SCHLUSSANTRÄGE DES GENERALANWALTS
MANUEL CAMPOS SÁNCHEZ-BORDONA
vom 6. Oktober 2022(1)
Rechtssache C‑300/21
UI
gegen
Österreichische Post AG
(Vorabentscheidungsersuchen des Obersten Gerichtshofs [Österreich])
„Vorlage zur Vorabentscheidung – Schutz personenbezogener Daten – Verordnung (EU) 2016/679 – Immaterieller Schaden, der aus einer rechtswidrigen Verarbeitung von Daten resultiert – Erfordernisse des Schadensersatzanspruchs – Schäden, die einen gewissen Schweregrad überschreiten“
1. Die Verordnung (EU) 2016/679(2) eröffnet jeder Person, die wegen eines Verstoßes gegen ihre Bestimmungen einen materiellen oder immateriellen Schaden erleidet, einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
2. Die Möglichkeit, diesen Anspruch gerichtlich geltend zu machen, bestand bereits nach der früheren Regelung (Art. 23 der Richtlinie 95/46/EG(3)), wovon allerdings wenig Gebrauch gemacht wurde(4). Sofern ich mich nicht irre, hatte der Gerichtshof keine Gelegenheit, speziell den genannten Artikel auszulegen.
3. Unter der Geltung der DSGVO haben Schadensersatzklagen an Relevanz gewonnen(5). Ihre Zunahme ist bei den Gerichten der Mitgliedstaaten spürbar und spiegelt sich in entsprechenden Vorabentscheidungsersuchen wider(6). In diesem Rahmen ersucht der Oberste Gerichtshof (Österreich) den Gerichtshof, einige Gemeinsamkeiten der durch die DSGVO eingeführten zivilrechtlichen Haftungsregelung herauszuarbeiten.
I. Rechtlicher Rahmen. DSGVO
4. Für den vorliegenden Rechtsstreit sind insbesondere die Erwägungsgründe 75, 85 und 146 der DSGVO relevant.
5. In Art. 6 („Rechtmäßigkeit der Verarbeitung“) heißt es:
„(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
…“
6. Art. 79 („Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter“) bestimmt in Abs. 1:
„Jede betroffene Person hat unbeschadet eines verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs einschließlich des Rechts auf Beschwerde bei einer Aufsichtsbehörde gemäß Artikel 77 das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden.“
7. Art. 82 („Haftung und Recht auf Schadenersatz“) sieht in Abs. 1 vor:
„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“
II. Sachverhalt, Rechtsstreit und Vorlagefragen
8. Seit 2017 erhob die Österreichische Post AG als Adressenverlag Informationen zu den Parteiaffinitäten der österreichischen Bevölkerung. Mit Hilfe eines Algorithmus definierte sie anhand bestimmter soziodemografischer Merkmale „Zielgruppenadressen“.
9. UI ist eine natürliche Person, in Bezug auf die die Österreichische Post eine statistische Hochrechnung vornahm, um zu ermitteln, wie sie im Rahmen möglicher Zielgruppen der Wahlwerbung verschiedener politischer Parteien einzustufen ist. Die Hochrechnung ergab, dass UI eine hohe Affinität zu einer von diesen aufweise. Diese Daten wurden nicht an Dritte weitergegeben.
10. UI, der nicht in die Verarbeitung seiner personenbezogenen Daten eingewilligt hatte, war über die Speicherung seiner Daten zur Parteiaffinität verärgert und in Bezug auf die konkrete ihm von der Österreichischen Post zugeschriebene Affinität erbost und beleidigt.
11. UI begehrte einen Betrag in Höhe von 1 000 Euro zum Ersatz seines immateriellen Schadens (inneres Ungemach). Die ihm zugeschriebene politische Affinität sei eine Beleidigung und beschämend sowie kreditschädigend. Das Verhalten der Österreichischen Post habe bei ihm großes Ärgernis und einen Vertrauensverlust sowie ein Gefühl der Bloßstellung ausgelöst.
