In dem Vorabentscheidungsersuchen des Amtsgerichts Wesel hat das Gericht mit Urteil vom 20. Juni 2024 (Az.: C‑590/22) seine Rechtsprechung zum Anspruch auf Schadensersatz nach Art. 82 DSGVO und die einzelnen Voraussetzungen bestätigt.
A. Verstoß gegen DSGVO allein nicht ausreichend, sondern Schaden muss nachgewiesen werden
Dazu führt das Gericht in Entscheidungsgründen unter anderem aus:
„…Folglich ist Art. 82 Abs. 1 DSGVO dahin auszulegen, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen (Urteil vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C‑300/21, EU:C:2023:370, Rn. 42).
Die Person, die auf der Grundlage dieser Bestimmung den Ersatz eines immateriellen Schadens verlangt, muss nämlich nicht nur den Verstoß gegen Bestimmungen dieser Verordnung nachweisen, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist (vgl. in diesem Sinne Urteile vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C‑300/21, EU:C:2023:370, Rn. 42 und 50, und vom 11. April 2024, juris, C‑741/21, EU:C:2024:288, Rn. 35).
Was die letztgenannte Voraussetzung betrifft, steht Art. 82 Abs. 1 DSGVO einer nationalen Vorschrift oder Praxis entgegen, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen gewissen Schweregrad erreicht hat (Urteile vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C‑300/21, EU:C:2023:370, Rn. 51, und vom 11. April 2024, juris, C‑741/21, EU:C:2024:288, Rn. 36).
Allerdings ist diese Person nach Art. 82 Abs. 1 DSGVO verpflichtet, nachzuweisen, dass sie tatsächlich einen materiellen oder immateriellen Schaden erlitten hat (vgl. in diesem Sinne Urteil vom 11. April 2024, juris, C‑741/21, EU:C:2024:288, Rn. 39)…“
B. Befürchtung der unbefugten Weitergabe von personenbezogenen Daten kann ausreichend sein
Dazu führt das Gericht in Entscheidungsgründen unter anderem aus:
„…Der Gerichtshof hat entschieden, dass sich nicht nur aus dem Wortlaut von Art. 82 Abs. 1 DSGVO im Licht ihrer Erwägungsgründe 85 und 146, wonach der Begriff „immaterieller Schaden“ im Sinne von Art. 82 Abs. 1 weit zu verstehen ist, sondern auch aus dem mit der DSGVO verfolgten Ziel der Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten ergibt, dass die durch einen Verstoß gegen die DSGVO ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, für sich genommen einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 darstellen kann (vgl. in diesem Sinne Urteile vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, Rn. 79 bis 86, sowie vom 25. Januar 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, Rn. 65).
Der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten kann einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO darstellen, der einen Schadensersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat, wobei der bloße Verstoß gegen die Bestimmungen der DSGVO nicht ausreicht, um auf dieser Grundlage einen Schadensersatzanspruch zu begründen (vgl. in diesem Sinne Urteile vom 25. Januar 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, Rn. 66, und vom 11. April 2024, juris, C‑741/21, EU:C:2024:288, Rn. 42).
Die Person, die der Ansicht ist, dass ihre personenbezogenen Daten unter Verstoß gegen die einschlägigen Bestimmungen der DSGVO verarbeitet wurden und auf der Grundlage von Art. 82 Abs. 1 dieser Verordnung Schadensersatz verlangt, muss daher nachweisen, dass sie tatsächlich einen materiellen oder immateriellen Schaden erlitten hat.
Die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen kann daher nicht zu einem Schadensersatz nach dieser Vorschrift führen…“
C. Schadenersatz hat keine Abschreckungsfunktion
Dazu führt das Gericht in Entscheidungsgründen unter anderem aus:
„…Zweitens erfüllt der in Art. 82 Abs. 1 DSGVO vorgesehene Anspruch auf Schadenersatz keine abschreckende oder gar Straffunktion. Daraus folgt, dass sich die Schwere des Verstoßes gegen diese Verordnung, durch den der geltend gemachte materielle oder immaterielle Schaden entstanden ist, nicht auf die Höhe des auf der Grundlage dieser Bestimmung gewährten Schadenersatzes auswirken kann und dass dieser Betrag nicht in einer Höhe bemessen werden darf, die über den vollständigen Ersatz dieses Schadens hinausgeht (vgl. in diesem Sinne Urteile vom 21. Dezember 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, Rn. 86, und vom 11. April 2024, juris, C‑741/21, EU:C:2024:288, Rn. 60)…“
D. Verstoß gegen nationale Vorschriften bleiben unberücksichtigt
Dazu führt das Gericht in Entscheidungsgründen unter anderem aus:
„…Diese Frage wird in Anbetracht dessen gestellt, dass die Kläger des Ausgangsverfahrens der Ansicht sind, dass der gleichzeitige Verstoß gegen Bestimmungen der DSGVO und gegen auf Steuerberater anwendbare Bestimmungen des deutschen Rechts, die vor dem Inkrafttreten dieser Verordnung erlassen worden seien und daher nicht auf eine Präzisierung dieser Verordnung abzielten, zu einer Erhöhung des Schadenersatzes führen müsse, den sie nach Art. 82 Abs. 1 DSGVO als Ausgleich für den immateriellen Schaden verlangen, der ihnen entstanden sein soll.
Insoweit geht zwar aus dem fünften Satz des 146. Erwägungsgrundes der DSGVO hervor, dass zu einer Verarbeitung personenbezogener Daten, die mit der vorliegenden Verordnung nicht im Einklang steht, „auch eine Verarbeitung [zählt], die nicht mit den nach Maßgabe der vorliegenden Verordnung erlassenen delegierten Rechtsakten und Durchführungsrechtsakten und Rechtsvorschriften der Mitgliedstaaten zur Präzisierung von Bestimmungen der vorliegenden Verordnung im Einklang steht“.
Jedoch stellt der Umstand, dass eine solche Datenverarbeitung auch unter Verstoß gegen Vorschriften des nationalen Rechts erfolgt ist, die sich auf den Schutz personenbezogener Daten beziehen, aber nicht bezwecken, die Bestimmungen der DSGVO zu präzisieren, keinen relevanten Faktor für die Bemessung des auf der Grundlage von Art. 82 Abs. 1 DSGVO gewährten Schadenersatzes dar. Ein Verstoß gegen solche nationalen Vorschriften ist nämlich von Art. 82 Abs. 1 DSGVO in Verbindung mit dem 146. Erwägungsgrund der DSGVO nicht erfasst.
Dies gilt unbeschadet dessen, dass das nationale Gericht, wenn das nationale Recht ihm dies gestattet, der betroffenen Person eine Entschädigung zusprechen kann, die höher ist als der in Art. 82 Abs. 1 DSGVO vorgesehene vollständige und wirksame Schadenersatz, wenn dieser Schadenersatz in Anbetracht dessen, dass der Schaden auch durch den Verstoß gegen Vorschriften des nationalen Rechts wie die in der vorstehenden Randnummer genannten verursacht wurde, nicht als ausreichend oder angemessen angesehen würde…“
Hinweis:
Wie das Amtsgericht Wesel entscheiden wird, bleibt abzuwarten. Erfahrungsgemäß wird die Rechtsansicht in die Entscheidung übernommen.