Rechtsdatenbank
Welche Fragen Arbeitgeber auch zum Thema Sozialversicherungsrecht bewegen: Die Rechtsdatenbank der AOK liefert die Antworten – einfach, fundiert und topaktuell.
Rechtsdatenbank
Welche Fragen Arbeitgeber auch zum Thema Sozialversicherungsrecht bewegen: Die Rechtsdatenbank der AOK liefert die Antworten – einfach, fundiert und topaktuell.
EuGH 11.04.2024 - C-741/21
EuGH 11.04.2024 - C-741/21 - URTEIL DES GERICHTSHOFS (Dritte Kammer) - 11. April 2024 ( *1) - „Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 82 – Anspruch auf Ersatz des Schadens, der durch eine unter Verstoß gegen diese Verordnung erfolgte Datenverarbeitung verursacht worden ist – Begriff des immateriellen Schadens – Auswirkung der Schwere des erlittenen Schadens – Haftung des Verantwortlichen – Möglichkeit der Befreiung im Fall des Fehlverhaltens einer ihm im Sinne von Art. 29 unterstellten Person – Bemessung des Schadenersatzbetrags – Unanwendbarkeit der in Art. 83 für Geldbußen vorgesehenen Kriterien – Bemessung im Fall mehrfacher Verstöße gegen diese Verordnung“
Leitsatz
In der Rechtssache C-741/21
betreffend ein Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht vom Landgericht Saarbrücken (Deutschland) mit Beschluss vom 22. November 2021, beim Gerichtshof eingegangen am 1. Dezember 2021, in dem Verfahren
GP
gegen
juris GmbH
erlässt
DER GERICHTSHOF (Dritte Kammer)
unter Mitwirkung der Kammerpräsidentin K. Jürimäe sowie der Richter N. Piçarra und N. Jääskinen (Berichterstatter),
Generalanwalt: M. Campos Sánchez-Bordona,
Kanzler: A. Calot Escobar,
aufgrund des schriftlichen Verfahrens,
unter Berücksichtigung der Erklärungen
von GP, vertreten durch Rechtsanwalt H. Schöning,
der juris GmbH, vertreten durch Rechtsanwältin E. Brandt und Rechtsanwalt C. Werkmeister,
Irlands, vertreten durch M. Browne, Chief State Solicitor, A. Joyce und M. Lane als Bevollmächtigte im Beistand von D. Fennelly, BL,
der Europäischen Kommission, vertreten durch A. Bouchagiar, M. Heller und H. Kranenborg als Bevollmächtigte,
aufgrund des nach Anhörung des Generalanwalts ergangenen Beschlusses, ohne Schlussanträge über die Rechtssache zu entscheiden,
folgendes
Entscheidungsgründe
Urteil
Das Vorabentscheidungsersuchen betrifft die Auslegung von Art. 82 Abs. 1 und 3 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, berichtigt u. a. in ABl. 2018, L 127, S. 2, im Folgenden: DSGVO) in Verbindung mit den Art. 29 und 83 dieser Verordnung sowie im Licht ihrer Erwägungsgründe 85 und 146.
Es ergeht im Rahmen eines Rechtsstreits zwischen GP, einer natürlichen Person, und der juris GmbH, einer Gesellschaft mit Sitz in Deutschland, über den Ersatz des Schadens, den GP durch verschiedene Verarbeitungen seiner personenbezogenen Daten für Zwecke der Direktwerbung, die trotz seiner an diese Gesellschaft gerichteten Widersprüche vorgenommen wurden, seinen Angaben nach erlitten hat.
Rechtlicher Rahmen
In den Erwägungsgründen 85, 146 und 148 der DSGVO heißt es:
Eine Verletzung des Schutzes personenbezogener Daten kann – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person. …
…
Der Verantwortliche oder der Auftragsverarbeiter sollte Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, ersetzen. Der Verantwortliche oder der Auftragsverarbeiter sollte von seiner Haftung befreit werden, wenn er nachweist, dass er in keiner Weise für den Schaden verantwortlich ist. Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht. Dies gilt unbeschadet von Schadenersatzforderungen aufgrund von Verstößen gegen andere Vorschriften des Unionsrechts oder des Rechts der Mitgliedstaaten. … Die betroffenen Personen sollten einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. …
…
Im Interesse einer konsequenteren Durchsetzung der Vorschriften dieser Verordnung sollten bei Verstößen gegen diese Verordnung … Sanktionen einschließlich Geldbußen verhängt werden. … Folgendem sollte jedoch gebührend Rechnung getragen werden: der Art, Schwere und Dauer des Verstoßes, dem vorsätzlichen Charakter des Verstoßes, den Maßnahmen zur Minderung des entstandenen Schadens, dem Grad der Verantwortlichkeit oder jeglichem früheren Verstoß, der Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, der Einhaltung der gegen den Verantwortlichen oder Auftragsverarbeiter angeordneten Maßnahmen, der Einhaltung von Verhaltensregeln und jedem anderen erschwerenden oder mildernden Umstand. …“
Art. 4 („Begriffsbestimmungen“) DSGVO bestimmt:
„Im Sinne dieser Verordnung bezeichnet der Ausdruck:
‚personenbezogene Daten‘ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ‚betroffene Person‘) beziehen; …
…
‚Verantwortlicher‘ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; …
…
‚Verletzung des Schutzes personenbezogener Daten‘ eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung… oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;
…“
Art. 5 DSGVO enthält eine Reihe von Grundsätzen für die Verarbeitung personenbezogener Daten.
