Rechtsdatenbank
Welche Fragen Arbeitgeber auch zum Thema Sozialversicherungsrecht bewegen: Die Rechtsdatenbank der AOK liefert die Antworten – einfach, fundiert und topaktuell.
Rechtsdatenbank
Welche Fragen Arbeitgeber auch zum Thema Sozialversicherungsrecht bewegen: Die Rechtsdatenbank der AOK liefert die Antworten – einfach, fundiert und topaktuell.
EuGH 14.12.2023 - C-456/22
EuGH 14.12.2023 - C-456/22 - URTEIL DES GERICHTSHOFS (Dritte Kammer) - 14. Dezember 2023 ( *1) - „Vorlage zur Vorabentscheidung – Schutz personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 82 – Haftung und Recht auf Schadenersatz – Begriff, immaterieller Schaden‘ – Personenbezogene Daten enthaltende Veröffentlichung der Tagesordnung einer Gemeinderatssitzung im Internet – Veröffentlichung ohne Einwilligung der betroffenen Personen – Antrag dieser Personen auf Ersatz des immateriellen Schadens“
Leitsatz
In der Rechtssache C-456/22
betreffend ein Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht vom Landgericht Ravensburg (Deutschland) mit Beschluss vom 30. Juni 2022, beim Gerichtshof eingegangen am 8. Juli 2022, in dem Verfahren
VX,
AT
gegen
Gemeinde Ummendorf
erlässt
DER GERICHTSHOF (Dritte Kammer)
unter Mitwirkung der Kammerpräsidentin K. Jürimäe sowie der Richter N. Piçarra, M. Safjan, N. Jääskinen (Berichterstatter) und M. Gavalec,
Generalanwalt: N. Emiliou,
Kanzler: A. Calot Escobar,
aufgrund des schriftlichen Verfahrens,
unter Berücksichtigung der Erklärungen
von AT und VX, vertreten durch Rechtsanwalt O. Leuze,
der Gemeinde Ummendorf, vertreten durch Rechtsanwalt A. Staudacher,
von Irland, vertreten durch M. Browne, A. Joyce und M. Tierney als Bevollmächtigte im Beistand von D. Fennelly, BL,
der Europäischen Kommission, vertreten durch A. Bouchagiar, M. Heller und H. Kranenborg als Bevollmächtigte,
aufgrund des nach Anhörung des Generalanwalts ergangenen Beschlusses, ohne Schlussanträge über die Rechtssache zu entscheiden,
folgendes
Entscheidungsgründe
Urteil
Das Vorabentscheidungsersuchen betrifft die Auslegung von Art. 82 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, im Folgenden: DSGVO).
Es ergeht im Rahmen eines Rechtsstreits zwischen zwei natürlichen Personen, AT und VX, einerseits und der Gemeinde Ummendorf (Deutschland) andererseits wegen Zahlung von Schmerzensgeld nach Art. 82 Abs. 1 DSGVO zur Wiedergutmachung des Schadens, der ihnen dadurch entstanden sein soll, dass ihre personenbezogenen Daten ohne ihre Einwilligung auf der Internetseite dieser Gemeinde veröffentlicht wurden.
Rechtlicher Rahmen
Im 146. Erwägungsgrund Sätze 1, 3 und 6 der DSGVO heißt es:
„Der Verantwortliche oder der Auftragsverarbeiter sollte Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, ersetzen. … Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs [der Europäischen Union] weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht. … Die betroffenen Personen sollten einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. …“
Art. 5 („Grundsätze für die Verarbeitung personenbezogener Daten“) Abs. 1 Buchst. a DSGVO bestimmt:
„Personenbezogene Daten müssen
auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (‚Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz‘)“.
Art. 82 („Haftung und Recht auf Schadenersatz“) Abs. 1 DSGVO sieht vor:
„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“
Ausgangsrechtsstreit und Vorlagefrage
Am 19. Juni 2020 hatte die Gemeinde Ummendorf auf ihrer Internetseite ohne Einwilligung der Kläger des Ausgangsverfahrens die Tagesordnung einer Gemeinderatssitzung, in der mehrfach die Namen der Kläger genannt wurden, sowie ein am 10. März 2020 vom Verwaltungsgericht Sigmaringen (Deutschland) verkündetes Urteil veröffentlicht, in dessen Rubrum ebenfalls ihre Namen und Vornamen sowie ihre Anschrift genannt waren. Diese Unterlagen waren bis zum 22. Juni 2020 auf der Homepage dieser Gemeinde verfügbar.
