Erst vor wenigen Monaten berichteten wir über eine Entscheidung des EuGH zu Art. 82 DSGVO. In dem dortigen Fall zwischen einem Österreicher und der Österreichischen Post stellte der EuGH fest, dass nicht jeder Verstoß gegen die DSGVO zu einem Schadensersatzanspruch führt. Wenn aber durch den Verstoß ein materieller oder immaterieller Schaden eintritt, bestehe unabhängig vom Erreichen eines bestimmten Grads der Erheblichkeit ein Schadensersatzanspruch.
Da aber die DSGVO zur Schadensbemessung selbst keine Bestimmungen enthält, sei die Ermittlung des Umfangs des geschuldeten Schadensersatzes Aufgabe der nationalen Gerichte. Insofern blieb offen, ob bloße negative Gefühle wie z.B. Ärger, Unmut, Unzufriedenheit, Sorge und Angst genügen, um einen immateriellen Schaden zu bejahen. Genau diese Frage ist in der Praxis aber von höchster Relevanz, denn es sind tausende von Gerichtsverfahren anhängig, in denen die Betroffenen nach Datenlecks auf immateriellen Schadensersatz klagen, zum Schaden aber oft gleichförmig und generisch vortragen. So werden häufig „Gefühle eines Kontrollverlusts, eines Beobachtetwerdens und einer Hilflosigkeit, insgesamt also das Gefühl der Angst“ behauptet, zudem habe man „Aufwand an Zeit und Mühe gehabt“. In derartigen Fällen lehnt die Mehrheit der deutschen Gerichte derzeit einen Schadensersatzanspruch ab, was zum Teil am vielfach vollständig gleichlautenden Inhalt derartiger Klagen liegt, aber auch an dem Missverständnis, der immaterielle Schadensersatz sei ein „Schmerzensgeld“.
Dies könnte sich nun ändern, denn der BGH hat mit Beschluss vom heutigen Tage den EuGH um Beantwortung eben dieser Frage gebeten (Az. VI ZR 97/22). Der Kläger hatte sich bei einer Bank beworben. Eine Mitarbeiterin der Bank leitete eine nur für den Kläger bestimmte Nachricht auch an eine dritte, nicht am Bewerbungsprozess beteiligte Person weiter, die mit dem Kläger vor einiger Zeit in derselben Firma gearbeitet hatte und ihn deshalb kannte. In der Nachricht wurde unter anderem mitgeteilt, dass die Bank die Gehaltsvorstellungen des Klägers nicht erfüllen könne.
Der Kläger macht geltend, sein immaterieller Schaden liege nicht im abstrakten Kontrollverlust über die offenbarten Daten, sondern darin, dass nunmehr mindestens eine weitere Person, die den Kläger und potentielle wie ehemalige Arbeitgeber kenne, über Umstände Kenntnis habe, die der Diskretion unterlägen.
Es sei zu befürchten, dass der in der gleichen Branche tätige Dritte die in der Nachricht enthaltenen Daten weitergegeben habe oder sich durch ihre Kenntnis als Konkurrent auf etwaige Stellen im Bewerbungsprozess einen Vorteil habe verschaffen können. Zudem empfinde er das "Unterliegen" in den Gehaltsverhandlungen als Schmach, die er nicht an Dritte - vor allem nicht an potentielle Konkurrenten - weitergegeben hätte.
Der BGH hat dem EuGH in dieser Situation diverse Fragen vorgelegt, u.a.:
[…]
4. Ist Art. 82 Abs. 1 DSGVO dahingehend auszulegen, dass für die Annahme eines immateriellen Schadens im Sinne dieser Bestimmung bloße negative Gefühle wie z.B. Ärger, Unmut, Unzufriedenheit, Sorge und Angst, die an sich Teil des allgemeinen Lebensrisikos und oft des täglichen Erlebens sind, genügen? Oder ist für die Annahme eines Schadens ein über diese Gefühle hinausgehender Nachteil für die betroffene natürliche Person erforderlich?
5. Ist Art. 82 Abs. 1 DSGVO dahingehend auszulegen, dass bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens der Grad des Verschuldens des Verantwortlichen oder Auftragsverarbeiters bzw. seiner Mitarbeiter ein relevantes Kriterium darstellt?
[…]
Gerade die hier wiedergegebene vierte Frage ist für die gerichtliche Praxis äußerst relevant. Die betroffenen aktuell anhängigen Verfahren dürften bis zur Beantwortung durch den BGH voraussichtlich ausgesetzt werden. Mit einer Entscheidung des EuGH ist in ein bis zwei Jahren zu rechnen.
Autor: Rechtsanwalt Marc Hügel