Art. 21 („Widerspruchsrecht“) Abs. 3 in Kapitel III („Rechte der betroffenen Person“) der DSGVO sieht vor:
„Widerspricht die betroffene Person der Verarbeitung für Zwecke der Direktwerbung, so werden die personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.“
Kapitel IV („Verantwortlicher und Auftragsverarbeiter“) der DSGVO umfasst ihre Art. 24 bis 43.
Art. 24 („Verantwortung des für die Verarbeitung Verantwortlichen“) Abs. 1 und 2 DSGVO bestimmt:
„(1) Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.
(2) Sofern dies in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten steht, müssen die Maßnahmen gemäß Absatz 1 die Anwendung geeigneter Datenschutzvorkehrungen durch den Verantwortlichen umfassen.“
Art. 25 („Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“) Abs. 1 DSGVO sieht vor:
„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen – wie z. B. Pseudonymisierung –, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.“
Art. 29 („Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters“) DSGVO lautet:
„Der Auftragsverarbeiter und jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten, es sei denn, dass sie nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet sind.“
Art. 32 („Sicherheit der Verarbeitung“) DSGVO bestimmt:
„(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:
…
die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
…
(2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.
…
(4) Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.“
Kapitel VIII („Rechtsbehelfe, Haftung und Sanktionen“) der DSGVO enthält ihre Art. 77 bis 84.
Art. 79 („Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter“) Abs. 1 DSGVO sieht vor:
„Jede betroffene Person hat unbeschadet eines verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs einschließlich des Rechts auf Beschwerde bei einer Aufsichtsbehörde gemäß Artikel 77 das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden.“
Art. 82 („Haftung und Recht auf Schadenersatz“) Abs. 1 bis 3 DSGVO bestimmt:
„(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
(2) Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. …
(3) Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.“
In Art. 83 („Allgemeine Bedingungen für die Verhängung von Geldbußen“) Abs. 2, 3 und 5 DSGVO heißt es:
„(2) … Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt:
Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs und des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens;
Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;
…
jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.
(3) Verstößt ein Verantwortlicher oder ein Auftragsverarbeiter bei gleichen oder miteinander verbundenen Verarbeitungsvorgängen vorsätzlich oder fahrlässig gegen mehrere Bestimmungen dieser Verordnung, so übersteigt der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß.
…
(5) Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 20000000 [Euro] oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist:
die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9;
die Rechte der betroffenen Person gemäß den Artikeln 12 bis 22;
…“
Art. 84 („Sanktionen“) Abs. 1 DSGVO sieht vor:
„Die Mitgliedstaaten legen die Vorschriften über andere Sanktionen für Verstöße gegen diese Verordnung – insbesondere für Verstöße, die keiner Geldbuße gemäß Artikel 83 unterliegen – fest und treffen alle zu deren Anwendung erforderlichen Maßnahmen. Diese Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein.“
Ausgangsverfahren und Vorlagefragen
Der Kläger des Ausgangsverfahrens, eine natürliche Person, die als selbständiger Rechtsanwalt tätig ist, war Kunde von juris, einer Gesellschaft, die eine juristische Datenbank betreibt.
Nachdem er erfahren hatte, dass seine personenbezogenen Daten von juris auch für Zwecke der Direktwerbung genutzt wurden, widerrief der Kläger des Ausgangsverfahrens am 6. November 2018 schriftlich alle seine Einwilligungen, von diesem Unternehmen per E-Mail oder per Telefon Informationen zu erhalten, und widersprach jeglicher Verarbeitung dieser Daten mit Ausnahme des Versands von „Newslettern“, die er weiterhin beziehen wollte.
Trotz dieses Vorgehens erhielt der Kläger des Ausgangsverfahrens im Januar 2019 zwei Werbeschreiben, die ihn namentlich ansprechend an seine Geschäftsadresse geschickt wurden. Mit Schreiben an juris vom 18. April 2019 wies er diese Gesellschaft auf seinen früheren Widerspruch gegen jegliche Werbung hin, teilte ihr mit, dass die Erzeugung dieser Werbeschreiben zu einer rechtswidrigen Verarbeitung seiner Daten geführt habe, und verlangte von ihr Schadenersatz nach Art. 82 DSGVO. Nachdem er am 3. Mai 2019 ein neues Werbeschreiben erhalten hatte, erklärte er abermals seinen Widerspruch, der juris dieses Mal per Gerichtsvollzieher zugestellt wurde.
Jedes dieser Werbeschreiben enthielt einen „persönlichen Testcode“, mit dem auf der Website von juris auf eine Bestellmaske für Produkte dieser Gesellschaft zugegriffen werden konnte, die Angaben zum Kläger des Ausgangsverfahrens enthielt, wie ein von ihm beauftragter Notar am 7. Juni 2019 feststellte.
