Der EuGH hat in zwei aktuellen Urteilen die Voraussetzungen für einen immateriellen Schadensersatzanspruch nach der DSGVO weiter konkretisiert und den nationalen Gerichten eine Hilfestellung zur Bemessung der Höhe des Schadensersatzes gegeben. Dennoch wissen viele deutsche Gerichte nicht wie sie das europäische Recht und die Urteile des EuGH auszulegen haben. Dadurch wird die Durchsetzung der Rechte der Betroffenen erschwert.
Hintergrund:
Im ersten Fall, über den der EuGH kürzlich zu entscheiden hatte, wurden personenbezogene Daten eines Anteilseigners einer GmbH vorübergehend in einem Handelsregister veröffentlicht. Nachdem die zuständige Behörde dem Löschbegehren nicht nachkam, erhob der Betroffene Klage beim bulgarischen Gericht. Dieses wendete sich an den EuGH mit der Frage, ob ein zeitlich begrenzter Verlust der Kontrolle über personenbezogene Daten für einen Anspruch nach Art. 82 Abs. 1 DSGVO ausreicht oder ob ein Nachweis über die nachteiligen Folgen erforderlich ist.
Im zweiten Verfahren erhob ein Apotheker Klage gegen einen anderen Apotheker, der auf Amazon apothekenpflichtige Medikamente verkaufte. Grund dafür war, dass dieser im Rahmen des Bestellprozesses von seinen Kunden Gesundheitsdaten abfragte, welche zur Individualisierung der Arzneimittel notwendig waren. Diese Datenverarbeitung erfolgte jedoch ohne deren Einwilligung. In einem derartigen Vertrieb sah Ersterer einen Verstoß gegen das UWG und die DSGVO. Daher erhob er Klage und machte einen Unterlassungsanspruch gem. § 8 Abs. 3 Nr. 1 UWG wegen des Verstoßes gegen Art. 9 Abs. 1 DSGVO als Marktverhaltensregelung im Sinne von § 3a UWG geltend. Der EuGH sollte insoweit klären, ob Mitbewerber die Befugnis haben, wegen Verstößen gegen die DSGVO im Rahmen des Verbots der Vornahme unlauterer Geschäftspraktiken gegen den Verletzer zu klagen.
Das Urteil des EuGH:
1.Vorabentscheidungsverfahren (Rs. C-200/23)
In Bezug auf das erste Verfahren wiederholte der EuGH bereits bekanntes:
Insbesondere geht aus der im ersten Satz des 85. Erwägungsgrundes der DSGVO enthaltenen beispielhaften Aufzählung der „Schäden“, die den betroffenen Personen entstehen können, hervor, dass der Unionsgesetzgeber unter den Begriff „Schaden“ insbesondere auch den bloßen „Verlust der Kontrolle“ über ihre eigenen Daten infolge eines Verstoßes gegen die DSGVO fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte.
Diesen Ansatz begründet er mit der Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten in der Union.
Der EuGH beton, dass es auf folgende drei Voraussetzungen ankommt:
Zu diesem Zweck ist Art. 82 Abs. 1 DSGVO dahin auszulegen, dass der bloße Verstoß gegen diese Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen, da das Vorliegen eines materiellen oder immateriellen „Schadens“ eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DSGVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind […].
Darüber hinausgehende Anforderungen sollen nicht gestellt werden, da es die Rechte des Betroffenen unzulässig einschränken würde.
Zur Frage nach der Höhe des Schadensersatzes führt der EuGH aus, dass der immaterielle Schaden, der durch eine Verletzung personenbezogener Daten verursacht wurde, seiner Natur nach nicht weniger schwerwiegend ist als eine Körperverletzung. Ziel des Art. 82 Abs. 1 DSGVO ist damit dem Betroffenen den durch die Verletzung dieser Verordnung konkret erlittenen Schaden in vollem Umfang auszugleichen. Nach diesen Ausführungen des EuGH können nationale Gerichte sich also an der Bemessung von Schmerzensgeld bei Körperverletzungen orientieren, um eine einheitliche Entscheidungsgrundlage hinsichtlich der Höhe des immateriellen Schadensersatzes zu haben.
2. Vorabentscheidungsverfahren (Rs. C-21/23)
Der EuGH führte hierzu aus, dass eine Beschwere nach der DSGVO der Ausübung anderweitiger Rechtsbehelfe außerhalb der DSGVO nicht entgegensteht. Ein Verstoß gegen die DSGVO kann also gleichzeitig auch einen Verstoß gegen Vorschriften über den Verbraucherschutz oder unlautere Geschäftspraktiken nach sich ziehen. Der EuGH begründet das Erfordernis einer Berücksichtigung der DSGVO im Wettbewerbsrecht damit, dass der Zugang zu personenbezogenen Daten und deren Verarbeitung von herausragender Bedeutung im Wettbewerbs zwischen Unternehmen der digitalen Wirtschaft ist. Insoweit hat also auch ein Mitbewerber ein hohes Interesse an der Rechtmäßigkeit der Datenverarbeitung. Insbesondere steht eine Unterlassungsklage nach dem UWG nicht der einheitlichen Durchsetzung der DSGVO im Wege. Im Gegenteil trägt es vielmehr zur Einhaltung dieser Bestimmungen, der Stärkung der Betroffenenrechte und Gewährleistung eines hohen Schutzniveaus bei.
Foto von Tingey Injury Law Firm auf Unsplash
Weiterführende Beiträge:
EuGH-Urteil: Datenpanne bei Saturn
EuGH-Urteil zum immateriellen Schadensersatz der DSGVO
EuGH zur DSGVO – Schadensersatz bei Datenklau
Schreibe einen Kommentar
You must be logged in to post a comment.