12. Das Erstgericht wies den Schadenersatzanspruch von UI ab(7).
13. Das Berufungsgericht bestätigte das Ersturteil. Es führte aus, dass nicht mit jedem Verstoß gegen die DSGVO automatisch ein Anspruch auf Ersatz immaterieller Schäden einhergehe und dass
– das österreichische Recht die DSGVO ergänze, so dass nur Schäden ersatzfähig seien, die über den durch die Verletzung der Rechte des Klägers hervorgerufenen Ärger oder Gefühlsschaden hinausgingen;
– an dem der österreichischen Regelung zugrunde liegenden Prinzip festzuhalten sei, wonach jeder bloßes Unbehagen und bloße Unlustgefühle zu tragen habe, ohne dass sie Konsequenzen in Bezug auf Schadenersatz hätten. Mit anderen Worten setze ein Schadenersatzanspruch eine gewisse Erheblichkeit des geltend gemachten Schadens voraus.
14. Gegen das Urteil des Berufungsgerichts wurde Revision zum Obersten Gerichtshof (Österreich) eingelegt, der dem Gerichtshof folgende Fragen zur Vorabentscheidung vorlegt:
1. Erfordert der Zuspruch von Schadenersatz nach Art. 82 der DSGVO neben einer Verletzung von Bestimmungen der DSGVO auch, dass der Kläger einen Schaden erlitten hat, oder reicht bereits die Verletzung von Bestimmungen der DSGVO als solche für die Zuerkennung von Schadenersatz aus?
2. Bestehen für die Bemessung des Schadenersatzes neben den Grundsätzen der Effektivität und Äquivalenz weitere Vorgaben des Unionsrechts?
3. Ist die Auffassung mit dem Unionsrecht vereinbar, dass Voraussetzung für den Zuspruch immateriellen Schadens ist, dass eine Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht vorliegt, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgeht?
III. Verfahren
15. Das Vorabentscheidungsersuchen ist am 12. Mai 2021 beim Gerichtshof eingegangen.
16. UI, die Österreichische Post, die österreichische, die tschechische und die irische Regierung sowie die Europäische Kommission haben schriftliche Erklärungen eingereicht. Eine mündliche Verhandlung ist nicht für erforderlich gehalten worden.
IV. Würdigung
A. Vorbemerkungen
1. Zulässigkeit
17. UI trägt vor, die erste Vorlagefrage sei für den Rechtsstreit nicht relevant, da sein Antrag nicht auf die „reine“ Verletzung einer Vorschrift der DSGVO gestützt sei, sondern auf deren Folgen oder Auswirkungen.
18. Die Einrede der Unzulässigkeit ist zurückzuweisen. Selbst wenn die Verarbeitung der Daten gegen die DSGVO verstieß, ohne dass UI einen Schaden erlitten hat, könnte er nach Art. 82 der DSGVO einen Schadensersatzanspruch haben, sofern die Frage des vorlegenden Gerichts, ob die bloße Verletzung einer Vorschrift über die Verarbeitung einen solchen Anspruch begründe, zu bejahen wäre.
19. Nach Ansicht von UI könnte der Gerichtshof auch die zweite Vorlagefrage als unzulässig ansehen, weil sie inhaltlich sehr offen und in Bezug auf die Erfordernisse des Unionsrechts sehr lapidar sei, ohne Angabe eines konkreten Erfordernisses.
20. Dieser Einwand kann, auch wenn er stichhaltiger ist als der vorangegangene, ebenfalls keinen Erfolg haben. Es ist legitim, dass ein Gericht wissen möchte, ob es über die Beachtung der Grundsätze der Äquivalenz und der Effektivität hinaus bei der Bemessung des Schadens weitere unionsrechtliche Voraussetzungen einzubeziehen hat.
2. Abgrenzung des Gegenstands der vorliegenden Schlussanträge
21. Art. 82 der DSGVO enthält sechs Absätze. Das vorlegende Gericht nimmt auf keinen bestimmten Absatz Bezug, hat aber implizit Abs. 1 im Blick. Es macht auch keine näheren Angaben zu der Rechtsnorm, deren Verletzung zu Schadensersatz führen würde.
22. In meinen Schlussanträgen gehe ich von folgenden Prämissen aus:
– Die Verarbeitung der personenbezogenen Daten von UI erfolgte, ohne seine Einwilligung im Sinne von Art. 6 Abs. 1 Buchst. a der DSGVO einzuholen.
– Der Schadensersatzanspruch steht jeder Person zu, die Schäden erlitten hat. Im vorliegenden Fall ist UI als die von der Verarbeitung erfasste und beeinträchtigte natürliche Person die „betroffene Person“(8).