Der Kläger des Ausgangsverfahrens erhob beim Landgericht Saarbrücken (Deutschland), dem vorlegenden Gericht in der vorliegenden Rechtssache, auf der Grundlage von Art. 82 Abs. 1 DSGVO Klage auf Ersatz seines materiellen Schadens im Zusammenhang mit den ihm entstandenen Gerichtsvollzieher- und Notarkosten sowie seines immateriellen Schadens. Er macht insbesondere geltend, dass er wegen der trotz seiner Widersprüche von juris vorgenommenen Verarbeitungen seiner personenbezogenen Daten einen Verlust der Kontrolle über diese Daten erlitten habe und daher Schadenersatz verlangen könne, ohne die Auswirkungen oder die Erheblichkeit der Beeinträchtigung seiner durch Art. 8 der Charta der Grundrechte der Europäischen Union garantierten und in der DSGVO weiter ausgeführten Rechte nachweisen zu müssen.
Demgegenüber wies juris jede Haftung mit der Begründung zurück, dass sie einen Prozess zur Bearbeitung von Werbewidersprüchen implementiert habe und dass die verspätete Berücksichtigung der Widersprüche des Klägers des Ausgangsverfahrens entweder darauf beruht habe, dass einer ihrer Mitarbeiter sich weisungswidrig verhalten habe, oder darauf, dass es übermäßig kostspielig gewesen wäre, diese Widersprüche zu berücksichtigen. Allein der Verstoß gegen eine Verpflichtung aus der DSGVO, wie sie sich aus deren Art. 21 Abs. 3 ergebe, könne für sich genommen keinen „Schaden“ im Sinne von Art. 82 Abs. 1 dieser Verordnung darstellen.
Als Erstes geht das vorlegende Gericht zunächst davon aus, dass der in Art. 82 Abs. 1 DSGVO vorgesehene Schadenersatzanspruch von drei Voraussetzungen abhänge, nämlich einem Verstoß gegen die DSGVO, einem materiellen oder immateriellen Schaden sowie einem Kausalzusammenhang zwischen dem Verstoß und dem Schaden. Sodann fragt es sich unter Berücksichtigung des Vorbringens des Klägers des Ausgangsverfahrens, ob gleichwohl davon auszugehen sei, dass ein Verstoß gegen die DSGVO für sich genommen einen immateriellen Schaden darstelle, der einen Entschädigungsanspruch begründe, insbesondere wenn die verletzte Bestimmung dieser Verordnung der betroffenen Person ein subjektives Recht verleihe. Da das deutsche Recht die finanzielle Entschädigung für einen immateriellen Schaden vom Erfordernis eines schwerwiegenden Eingriffs in geschützte Rechte abhängig mache, sei schließlich fraglich, ob für Schadenersatzansprüche nach der DSGVO im Licht der Hinweise zum Begriff des Schadens in den Erwägungsgründen 85 und 146 dieser Verordnung eine entsprechende Einschränkung gelte.
Als Zweites meint das vorlegende Gericht, dass aus Art. 82 DSGVO hervorgehen könne, dass dann, wenn ein Verstoß gegen diese Verordnung festgestellt worden sei, dieser Verstoß dem Verantwortlichen zuzurechnen sei, so dass der Verantwortliche für vermutetes Verschulden, wenn nicht gar verschuldensunabhängig hafte. Nach dem Hinweis, dass Art. 82 Abs. 3 DSGVO die Nachweisanforderungen, die konkret mit der in diesem Absatz vorgesehenen Befreiung verbunden seien, nicht näher bestimme, stellt es weiter fest, dass, wenn der Verantwortliche sich seiner Haftung entziehen könnte, indem er lediglich pauschal auf ein Fehlverhalten eines seiner Mitarbeiter hinweise, dies die praktische Wirksamkeit des in Art. 82 Abs. 1 DSGVO vorgesehenen Schadenersatzanspruchs erheblich einschränken würde.
Als Drittes möchte das vorlegende Gericht insbesondere wissen, ob bei der Bemessung des Betrags einer nach Art. 82 DSGVO geschuldeten finanziellen Wiedergutmachung eines Schadens, namentlich eines immateriellen Schadens, die in Art. 83 Abs. 2 und 5 DSGVO vorgesehenen Kriterien für die Bestimmung des Betrags von Geldbußen auch im Rahmen von Art. 82 DSGVO berücksichtigt werden könnten oder sogar müssten.
Als Viertes und Letztes weist dieses Gericht darauf hin, dass in dem bei ihm anhängigen Rechtsstreit die personenbezogenen Daten des Klägers des Ausgangsverfahrens trotz wiederholter Widersprüche des Betroffenen mehrfach für Werbezwecke verarbeitet worden seien. Es möchte daher wissen, ob bei einer solchen Mehrzahl von Verstößen gegen die DSGVO diese Verstöße im Hinblick auf die Festsetzung des Betrags eines gegebenenfalls nach Art. 82 DSGVO geschuldeten Schadenersatzes einzeln oder in einer Gesamtbetrachtung zu berücksichtigen seien.