Die Kläger des Ausgangsverfahrens sind der Auffassung, dass diese Veröffentlichung ein Verstoß gegen die DSGVO sei und dass die Gemeinde Ummendorf vorsätzlich gehandelt habe, da die Namen der anderen Beteiligten des Verfahrens, in dem das genannte Urteil ergangen sei, geschwärzt worden seien. Daher nehmen sie die Gemeinde nach Art. 82 Abs. 1 DSGVO auf Ersatz des ihnen angeblich entstandenen immateriellen Schadens in Anspruch. Ihrer Ansicht nach stellt die unzulässige Offenlegung personenbezogener Daten einer natürlichen Person einen „Schaden“ im Sinne dieser Bestimmung dar, ohne dass eine „Bagatellgrenze“ geltend gemacht werden könne, die der Systematik der DSGVO widerspräche und der abschreckenden Wirkung dieser Bestimmung abträglich wäre.
Die Gemeinde Ummendorf dagegen hält bei einem Ersatz „immaterieller Schäden“ im Sinne von Art. 82 Abs. 1 DSGVO den Nachweis spürbarer Nachteile und eine objektiv nachvollziehbare Beeinträchtigung persönlichkeitsbezogener Belange für erforderlich.
Das im Berufungsverfahren mit der Rechtssache befasste Landgericht Ravensburg (Deutschland), das vorlegende Gericht, sieht darin, dass die Gemeinde Ummendorf personenbezogene Daten der Kläger des Ausgangsverfahrens im Internet veröffentlicht hat, einen Verstoß gegen Art. 5 Abs. 1 Buchst. a DSGVO. Es hat jedoch Zweifel, ob den Klägern durch diese Veröffentlichung ein immaterieller Schaden im Sinne von Art. 82 Abs. 1 DSGVO entstanden ist, so dass ihnen ein Schmerzensgeldanspruch zusteht.
Insbesondere ist das vorlegende Gericht der Auffassung, dass der bloße Verlust der Hoheit über die personenbezogenen Daten der Kläger des Ausgangsverfahrens nicht genüge, um einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO zu rechtfertigen. Es neigt zu der Annahme, dass für die Bejahung eines immateriellen Schadens eine „Bagatellgrenze“ überschritten sein müsse, was bei einem lediglich kurzfristigen Verlust der Datenhoheit der Betroffenen, der ihnen keinerlei spürbare Nachteile verursacht habe, und ohne Nachweis einer objektiv nachvollziehbaren Beeinträchtigung ihrer persönlichkeitsbezogenen Belange nicht der Fall sei.
Unter diesen Umständen hat das Landgericht Ravensburg beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Frage zur Vorabentscheidung vorzulegen:
Ist der Begriff des immateriellen Schadens in Art. 82 Abs. 1 DSGVO dahin auszulegen, dass die Annahme eines immateriellen Schadens einen spürbaren Nachteil und eine objektiv nachvollziehbare Beeinträchtigung persönlichkeitsbezogener Belange erfordert, oder genügt hierfür der bloße kurzfristige Verlust des Betroffenen über die Hoheit seiner Daten wegen der Veröffentlichung personenbezogener Daten im Internet für einen Zeitraum von wenigen Tagen, der ohne jedwede spürbare bzw. nachteilige Konsequenzen für den Betroffenen blieb?
Zur Vorlagefrage
Mit seiner Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass er einer nationalen Rechtsvorschrift oder -praxis entgegensteht, die für einen durch einen Verstoß gegen diese Verordnung verursachten immateriellen Schaden eine „Bagatellgrenze“ vorsieht.
Insoweit ist daran zu erinnern, dass nach dieser Bestimmung „[j]ede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, … Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter [hat]“.
Wie der Gerichtshof hervorgehoben hat, ergibt sich aus Art. 82 Abs. 1 DSGVO, dass das Vorliegen eines „Schadens“, der entstanden ist, eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DSGVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (Urteile vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 32, und vom heutigen Tag, Natsionalna agentsia za prihodite, C-340/21, Rn. 77). Folglich sind diese drei Voraussetzungen erforderlich und ausreichend für einen Schadenersatzanspruch im Sinne dieser Bestimmung.
Im Hinblick darauf, dass Art. 82 Abs. 1 DSGVO nicht auf das innerstaatliche Recht der Mitgliedstaaten verweist, muss der Begriff „immaterieller Schaden“ im Sinne dieser Bestimmung eine autonome und einheitliche unionsrechtliche Definition erhalten (vgl. in diesem Sinne Urteil vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 30 und 44).
Vor diesem Hintergrund hat der Gerichtshof Art. 82 Abs. 1 DSGVO auf der Grundlage von Erwägungen zu Wortlaut, Systematik sowie Sinn und Zweck dahin ausgelegt, dass er einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines „immateriellen Schadens“ im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat (Urteile vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 51, und vom heutigen Tag, Natsionalna agentsia za prihodite, C-340/21, Rn. 78).