– Die DSGVO sieht den Ersatz materieller und immaterieller Schäden vor. Das Begehren von UI beschränkt sich auf Letztere und hat einen Geldbetrag zum Gegenstand.
B. Erste Vorlagefrage
23. Mit seiner ersten Frage möchte das vorlegende Gericht zusammengefasst wissen, ob die bloße Verletzung der Bestimmungen der DSGVO einen Anspruch auf Schadensersatz begründet, unabhängig davon, ob ein Schaden entstanden ist.
24. Den Ausführungen des vorlegenden Gerichts und den beim Gerichtshof eingereichten Erklärungen lässt sich entnehmen, dass auch eine andere, komplexere Lesart der Frage möglich ist: Mit ihr soll geklärt werden, ob die Verletzung der Bestimmungen der DSGVO zwangsläufig zu einem Schaden führt, der den Anspruch auf Schadensersatz entstehen lässt, ohne dass der Beklagte die Möglichkeit hat, den Gegenbeweis zu erbringen.
25. Es gibt einen gewissen (theoretischen) Unterschied zwischen diesen beiden Ansätzen: Nach dem ersten Ansatz ist der Schaden keine Voraussetzung für die Entschädigung, wohl aber nach dem zweiten. In der Praxis entfällt das Erfordernis, dass der Kläger den Schaden nachweist, in beiden Fällen; er muss auch nicht beweisen, dass zwischen der Verletzung und dem Schaden ein Kausalzusammenhang besteht(9).
26. Meines Erachtens ist die erste Frage nach keiner der beiden Lesarten zu bejahen. Ich werde nacheinander auf sie eingehen.
1. Schadensersatz ohne Schaden?
27. Die These, dass ein Schadensersatzanspruch besteht, auch wenn die betroffene Person durch die Verletzung der DSGVO keine Schäden erlitten hat, bereitet offenkundige Schwierigkeiten, beginnend mit dem Wortlaut ihres Art. 82 Abs. 1.
28. Nach dieser Bestimmung wird der Schadensersatz(10) gerade deshalb gewährt, weil zuvor ein Schaden entstanden ist. Es ist daher eindeutig erforderlich, dass der natürlichen Person durch einen Verstoß gegen die DSGVO ein Schaden entstanden ist.
29. Die Auslegung, die den Begriff „Verstoß“ automatisch, ohne Erfordernis eines Schadens, mit dem Begriff „Ausgleich“ in Verbindung bringt, steht daher nicht mit dem Wortlaut von Art. 82 der DSGVO im Einklang. Sie steht auch nicht mit dem Hauptziel der durch die DSGVO eingeführten zivilrechtlichen Haftung im Einklang, das darin besteht, der betroffenen Person gerade durch den „vollständigen und wirksamen“ Ersatz des ihr zugefügten Schadens Genugtuung zu verschaffen(11).
30. Ohne einen Schaden würde der Schadensersatz die Funktion des Ausgleichs der nachteiligen Folgen des Verstoßes nicht mehr erfüllen, sondern hätte eher die Rechtsnatur einer Sanktion.
31. Es trifft allerdings zu, dass die Rechtsordnung eines Mitgliedstaats die Zahlung von Strafschadensersatz vorsehen kann(12). Hierunter ist die Verurteilung zur Zahlung eines erheblichen Betrags zu verstehen, der über den reinen Ausgleich des Schadens hinausgeht.
32. Der Strafschadensersatz setzt im Allgemeinen das vorherige Vorliegen des Schadens voraus. Trotz dieses Ausgangspunkts unterscheiden sich seine vermögensrechtlichen Folgen jedoch von der Höhe des dem Schaden angepassten Ausgleichs.
33. Es ist aber durchaus vorstellbar, dass der Strafschadensersatz von dem Schaden abstrahiert oder ihn als für die Befriedigung des Anspruchstellers unerheblich ansieht.
34. Die Beantwortung der ersten Vorlagefrage erfordert es, dass ich den Rahmen für diese Art von Schadensersatz in der DSGVO untersuche, zumal in der Vorlageentscheidung und den Erklärungen der Parteien und Beteiligten des Vorabentscheidungsersuchens darauf Bezug genommen wird.