Unter diesen Umständen hat das Landgericht Saarbrücken beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:
Ist der Begriff des immateriellen Schadens in Art. 82 Abs. 1 DSGVO im Hinblick auf den Erwägungsgrund 85 und den Erwägungsgrund 146 Satz 3 DSGVO in dem Sinne zu verstehen, dass er jede Beeinträchtigung der geschützten Rechtsposition erfasst, unabhängig von deren sonstigen Auswirkungen und deren Erheblichkeit?
Wird die Haftung auf Schadenersatz gemäß Art. 82 Abs. 3 DSGVO dadurch ausgeschlossen, dass der Rechtsverstoß auf menschliches Versagen im Einzelfall einer im Sinne von Art. 29 DSGVO unterstellten Person zurückgeführt wird?
Ist bei der Bemessung des immateriellen Schadenersatzes eine Orientierung an den in Art. 83 DSGVO, insbesondere Art. 83 Abs. 2 und Abs. 5 DSGVO, genannten Zumessungskriterien erlaubt bzw. geboten?
Ist der Schadenersatz für jeden einzelnen Verstoß zu bestimmen oder werden mehrere – zumindest mehrere gleich gelagerte – Verstöße mit einer Gesamtentschädigung sanktioniert, die nicht durch eine Addition von Einzelbeträgen ermittelt wird, sondern auf einer wertenden Gesamtbetrachtung beruht?
Zu den Vorlagefragen
Zur ersten Frage
Zur Zulässigkeit
Zunächst macht juris im Wesentlichen geltend, dass die erste Frage insoweit unzulässig sei, als mit ihr geklärt werden solle, ob die Begründung des in Art. 82 DSGVO vorgesehenen Anspruchs auf Schadenersatz davon abhänge, dass der Schaden, der von der betroffenen Person, wie sie in Art. 4 Nr. 1 dieser Verordnung definiert sei, geltend gemacht werde, einen gewissen Schweregrad erreiche. Diese Frage sei für den Ausgangsrechtsstreit nicht entscheidungserheblich, weil sich der vom Kläger des Ausgangsverfahrens vorgebrachte Schaden, nämlich der Verlust der Kontrolle über seine personenbezogenen Daten, nicht verwirklicht habe, da diese Daten Gegenstand einer rechtmäßigen Verarbeitung im Rahmen der Vertragsbeziehung zwischen den Parteien dieses Rechtsstreits gewesen seien.
Insoweit ist darauf hinzuweisen, dass es allein Sache des nationalen Gerichts ist, das mit dem Rechtsstreit befasst ist und in dessen Verantwortungsbereich die zu erlassende Entscheidung fällt, anhand der Besonderheiten der Rechtssache sowohl die Erforderlichkeit einer Vorabentscheidung für den Erlass seines Urteils als auch die Erheblichkeit der Fragen zu beurteilen, die es dem Gerichtshof vorlegt, wobei für die Fragen eine Vermutung der Entscheidungserheblichkeit gilt. Der Gerichtshof ist folglich grundsätzlich gehalten, über die ihm vorgelegte Frage zu befinden, wenn sie die Auslegung oder die Gültigkeit einer Vorschrift des Unionsrechts betrifft, es sei denn, dass die erbetene Auslegung offensichtlich in keinem Zusammenhang mit den Gegebenheiten oder dem Gegenstand des Ausgangsrechtsstreits steht, dass das Problem hypothetischer Natur ist oder dass der Gerichtshof nicht über die tatsächlichen und rechtlichen Angaben verfügt, die für eine zweckdienliche Beantwortung der Frage erforderlich sind (Urteil vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 23 und die dort angeführte Rechtsprechung).
Im vorliegenden Verfahren betrifft die erste Frage die Voraussetzungen für die Geltendmachung des Anspruchs auf Schadenersatz nach Art. 82 DSGVO. Ferner ist nicht offensichtlich, dass die erbetene Auslegung in keinem Zusammenhang mit dem Ausgangsrechtsstreit stünde oder dass das aufgeworfene Problem hypothetischer Natur wäre. Zum einen betrifft dieser Rechtsstreit nämlich ein Schadenersatzbegehren, das unter das durch die DSGVO eingeführte System des Schutzes personenbezogener Daten fällt. Zum anderen soll mit der Frage im Wesentlichen geklärt werden, ob es für die Anwendung der in dieser Verordnung aufgestellten Haftungsregeln nicht nur erforderlich ist, dass ein immaterieller Schaden vorliegt, der sich von einem Verstoß gegen die Verordnung unterscheidet, sondern auch, dass dieser Schaden einen gewissen Schweregrad überschreitet.
Die erste Frage ist daher zulässig.
Zur Beantwortung der Frage
Mit seiner ersten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass ein Verstoß gegen Bestimmungen dieser Verordnung, die der betroffenen Person Rechte verleihen, für sich genommen ausreicht, um unabhängig vom Schweregrad des von dieser Person erlittenen Schadens einen „immateriellen Schaden“ im Sinne dieser Bestimmung darzustellen.