Somit kann nicht angenommen werden, dass über diese drei in Rn. 14 des vorliegenden Urteils genannten Voraussetzungen hinaus für die Haftung nach Art. 82 Abs. 1 DSGVO weitere Voraussetzungen aufgestellt werden dürfen, etwa die, dass der Nachteil spürbar oder die Beeinträchtigung objektiv sein muss.
Folglich verlangt Art. 82 Abs. 1 DSGVO nicht, dass nach einem erwiesenen Verstoß gegen Bestimmungen dieser Verordnung der von der betroffenen Person geltend gemachte „immaterielle Schaden“ eine „Bagatellgrenze“ überschreiten muss, damit dieser Schaden ersatzfähig ist.
Diese Auslegung wird durch den dritten Satz des 146. Erwägungsgrundes der DSGVO gestützt, in dem es heißt, dass „[d]er Begriff des Schadens … im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden [sollte], die den Zielen dieser Verordnung in vollem Umfang entspricht“. Es stünde jedoch zu dem vom Unionsgesetzgeber gewählten weiten Verständnis des Begriffs „Schaden“ in Widerspruch, wenn dieser Begriff auf Schäden mit einer gewissen Erheblichkeit beschränkt wäre, insbesondere was die Dauer betrifft, während der die betroffenen Personen den nachteiligen Folgen des Verstoßes gegen diese Verordnung ausgesetzt waren (vgl. in diesem Sinne Urteile vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 46, und vom heutigen Tag, Natsionalna agentsia za prihodite, C-340/21, Rn. 81).
Zudem steht eine solche Auslegung mit einem der Ziele der DSGVO im Einklang, namentlich demjenigen, innerhalb der Union ein gleichmäßiges und hohes Niveau des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten zu gewährleisten. Würde der Ersatz des Schadens von einer Erheblichkeitsschwelle abhängig gemacht, könnte dies nämlich die Kohärenz der mit der DSGVO eingeführten Regelung beeinträchtigen, da die graduelle Abstufung einer solchen Begrenzung, von der die Möglichkeit, Schadenersatz zu erhalten, abhinge, je nach Beurteilung durch die angerufenen Gerichte unterschiedlich hoch ausfallen könnte (vgl. in diesem Sinne Urteil vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 48 und 49).
Eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie nachteilige Folgen gehabt hat, muss jedoch den Nachweis erbringen, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen (vgl. in diesem Sinne Urteile vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 50, und vom heutigen Tag, Natsionalna agentsia za prihodite, C-340/21, Rn. 84). Der bloße Verstoß gegen die Bestimmungen dieser Verordnung reicht nämlich nicht aus, um einen Schadenersatzanspruch zu begründen (Urteil vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 42).
Unter diesen Umständen steht zwar nichts dem entgegen, dass die Veröffentlichung personenbezogener Daten im Internet und der daraus resultierende kurzzeitige Verlust der Hoheit über diese Daten den betroffenen Personen einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO zufügen können, der zum Schadenersatz berechtigt, doch müssen diese Personen den Nachweis erbringen, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten haben.
Nach alledem ist auf die Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass er einer nationalen Rechtsvorschrift oder -praxis entgegensteht, die für einen durch einen Verstoß gegen diese Verordnung verursachten immateriellen Schaden eine „Bagatellgrenze“ vorsieht. Die betroffene Person muss den Nachweis erbringen, dass die Folgen dieses Verstoßes, die sie erlitten zu haben behauptet, ursächlich für einen Schaden waren, der sich von der bloßen Verletzung der Bestimmungen dieser Verordnung unterscheidet.
Kosten
Für die Beteiligten des Ausgangsverfahrens ist das Verfahren Teil des beim vorlegenden Gericht anhängigen Verfahrens; die Kostenentscheidung ist daher Sache dieses Gerichts. Die Auslagen anderer Beteiligter für die Abgabe von Erklärungen vor dem Gerichtshof sind nicht erstattungsfähig.
Gründe
Aus diesen Gründen hat der Gerichtshof (Dritte Kammer) für Recht erkannt:
Art. 82 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
ist dahin auszulegen, dass
er einer nationalen Rechtsvorschrift oder -praxis entgegensteht, die für einen durch einen Verstoß gegen diese Verordnung verursachten immateriellen Schaden eine „Bagatellgrenze“ vorsieht. Die betroffene Person muss den Nachweis erbringen, dass die Folgen dieses Verstoßes, die sie erlitten zu haben behauptet, ursächlich für einen Schaden waren, der sich von der bloßen Verletzung der Bestimmungen dieser Verordnung unterscheidet.
Unterschriften
( *1)Verfahrenssprache: Deutsch.
Kontakt zur AOK Bremen/Bremerhaven
Persönlicher Ansprechpartner
E-Mail-Service