2. Strafschadensersatz?
a) Auslegung anhand des Wortlauts
35. Zur klassischen Funktion der zivilrechtlichen Haftung kann eine andere Funktion mit „Straf-“ oder „exemplarischem“ Charakter hinzutreten, aufgrund deren, wie bereits dargelegt, die Höhe des Schadensersatzes nicht dem erlittenen Schaden entspricht, sondern ihn übersteigt, sogar um ein Mehrfaches.
36. Das Recht der Union steht einem solchen Schadensersatz bei Verstößen gegen ihre Vorschriften grundsätzlich nicht entgegen, sofern er auch im Rahmen ähnlicher, auf das innerstaatliche Recht gestützter Klagen zugesprochen werden kann(13).
37. Der Strafschadensersatz dient zur Abschreckung. Die gleiche Zielsetzung kann erreicht werden, wenn die Mitgliedstaaten bei einem Verstoß gegen eine Richtlinie Maßnahmen zu treffen haben, um „eine wirklich abschreckende Wirkung“ zu erzielen(14). Einige Richtlinien sehen ausdrücklich vor, dass Schadensersatz, der als Sanktion gedacht ist, abschreckend sein soll(15).
38. In anderen Rechtstexten erklärt der Gesetzgeber dagegen, dass mit einer Richtlinie „nicht die Einführung einer Verpflichtung zu einem als Strafe angelegten Schadensersatz“ bezweckt wird(16) oder dass die Mitgliedstaaten bei ihrer Umsetzung diese Art von Entschädigung vermeiden müssen(17). Im Unionsrecht ist die unmittelbare Verurteilung zu „Strafschadensersatz“ die Ausnahme(18).
39. Die DSGVO enthält jedoch keine Bezugnahme auf den Sanktionscharakter des Ersatzes materieller oder immaterieller Schäden oder darauf, dass die Berechnung seiner Höhe diesen Charakter widerspiegelt, oder auf die abschreckende Wirkung des Schadensersatzes (die hingegen strafrechtlichen Sanktionen und verwaltungsrechtlichen Geldbußen zukommt)(19). Nach dem Wortlaut kann daher kein Strafschadensersatz zugesprochen werden.
b) Auslegung anhand der Entstehungsgeschichte der Bestimmung
40. Die Vorgängervorschrift von Art. 82 Abs. 1 der DSGVO war Art. 23 Abs. 1 der Richtlinie 95/46. Letzterer war Teil eines Systems, dessen Wirksamkeit auf der öffentlichen und privaten Rechtsdurchsetzung(20) beruhte, wobei der (private) Ausgleich und die (öffentliche) Sanktion voneinander unabhängig waren(21). Die Überwachung der Einhaltung der Vorschriften oblag in erster Linie unabhängigen Kontrollstellen(22).
41. Die DSGVO übernimmt dieses Modell, stärkt aber die Mittel zur Gewährleistung der Wirksamkeit ihrer – nunmehr detaillierteren – Bestimmungen und der – nunmehr stärkeren – Reaktionen auf ihre Verletzung oder drohende Verletzung:
– Zum einen werden die Aufgaben der Aufsichtsbehörden erweitert; ihnen obliegt es u. a., die in der DSGVO selbst vorgesehenen harmonisierten Sanktionen zu verhängen(23). Die Komponente der öffentlichen Durchsetzung der Normen wird damit unterstrichen.
– Zum anderen sieht sie vor, dass die Einzelnen die Verteidigung der ihnen durch die DSGVO verliehenen Rechte übernehmen(24), indem sie die Aufsichtsbehörden einschalten (Art. 77) oder den Rechtsweg beschreiten (Art. 79 und 82). Außerdem gestattet Art. 80 bestimmten Einrichtungen, Verbandsklagen zu erheben(25), was den Schutz allgemeiner Interessen erleichtert, den die Betroffenen sichern sollen(26).
42. Die Fortentwicklung der einheitlichen Regelung der zivilrechtlichen Haftung für Schäden in der DSGVO war beschränkt. Aspekte, die unter der Geltung der Richtlinie 95/46 zweifelhaft sein konnten, wie die Frage, ob auch immaterielle Schäden ersatzfähig sind(27), wurden umgehend geklärt. Die Verhandlungen konzentrierten sich auf andere Aspekte der Regelung(28).