Zunächst ist darauf hinzuweisen, dass es in Art. 82 Abs. 1 DSGVO heißt, dass „[j]ede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, … Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter [hat]“.
Der Gerichtshof hat Art. 82 Abs. 1 DSGVO bereits dahin ausgelegt, dass der bloße Verstoß gegen diese Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen, da das Vorliegen eines materiellen oder immateriellen „Schadens“ eine der Voraussetzungen für den in Art. 82 Abs. 1 vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DSGVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (vgl. in diesem Sinne Urteil vom 25. Januar 2024, MediaMarktSaturn, C-687/21, EU:C:2024:72, Rn. 58 und die dort angeführte Rechtsprechung).
Insofern muss die Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO den Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen dieser Verordnung nachweisen, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist (vgl. in diesem Sinne Urteil vom 25. Januar 2024, MediaMarktSaturn, C-687/21, EU:C:2024:72, Rn. 60 und 61 sowie die dort angeführte Rechtsprechung).
Hierzu ist festzustellen, dass der Gerichtshof Art. 82 Abs. 1 DSGVO dahin ausgelegt hat, dass er einer nationalen Vorschrift oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen gewissen Schweregrad erreicht hat, wobei er hervorgehoben hat, dass diese Person gleichwohl den Nachweis erbringen muss, dass ihr durch den Verstoß gegen diese Verordnung ein solcher immaterieller Schaden entstanden ist (vgl. in diesem Sinne Urteil vom 25. Januar 2024, MediaMarktSaturn, C-687/21, EU:C:2024:72, Rn. 59 und 60 sowie die dort angeführte Rechtsprechung).
Selbst wenn die verletzte Bestimmung der DSGVO natürlichen Personen Rechte gewähren sollte, kann ein solcher Verstoß für sich genommen keinen „immateriellen Schaden“ im Sinne dieser Verordnung darstellen.
Zwar ergibt sich aus Art. 79 Abs. 1 DSGVO, dass jede betroffene Person das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen den Verantwortlichen oder einen etwaigen Auftragsverarbeiter hat, wenn sie der Ansicht ist, dass die „ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden“.
Diese Bestimmung verleiht jedoch der Person, die der Ansicht ist, Betroffene eines Verstoßes der ihr aufgrund der DSGVO zustehenden Rechte zu sein, lediglich das Recht auf einen Rechtsbehelf, ohne diese Person von der ihr nach Art. 82 Abs. 1 dieser Verordnung obliegenden Verpflichtung zu entbinden, nachzuweisen, dass sie tatsächlich einen materiellen oder immateriellen Schaden erlitten hat.
Folglich reicht der Verstoß gegen Bestimmungen der DSGVO, die der betroffenen Person Rechte verleihen, für sich genommen nicht zur Begründung eines materiellen Anspruchs auf Schadenersatz nach dieser Verordnung aus, die verlangt, dass auch die beiden anderen in Rn. 34 des vorliegenden Urteils genannten Voraussetzungen dieses Anspruchs erfüllt sind.
Im vorliegenden Fall begehrt der Kläger des Ausgangsverfahrens auf der Grundlage der DSGVO Ersatz eines immateriellen Schadens, nämlich eines Verlusts der Kontrolle über seine trotz seines Widerspruchs verarbeiteten personenbezogenen Daten, ohne nachweisen zu müssen, dass dieser Schaden einen gewissen Schweregrad überschritten hat.
Insoweit ist darauf hinzuweisen, dass der 85. Erwägungsgrund der DSGVO ausdrücklich den „Verlust der Kontrolle“ zu den Schäden zählt, die durch eine Verletzung personenbezogener Daten verursacht werden können. Ferner hat der Gerichtshof entschieden, dass der – selbst kurzzeitige – Verlust der Kontrolle über solche Daten einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 dieser Verordnung darstellen kann, der einen Schadenersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat (vgl. in diesem Sinne Urteil vom 25. Januar 2024, MediaMarktSaturn, C-687/21, EU:C:2024:72, Rn. 66 und die dort angeführte Rechtsprechung).
Nach alledem ist auf die erste Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass ein Verstoß gegen Bestimmungen dieser Verordnung, die der betroffenen Person Rechte verleihen, für sich genommen nicht ausreicht, um unabhängig vom Schweregrad des von dieser Person erlittenen Schadens einen „immateriellen Schaden“ im Sinne dieser Bestimmung darzustellen.
Zur zweiten Frage
Mit seiner zweiten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 DSGVO dahin auszulegen ist, dass es für eine Befreiung des Verantwortlichen von seiner Haftung nach Art. 82 Abs. 3 dieser Verordnung ausreicht, dass er geltend macht, dass der in Rede stehende Schaden durch ein Fehlverhalten einer ihm im Sinne von Art. 29 der Verordnung unterstellten Person verursacht wurde.
Insoweit ist darauf hinzuweisen, dass nach Art. 82 Abs. 2 DSGVO jeder an der Verarbeitung Verantwortliche für den Schaden haftet, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde, und dass nach Art. 82 Abs. 3 DSGVO ein Verantwortlicher von der Haftung gemäß Art. 82 Abs. 2 DSGVO befreit wird, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.
