verordnung verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren.
Insoweit ergibt sich aus der in Rn. 23 des vorliegenden Urteils angeführten Rechtsprechung, dass in Anbetracht der ausschließlichen Ausgleichsfunktion des in Art. 82 Abs. 1 DSGVO vorgesehenen Schadenersatzanspruchs eine auf diese Bestimmung gestützte finanzielle Entschädigung als „vollständig und wirksam“ anzusehen ist, wenn sie es ermöglicht, den aufgrund des Verstoßes gegen die DSGVO konkret erlittenen Schaden in vollem Umfang auszugleichen.
Insoweit wird im 146. Erwägungsgrund der DSGVO im Übrigen darauf hingewiesen, dass „[d]er Begriff des Schadens … im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden [sollte], die den Zielen dieser Verordnung in vollem Umfang entspricht“, und dass „[d]ie betroffenen Personen … einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten [sollten]“.
Ferner ist darauf hinzuweisen, dass in den Erwägungsgründen 75 und 85 der DSGVO verschiedene Umstände aufgeführt sind, die als „physische, materielle oder immaterielle Schäden“ eingestuft werden können, ohne dass eine Hierarchie zwischen ihnen vorgenommen oder darauf hingewiesen würde, dass die aus einer Verletzung des Schutzes von Daten resultierenden Beeinträchtigungen ihrer Natur nach weniger schwerwiegend sind als Körperverletzungen.
Die grundsätzliche Annahme, dass eine Körperverletzung von Natur aus schwerer wiegt als ein immaterieller Schaden, könnte den Grundsatz des vollständigen und wirksamen Schadenersatzes für den erlittenen Schaden in Frage stellen.
Nach alledem ist auf die dritte Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass im Rahmen der Festlegung der Höhe des aufgrund des Anspruchs auf Ersatz eines immateriellen Schadens geschuldeten Schadenersatzes davon auszugehen ist, dass ein solcher durch eine Verletzung des Schutzes personenbezogener Daten verursachter Schaden seiner Natur nach nicht weniger schwerwiegend ist als eine Körperverletzung.
Zur vierten Frage:
Mit seiner vierten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass, wenn ein Schaden gegeben ist, ein nationales Gericht bei fehlender Schwere des Schadens diesen ausgleichen kann, indem es der betroffenen Person einen geringfügigen Schadenersatz zuspricht, der als symbolisch empfunden werden könnte.
Art. 82 Abs. 1 DSGVO ist nach ständiger Rechtsprechung dahin auszulegen, dass der bloße Verstoß gegen diese Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen, da das Vorliegen eines materiellen oder immateriellen „Schadens“ eine der Voraussetzungen für den in Art. 82 Abs. 1 vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DSGVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind.
Insofern muss die Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO den Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen dieser Verordnung nachweisen, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist, der daher nicht allein aufgrund dieses Verstoßes vermutet werden kann.