43. Ich habe in den Materialien keine Diskussion über eine etwaige Straffunktion der in der DSGVO vorgesehenen zivilrechtlichen Haftung gefunden. Daher kann nicht der Schluss gezogen werden, dass ihr in Art. 82 Rechnung getragen wurde, da insoweit keine Debatte stattfand, zumal diese ja im Rahmen ihrer Einbeziehung in andere Unionsrechtstexte geführt wurde(29).
44. Unter diesen Umständen bin ich der Überzeugung, dass der Anspruch aus Art. 82 Abs. 1 der DSGVO im Dienst typischer Funktionen zivilrechtlicher Haftung konzipiert und geregelt wurde: dem Ausgleich von Schäden (für den Geschädigten) und, sekundär, der Vermeidung (vom Rechtsverletzer begangener) künftiger Schädigungen.
c) Systematische Auslegung
45. Wie ich ausgeführt habe, gehört Art. 82 der DSGVO zu einem System von Garantien für die Wirksamkeit der Vorschriften, bei dem die private Initiative ihre öffentliche Durchsetzung ergänzt. Der von den Verantwortlichen der Datenverarbeitung oder den Auftragsverarbeitern geschuldete Schadensersatz trägt zu dieser Wirksamkeit bei.
46. Die Pflicht, Schadensersatz zu leisten, dient (im Idealfall) als Anreiz, künftig vorsichtiger zu sein, die Regeln einzuhalten und weitere Schädigungen zu vermeiden. In dieser Weise trägt jeder, der für sich selbst Schadensersatz verlangt, zur allgemeinen Wirksamkeit der Normen bei.
47. In diesem Zusammenhang sind die Funktionen des Ausgleichs und der Bestrafung voneinander zu trennen:
– Letzterer dienen die Geldbußen, die von den Aufsichtsbehörden oder den Gerichten verhängt werden können (Art. 83 Abs. 1 und 9 der DSGVO), und andere Sanktionen, die die Staaten gemäß Art. 84 der DSGVO vorsehen(30).
– Ersterer dienen die Beschwerde Einzelner (Art. 77) und die Gerichtsverfahren (Art. 79). Es ist allerdings nicht Sache der Aufsichtsbehörden, über den Anspruch auf Schadensersatz zu entscheiden.
48. Auf demselben Grundsatz der Trennung der Ausgleichs- und Sanktionsfunktionen beruhen folgende Aspekte:
– Bei der Verhängung einer Geldbuße und der Festsetzung ihrer Höhe hat die Behörde die in Art. 83 der DSGVO aufgezählten Faktoren zu berücksichtigen, die für den Bereich der zivilrechtlichen Haftung nicht vorgesehen sind und in der Regel nicht auf die Berechnung des Schadensersatzes übertragbar sind(31).
– Auch wenn das Ausmaß des den betroffenen Personen entstandenen Schadens ein Faktor für die Bemessung der Geldbuße ist(32), ist bei der Berechnung ihrer Höhe nicht zu berücksichtigen, welchen Schadensersatz sie erhalten könnten(33).
49. Theoretisch schafft eine Auslegung, wonach die zivilrechtliche Haftung bei Fehlen eines Schadens Straffunktion erlangt, die Gefahr, dass die Schadensersatzmechanismen im Verhältnis zu den Sanktionsmechanismen redundant werden.
50. In der Praxis könnte die Möglichkeit, als Schadensersatz einen „punitiven“ Gewinn zu erzielen, die betroffenen Personen dazu veranlassen, diesen Weg dem des Art. 77 der DSGVO vorzuziehen. Würde dies zur Regel, würden die Aufsichtsbehörden eines Mittels (der Beschwerde der betroffenen Person) beraubt, das sie benötigen, um von etwaigen Verstößen gegen die DSGVO Kenntnis erlangen und um sie somit untersuchen und ahnden zu können, zum Nachteil der für die Verteidigung des Allgemeininteresses geeignetsten Instrumente.
d) Teleologische Auslegung
51. Mit der DSGVO werden im Wesentlichen zwei Ziele verfolgt, die sich bereits aus ihrem Titel ergeben: a) zum einen der „Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten“; b) zum anderen, dass dieser Schutz in einer Weise stattfindet, die den „freien Datenverkehr“ in der Union weder verbietet noch einschränkt(34).
52. Meines Erachtens verlangt die DSGVO zur Erreichung dieser Ziele nicht, den Schadensersatz mit der bloßen Verletzung der die Verarbeitung regelnden Norm zu verknüpfen, was der zivilrechtlichen Haftung Straffunktionen verleihen würde.