Der Gerichtshof hat bereits festgestellt, dass einer kombinierten Analyse der Abs. 2 und 3 von Art. 82 DSGVO zu entnehmen ist, dass dieser Artikel ein Haftungsregime für Verschulden vorsieht, bei dem davon ausgegangen wird, dass der Verantwortliche an der Verarbeitung, die den fraglichen Verstoß gegen die DSGVO darstellt, beteiligt war, so dass die Beweislast nicht der Person obliegt, der ein Schaden entstanden ist, sondern dem Verantwortlichen (vgl. in diesem Sinne Urteil vom 21. Dezember 2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, Rn. 92 bis 94).
Was die Frage betrifft, ob der Verantwortliche nach Art. 82 Abs. 3 DSGVO von seiner Haftung allein deshalb befreit werden kann, weil der betreffende Schaden durch das Fehlverhalten einer ihm im Sinne von Art. 29 DSGVO unterstellten Person verursacht wurde, geht zum einen aus diesem Art. 29 hervor, dass dem Verantwortlichen unterstellte Personen, wie z. B. seine Mitarbeiter, die Zugang zu personenbezogenen Daten haben, diese Daten grundsätzlich nur auf der Grundlage von Weisungen des Verantwortlichen und im Einklang mit diesen Weisungen verarbeiten dürfen (vgl. in diesem Sinne Urteil vom 22. Juni 2023, Pankki S, C-579/21, EU:C:2023:501, Rn. 73 und 74).
Zum anderen sieht Art. 32 Abs. 4 DSGVO über die Sicherheit der Verarbeitung personenbezogener Daten vor, dass der Verantwortliche Schritte unternimmt, um sicherzustellen, dass ihm unterstellte natürliche Personen, die Zugang zu solchen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.
Bei einem Arbeitnehmer des Verantwortlichen handelt es sich fraglos um eine natürliche Person, die dem Verantwortlichen unterstellt ist. Es ist somit Sache des Verantwortlichen, sich zu vergewissern, dass seine Weisungen von seinen Arbeitnehmern korrekt ausgeführt werden. Daher kann sich der Verantwortliche nicht einfach dadurch nach Art. 82 Abs. 3 DSGVO von seiner Haftung befreien, dass er sich auf Fahrlässigkeit oder Fehlverhalten einer ihm unterstellten Person beruft.
Im vorliegenden Fall macht juris in ihren schriftlichen Erklärungen vor dem Gerichtshof im Wesentlichen geltend, dass der Verantwortliche nach Art. 82 Abs. 3 DSGVO von seiner Haftung befreit werden müsse, wenn der Verstoß, der den betreffenden Schaden verursacht habe, dem Verhalten eines seiner Mitarbeiter zuzurechnen sei, der die Weisungen des Verantwortlichen nicht befolgt habe, und soweit dieser Verstoß nicht auf eine Verletzung der insbesondere in den Art. 24, 25 und 32 dieser Verordnung genannten Pflichten des Verantwortlichen zurückzuführen sei.
Insoweit ist hervorzuheben, dass die Umstände der in Art. 82 Abs. 3 DSGVO vorgesehenen Befreiung streng auf solche beschränkt werden müssen, unter denen der Verantwortliche nachweisen kann, dass er selbst nicht für den Schaden verantwortlich ist (vgl. in diesem Sinne Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, Rn. 70). Daher kann dem Verantwortlichen bei einer Verletzung des Schutzes personenbezogener Daten durch eine ihm unterstellte Person diese Befreiung nur zugutekommen, wenn er nachweist, dass es keinen Kausalzusammenhang zwischen der etwaigen Verletzung der ihm gemäß den Art. 5, 24 und 32 dieser Verordnung obliegenden Verpflichtung zum Datenschutz und dem der betroffenen Person entstandenen Schaden gibt (vgl. entsprechend Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, Rn. 72).
Für eine mögliche Befreiung des Verantwortlichen – nach Art. 82 Abs. 3 DSGVO – von seiner Haftung kann es daher nicht ausreichen, dass er nachweist, dass er den ihm im Sinne von Art. 29 dieser Verordnung unterstellten Personen Weisungen erteilt hat und dass eine dieser Personen ihrer Verpflichtung, diese Weisungen zu befolgen, nicht nachgekommen ist und sie damit zum Eintritt des in Rede stehenden Schadens beigetragen hat.
Könnte sich der Verantwortliche von seiner Haftung befreien, indem er sich lediglich auf das Fehlverhalten einer ihm unterstellten Person beruft, würde dies nämlich, wie das vorlegende Gericht im Wesentlichen ausgeführt hat, die praktische Wirksamkeit des in Art. 82 Abs. 1 DSGVO verankerten Anspruchs auf Schadenersatz beeinträchtigen, was nicht im Einklang mit dem Ziel dieser Verordnung stünde, ein hohes Schutzniveau für natürliche Personen bei der Verarbeitung ihrer personenbezogenen Daten zu gewährleisten.
