Festschrift für Jürgen Taeger

Art. 82 Abs. 1 DS-GVO gewährt einen Anspruch auf Ersatz des Schadens, der wegen eines Verstoßes gegen diese Verordnung entstanden ist. Damit macht schon der Wortlaut deutlich, dass allein der Verstoß gegen die DS-GVO für sich genommen noch nicht ausreicht, um den Schadensersatzanspruch auszulösen. Vielmehr bedarf es eines dadurch verursachten (materiellen oder immateriellen) Schadens: Ohne Schaden kein Schadensersatzanspruch.58 Dies harmoniert mit den schadensersatzrechtlichen Grundsätzen des Unionsprivatrechts (→ II.2.). Hätte der Verordnungsgeber eine nur an den Rechtsverstoß anknüpfende, vom Nachweis eines konkreten Schadens unabhängige Zahlungspflicht gewollt, hätte es nahegelegen, dies – wie namentlich im Luftverkehrsrecht durch Art. 7 Abs. 1 Fluggastrechte-VO (EG) 261/2004 geschehen – durch Pauschalen59 zu regeln. Der Schaden muss schließlich auch tatsächlich entstanden sein, wie sich aus Erwägungsgrund 146 Satz 6 – „Schadenersatz für den erlittenen Schaden“ (Hervorhebung nur hier) – ergibt; die bloße Gefahr eines (zukünftigen) Schadenseintritts oder eine Befürchtung des Schadens genügen nicht.60

Nach Art. 82 Abs. 1 DS-GVO ist der wegen „eines Verstoßes gegen diese Verordnung“ entstandene Schaden zu ersetzen. Weder der DS-GVO noch ihren Erwägungsgründen lässt sich entnehmen, dass der Schadensersatzanspruch einen qualifizierten Verstoß gegen die DS-GVO voraussetzt bzw. – anders gewendet – „Bagatellverstöße“ von vornherein nicht zum Schadensersatz verpflichten würden. Es genügt „ein“ Verstoß.61 Eine Kategorie eines von Art. 82 Abs. 1 DS-GVO von vornherein nicht erfassten „Bagatellverstoßes“ ist nicht anzuerkennen. Dafür besteht auch kein Bedarf.

Allerdings genügt – wie eben dargelegt (→ III.3.) – der Verstoß gegen die Vorschriften der DS-GVO allein nicht, um einen Schadensersatzanspruch zu begründen, sondern durch den Verstoß muss ein Schaden entstanden sein. An dieser Stelle kann die Schwere des Verstoßes möglicherweise durchaus relevant werden. So könnte bei Bagatellverstößen typischerweise die Beeinträchtigung immaterieller Interessen fehlen, sodass kein ersatzfähiger Schaden vorliegt, während ein schwerer Verstoß einen immateriellen Schaden näher liegen lässt. Zwingend ist indes beides nicht: Wenn es dem Betroffenen gelingt, einen immateriellen Schaden darzulegen, so ist dieser zu entschädigen, und zwar unabhängig davon, ob der Verstoß gegen die DS-GVO geringfügig („eine Bagatelle“) oder gravierend war. Umgekehrt ist es nicht ausgeschlossen, dass ein gravierender Datenschutzverstoß letztlich keinen Schaden verursacht.

Die Schwere des Verstoßes kann deshalb lediglich ein Kriterium sein, das – neben anderen – bei der Bestimmung des immateriellen Schadens und damit der Bemessung der Höhe des Schadensersatzanspruchs herangezogen werden kann (→ III.6.a). Insofern mag ein „Bagatellverstoß“ typischerweise für einen geringen bzw. geringeren – oder auch gar keinen – Schaden sprechen, als dies ein schwerer Verstoß zur Folge hätte. Dies betrifft dann aber lediglich die prozessuale Darlegungslast des vom Datenschutzverstoß Betroffenen (→ III.7.).

In diese Richtung haben die bislang mit Schadensersatzansprüchen nach Art. 82 Abs. 1 DS-GVO befassten Gerichte den Begriff des „Bagatellverstoßes“ dann auch verstanden, wenn sie ihn verwendet haben. So sprechen das AG Diez und das OLG Dresden jeweils von einem „Bagatellverstoß ohne ernsthafte Beeinträchtigung “ (Hervorhebung nur hier),62 um zu begründen, dass konkret keine ersatzfähige Einbuße entstanden ist. Insofern mag freilich die vom OLG Dresden ebenfalls in diesem Kontext verwendete Formulierung des „Bagatellschadens“63 treffender sein.