53. Was das erste Ziel angeht, ist es für dessen Verfolgung nicht erforderlich, den Anwendungsbereich von Art. 82 der DSGVO im Wege der Auslegung auf Fälle auszudehnen, in denen eine Norm verletzt wurde, aber kein Schaden entstanden ist. Dagegen könne sich diese Ausdehnung negativ auf das zweite Ziel auswirken.
54. Ich habe bereits darauf hingewiesen, dass die DSGVO mehrere Vorkehrungen für die Gewährleistung der Einhaltung ihrer Vorschriften vorsieht, die nebeneinander bestehen und sich ergänzen. Die Mitgliedstaaten brauchen nicht unter den Mechanismen zur Gewährleistung des Datenschutzes in Kapitel VIII zu wählen (und können es de facto auch nicht). Liegt ein Verstoß vor, der keinen Schaden verursacht, wird der betroffenen Person (zumindest) das Recht eingeräumt, bei einer Aufsichtsbehörde gemäß Art. 77 Abs. 1 der DSGVO eine Beschwerde einzureichen.
55. Im Übrigen regt die Aussicht, unabhängig von einem Schaden eine Entschädigung zu erhalten, wahrscheinlich zu zivilrechtlichen Streitigkeiten, mit womöglich nicht immer gerechtfertigten Ansprüchen(35), an und könnte insoweit der Verarbeitung von Daten abträglich sein(36).
3. Vermutung eines Schadens?
56. In einigen Erklärungen der Parteien des Rechtsstreits wird vorgeschlagen, die erste Vorlagefrage in anderer Weise zu verstehen als in der, die ich bislang geprüft habe. Wenn ich ihren Standpunkt richtig verstehe(37), machen sie offenbar geltend, dass bei einer Verletzung der Norm eine unwiderlegbare Vermutung für einen Schaden bestehe.
57. Ein solcher Verstoß führe zwangsläufig zu einem Verlust der Kontrolle über die Daten, was per se einen nach Art. 82 Abs. 1 der DSGVO ersatzfähigen Schaden darstelle.
58. In der Theorie erlaubt es diese Vermutung nicht, die Schädigung außer Acht zu lassen, so dass die typische Struktur der zivilrechtlichen Haftung sowie der Wortlaut der Bestimmung der DSGVO beachtet werden. In der Praxis wären ihre Auswirkungen auf Kläger und Beklagte jedoch mit denen vergleichbar, die eintreten, wenn der Schadensersatz nach Art. 82 Abs. 1 der DSGVO an den bloßen Verstoß gegen die Norm anknüpft.
59. Ich werde erneut auf die üblichen Auslegungskriterien zurückgreifen, um zu erläutern, warum ich diese Auslegung nicht für zutreffend halte.
a) Auslegung anhand des Wortlauts
60. In anderen Bereichen des Unionsrechts hatte der Gesetzgeber, wenn er davon ausging, dass sich aus dem Verstoß gegen eine Norm automatisch der Schadensersatzanspruch ergibt, keine Bedenken, dem Ausdruck zu verleihen(38). Dies ist bei der DSGVO nicht der Fall, in der Regeln für die Beweisführung oder mit unmittelbaren Konsequenzen für sie enthalten sind(39), aber keine automatische Verknüpfung, sei es unmittelbar oder im Wege einer unwiderlegbaren Vermutung.
61. Die Bezugnahmen auf die Kontrolle über die Daten (oder den Verlust dieser Kontrolle) in den Erwägungsgründen 75(40) und 85(41) der DSGVO scheinen mir diese Lücke nicht auszugleichen. Abgesehen davon, dass die Erwägungsgründe keine normative Bedeutung haben, wird in keinem von beiden erwähnt, dass die Verletzung einer Norm per se einen ersatzfähigen Schaden impliziert:
– Im 75. Erwägungsgrund ist von der Verhinderung der Kontrolle über die personenbezogenen Daten als einem der möglichen Risiken der Verarbeitung die Rede.
– Im 85. Erwägungsgrund wird der Verlust der Kontrolle als eine der Folgen bezeichnet, die aufgrund einer Verletzung des Schutzes personenbezogener Daten eintreten könnten(42).