Nach alledem ist auf die zweite Frage zu antworten, dass Art. 82 DSGVO dahin auszulegen ist, dass es für eine Befreiung des Verantwortlichen von seiner Haftung nach Art. 82 Abs. 3 dieser Verordnung nicht ausreicht, dass er geltend macht, dass der in Rede stehende Schaden durch ein Fehlverhalten einer ihm im Sinne von Art. 29 der Verordnung unterstellten Person verursacht wurde.
Zur dritten und zur vierten Frage
Mit seiner dritten und seiner vierten Frage, die zusammen zu prüfen sind, möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass zur Bemessung des Betrags des auf diese Bestimmung gestützten Anspruchs auf Schadenersatz zum einen die in Art. 83 dieser Verordnung vorgesehenen Kriterien für die Festsetzung des Betrags von Geldbußen entsprechend anzuwenden sind und zum anderen zu berücksichtigen ist, dass die Person, die Schadenersatz verlangt, von mehreren Verstößen gegen die Verordnung betroffen ist, die sich auf denselben Verarbeitungsvorgang beziehen.
Was als Erstes eine etwaige Berücksichtigung der in Art. 83 DSGVO genannten Kriterien bei der Bemessung des Betrags des nach Art. 82 DSGVO geschuldeten Schadenersatzes betrifft, steht fest, dass mit diesen beiden Bestimmungen unterschiedliche Ziele verfolgt werden. Während nämlich Art. 83 dieser Verordnung „[a]llgemeine Bedingungen für die Verhängung von Geldbußen“ festlegt, regelt Art. 82 der Verordnung „Haftung und Recht auf Schadenersatz“.
Daraus folgt, dass die in Art. 83 DSGVO genannten Kriterien für die Bestimmung der Beträge der Geldbußen, die auch im 148. Erwägungsgrund dieser Verordnung erwähnt werden, nicht zur Bemessung des Schadenersatzbetrags nach Art. 82 der DSGVO herangezogen werden können.
Wie der Gerichtshof bereits festgestellt hat, enthält die DSGVO keine Bestimmung über die Bemessung des Schadenersatzes, der aufgrund des in Art. 82 dieser Verordnung verankerten Schadenersatzanspruchs geschuldet wird. Folglich haben die nationalen Gerichte zum Zweck dieser Bemessung nach dem Grundsatz der Verfahrensautonomie die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden, wie sie von der ständigen Rechtsprechung des Gerichtshofs definiert werden (vgl. in diesem Sinne Urteile vom 21. Dezember 2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, Rn. 83 und 101 sowie die dort angeführte Rechtsprechung, und vom 25. Januar 2024, MediaMarktSaturn, C-687/21, EU:C:2024:72, Rn. 53).
In diesem Zusammenhang hat der Gerichtshof hervorgehoben, dass Art. 82 DSGVO – anders als andere, ebenfalls in Kapitel VIII dieser Verordnung enthaltene Bestimmungen, und zwar ihre Art. 83 und 84, die im Wesentlichen einen Strafzweck haben, da sie die Verhängung von Geldbußen und anderen Sanktionen erlauben – keine Straf-, sondern eine Ausgleichsfunktion hat. Das Verhältnis zwischen den in Art. 82 DSGVO und den in den Art. 83 und 84 DSGVO enthaltenen Vorschriften zeigt, dass zwischen diesen beiden Kategorien von Bestimmungen ein Unterschied besteht, sie einander aber als Anreiz zur Einhaltung der DSGVO auch ergänzen, wobei das Recht jeder Person, den Ersatz eines Schadens zu verlangen, die Durchsetzungskraft der in dieser Verordnung vorgesehenen Schutzvorschriften erhöht und geeignet ist, von der Wiederholung rechtswidriger Verhaltensweisen abzuschrecken (Urteil vom 25. Januar 2024, MediaMarktSaturn, C-687/21, EU:C:2024:72, Rn. 47 und die dort angeführte Rechtsprechung).
Darüber hinaus hat der Gerichtshof aus dem Umstand, dass der in Art. 82 Abs. 1 DSGVO vorgesehene Anspruch auf Schadenersatz keine abschreckende oder gar Straffunktion erfüllt, abgeleitet, dass die Schwere des Verstoßes gegen diese Verordnung, durch den der betreffende materielle oder immaterielle Schaden entstanden ist, sich nicht auf die Höhe des auf der Grundlage dieser Bestimmung gewährten Schadenersatzes auswirken kann. Folglich darf dieser Betrag nicht in einer Höhe bemessen werden, die über den vollständigen Ersatz dieses Schadens hinausgeht (vgl. in diesem Sinne Urteil vom 21. Dezember 2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, Rn. 86).