Nach deutschem Verständnis sind immaterielle Schäden alle Einbußen des Geschädigten, die „nicht Vermögensschaden“ sind (§ 253 Abs. 1 BGB), die also nicht in Geld messbar sind.64 Dieses Verständnis liegt auch dem Unionsprivatrecht zugrunde.65 Naturgemäß können solche Einbußen vielfältiger Art sein. Die Erwägungsgründe 75 und 85 der DS-GVO zeichnen dementsprechend auch ein sehr heterogenes Bild möglicher Schäden bzw. Interessenbeeinträchtigungen durch Datenschutzverletzungen.66 Eine Zuordnung zu materiellen oder immateriellen Schäden erfolgt dabei nicht; mit Grund, denn oft können die Auswirkungen sowohl das Vermögen als auch Nichtvermögensinteressen betreffen, und Art. 82 Abs. 1 DS-GVO gewährt für beide Schadensarten Ersatz. Die Aufzählung macht indes deutlich, dass die DS-GVO – im Einklang mit dem sonstigen Unionsprivatrecht67 – von einem weiten Schadensbegriff ausgeht.68 Insbesondere ist der Schadensersatz nicht auf die Beeinträchtigung bestimmter Interessen, etwa besonders hochrangiger, beschränkt.69

Daraus lässt sich aber nicht ableiten, dass der Schadensbegriff notwendigerweise uferlos sein müsste und damit für alle nur denkbaren Auswirkungen von Datenschutzverstößen Schadensersatz zu leisten wäre. Welche Interessenbeeinträchtigung als Schaden anzusehen ist, bestimmt letztlich die Rechtsordnung.70 Das gilt für das Unionsprivatrecht genauso.71 Deshalb sind beispielsweise sachgerechte Beschränkungen des immateriellen Schadensersatzes, namentlich im Falle nur leichter Verletzungen, durchaus denkbar.72 Maßgebend muss insoweit der Normzweck des jeweiligen Rechtsakts sein.73

Diese Grundsätze sollten auch bei der Bestimmung des Schadensbegriffs der DS-GVO Anwendung finden. So sollte einerseits zwar ein weites Begriffsverständnis zugrunde gelegt, sollten also bestimmte Interessen nicht von vornherein ausgeschlossen werden. Andererseits bedeutet das nicht, dass auch für leichteste Beeinträchtigungen jedweden Interesses notwendigerweise Schadensersatz zu leisten ist.74 Die Beeinträchtigung muss sich vielmehr als ersatzfähiger Schaden darstellen und dazu sind normative, an den Zielen der DS-GVO ausgerichtete Erwägungen notwendig.75 Ein Beispiel dafür sind unspezifische „Unlustgefühle“ nach einem Datenschutzverstoß. Diese unbesehen anzuerkennen, würde dem Schadensbegriff jede Kontur nehmen und zu einer unbedingten, vom Vorliegen eines dadurch verursachten individuellen Schadens losgelösten Zahlungspflicht allein wegen eines Datenschutzverstoßes führen. Dass der Unionsgesetzgeber Derartiges statuieren, den „Schadensersatzanspruch“ also de facto zu einem privaten Bußgeld für den bloßen Rechtsverstoß machen wollte, dafür finden sich in der DS-GVO keine Anhaltspunkte.

Dem von einem Datenschutzverstoß Betroffenen muss vielmehr ein spürbarer Nachteil entstanden sein, es muss um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen.76 Die Beeinträchtigung muss von einer gewissen Erheblichkeit sein. Einen normativen Anknüpfungspunkt gibt die DS-GVO in ihren Erwägungsgründen 75 und 85 selbst: Im Anschluss an die beispielhafte Aufzählung möglicher Beeinträchtigungen durch Datenschutzverletzungen ist dort ergänzend allgemein von „anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen“ (Hervorhebung nur hier) die Rede.

Dadurch ist auch das einem konturenlos weiten Schadensbegriff immanente Missbrauchsrisiko77 gebannt. Zwar mag ein solches bei vorsätzlichen, schweren Datenschutzverstößen mit Blick auf Prävention und Abschreckung als zur Durchsetzung der DS-GVO hinnehmbar oder gar wünschenswert angesehen werden. Das Gros der Fälle dürfte sich jedoch (allenfalls) im Fahrlässigkeitsbereich abspielen, zumal, bis die umfassenden Pflichten und sonstigen Verhaltensanforderungen durch die Rechtsprechung näher konturiert worden sind. Je weiter gefasst und damit voraussetzungsärmer aber der Schadensbegriff gefasst wird, desto eher besteht die Gefahr, dass versucht wird, (vorgebliche) Ansprüche durchzusetzen, die mangels schuldhafter Rechtsverletzung tatsächlich nicht bestehen. Das ist weder volkswirtschaftlich wünschenswert, noch trägt es zur Akzeptanz des Datenschutzrechts78 bei.