Im Hinblick auf den sechsten Satz des 146. Erwägungsgrundes der DSGVO, wonach dieses Instrument einen „vollständigen und wirksamen Schadenersatz für den erlittenen Schaden“ sicherstellen soll, hat der Gerichtshof festgestellt, dass in Anbetracht der Ausgleichsfunktion des in Art. 82 DSGVO vorgesehenen Anspruchs auf Schadenersatz eine auf diesen Artikel gestützte finanzielle Entschädigung als „vollständig und wirksam“ anzusehen ist, wenn sie es ermöglicht, den aufgrund des Verstoßes gegen diese Verordnung konkret erlittenen Schaden in vollem Umfang auszugleichen, ohne dass ein solcher vollumfänglicher Ausgleich die Verhängung von Strafschadenersatz erfordert (Urteil vom 21. Dezember 2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, Rn. 84 und die dort angeführte Rechtsprechung).
Angesichts der Unterschiede im Wortlaut und in der Zielsetzung, die zwischen Art. 82 DSGVO im Licht des 146. Erwägungsgrundes dieser Verordnung und ihrem Art. 83 im Licht ihres 148. Erwägungsgrundes bestehen, kann daher ungeachtet der Tatsache, dass die in den beiden Bestimmungen vorgesehenen Rechtsbehelfe einander ergänzen, um die Einhaltung dieser Verordnung sicherzustellen, nicht davon ausgegangen werden, dass die in Art. 83 DSGVO speziell angegebenen Bemessungskriterien im Rahmen von Art. 82 DSGVO entsprechend anwendbar sind.
Was als Zweites die Art und Weise betrifft, in der die nationalen Gerichte den Betrag einer finanziellen Entschädigung nach Art. 82 DSGVO im Fall mehrfacher Verstöße gegen diese Verordnung, die dieselbe betroffene Person betreffen, zu bemessen haben, ist zunächst darauf hinzuweisen, dass es, wie in Rn. 58 des vorliegenden Urteils ausgeführt, Sache jedes Mitgliedstaats ist, die Kriterien festzulegen, anhand deren der Betrag dieser Entschädigung bemessen werden kann, sofern die unionsrechtlichen Grundsätze der Effektivität und der Äquivalenz beachtet werden.
Angesichts dessen, dass Art. 82 DSGVO keine Straf-, sondern eine Ausgleichsfunktion hat, worauf in den Rn. 60 und 61 des vorliegenden Urteils hingewiesen wird, kann sodann der Umstand, dass der Verantwortliche mehrere Verstöße gegenüber derselben betroffenen Person begangen hat, nicht als ein relevantes Kriterium für die Bemessung des dieser Person gemäß Art. 82 dieser Verordnung zu gewährenden Schadenersatzes herangezogen werden. Um den Betrag der als Ausgleich geschuldeten finanziellen Entschädigung festzulegen, ist nämlich allein der von dieser Person konkret erlittene Schaden zu berücksichtigen.
Folglich ist auf die dritte und die vierte Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass zur Bemessung des Betrags des auf diese Bestimmung gestützten Anspruchs auf Schadenersatz zum einen die in Art. 83 dieser Verordnung vorgesehenen Kriterien für die Festsetzung des Betrags von Geldbußen nicht entsprechend anzuwenden sind und zum anderen nicht zu berücksichtigen ist, dass die Person, die Schadenersatz verlangt, von mehreren Verstößen gegen die Verordnung betroffen ist, die sich auf denselben Verarbeitungsvorgang beziehen.
Kosten
Für die Beteiligten des Ausgangsverfahrens ist das Verfahren Teil des beim vorlegenden Gericht anhängigen Verfahrens; die Kostenentscheidung ist daher Sache dieses Gerichts. Die Auslagen anderer Beteiligter für die Abgabe von Erklärungen vor dem Gerichtshof sind nicht erstattungsfähig.
Gründe
Aus diesen Gründen hat der Gerichtshof (Dritte Kammer) für Recht erkannt:
Art. 82 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
ist dahin auszulegen, dass
ein Verstoß gegen Bestimmungen dieser Verordnung, die der betroffenen Person Rechte verleihen, für sich genommen nicht ausreicht, um unabhängig vom Schweregrad des von dieser Person erlittenen Schadens einen „immateriellen Schaden“ im Sinne dieser Bestimmung darzustellen.
Art. 82 der Verordnung 2016/679
ist dahin auszulegen, dass
es für eine Befreiung des Verantwortlichen von seiner Haftung nach Art. 82 Abs. 3 dieser Verordnung nicht ausreicht, dass er geltend macht, dass der in Rede stehende Schaden durch ein Fehlverhalten einer ihm im Sinne von Art. 29 der Verordnung unterstellten Person verursacht wurde.
Art. 82 Abs. 1 der Verordnung 2016/679
ist dahin auszulegen, dass
zur Bemessung des Betrags des auf diese Bestimmung gestützten Anspruchs auf Schadenersatz zum einen die in Art. 83 dieser Verordnung vorgesehenen Kriterien für die Festsetzung des Betrags von Geldbußen nicht entsprechend anzuwenden sind und zum anderen nicht zu berücksichtigen ist, dass die Person, die Schadenersatz verlangt, von mehreren Verstößen gegen die Verordnung betroffen ist, die sich auf denselben Verarbeitungsvorgang beziehen.
Unterschriften
( *1)Verfahrenssprache: Deutsch.
Kontakt zur AOK NordWest
Persönlicher Ansprechpartner