62. Der Verlust der Kontrolle über die Daten muss nicht zwangsläufig einen Schaden verursachen. Der Ausdruck kann als sprachliche Unschärfe bei der Bezugnahme auf Nachteile, die im Anschluss an einen solchen Verlust eintreten, aufgefasst werden, wenn diese sich konkretisieren(43).
b) Auslegung im Licht der Entstehungsgeschichte
63. Auch die Analyse der Entstehungsgeschichte spricht nicht für eine solche Vermutung; sie war in der Richtlinie 95/46 nicht enthalten(44), und in den von mir geprüften Dokumenten der Kommission, des Europäischen Parlaments und des Rates aus der Zeit vor dem Erlass der DSGVO ist davon keine Rede.
c) Systematische Auslegung
64. Das System der DSGVO enthält Anhaltspunkte dafür, dass die streitige Vermutung nicht besteht, und zwar bei der Bezugnahme auf die Einwilligung der betroffenen Person(45). Als Verkörperung ihrer Kontrolle über die Daten rechtfertigt diese Einwilligung deren Verarbeitung auf derselben Ebene wie andere Rechtsgrundlagen (Art. 6 der DSGVO)(46).
65. Eine rechtmäßige Verarbeitung personenbezogener Daten ist auch ohne Einwilligung der betroffenen Person und damit ohne die durch ihre Erteilung oder Versagung ausgeübte Kontrolle denkbar. Deren Gewicht innerhalb des Systems ist letztlich nicht absolut.
66. Es gibt in der DSGVO auch noch andere Möglichkeiten für die Ausübung dieser Kontrolle. Dazu gehört das Recht auf Löschung, aus dem die Verpflichtung des Verantwortlichen erwächst, die entsprechende Information „unverzüglich“ zu löschen(47).
67. Für die Person, deren Daten verarbeitet werden, dient dieses Recht als Sicherheitsventil der Schutzregelung: Es bleibt (im Prinzip) erhalten, wenn der Verantwortliche keine Einwilligung der betroffenen Person enthalten hat und wenn es keine andere die Verarbeitung rechtfertigende Grundlage gibt, und es hängt nicht vom Eintritt eines Schadens ab(48).
d) Teleologische Auslegung
1) Kontrolle der betroffenen Person über ihre Daten als ein Ziel der DSGVO?
68. Die automatische Gleichstellung einer Verarbeitung personenbezogener Daten ohne Einwilligung der betroffenen Person mit einem ersatzfähigen Schaden setzt voraus, dass eine solche, in der Einwilligung verkörperte Kontrolle einen Wert an sich darstellt.
69. Ich erkenne an, dass es für diese Auffassung auf den ersten Blick gute Gründe gibt. Die Kontrolle der Bürger über ihre Daten wird im Vorschlag der Kommission als einer der Hauptgründe für die Reform genannt(49). Im siebten Erwägungsgrund der DSGVO heißt es: „Natürliche Personen sollten die Kontrolle über ihre eigenen Daten besitzen.“
70. Bei der Auslegung dieses Konzepts ist, jenseits der von ihm ausgelösten Debatten im Schrifttum, zweifellos Vorsicht geboten. Die DSGVO enthält keine genaue Definition von „Kontrolle“ (und ich habe auch an anderer Stelle keine gefunden)(50). Der Begriff lässt mindestens zwei Deutungen zu, die sich nicht gegenseitig ausschließen: als „Macht“ oder „Herrschaft“ und als „Überwachung“.
71. Der Wortlaut des siebten Erwägungsgrundes der DSGVO führt zu gewisser Unsicherheit, da seine Sprachfassungen voneinander abweichen(51). In Anbetracht seines Inhalts bin ich der Ansicht, dass die DSGVO der betroffenen Person Überwachungs- und Interventionsbefugnisse bei Zugriffen Dritter auf die Daten verschafft, als Instrument (neben anderen) zum Schutz dieser Daten.
72. Die betroffene Person selbst trägt zum Schutz der in den Daten enthaltenen Informationen bei und ist dafür in der Weise – Umfang und Modalitäten –, die die DSGVO vorsieht, verantwortlich. Der Spielraum individueller Aktionen ist begrenzt: Er beschränkt sich hinsichtlich der in der DSGVO aufgezählten Rechte auf ihre Ausübung unter bestimmten Voraussetzungen.
73. Die Einwilligung der betroffenen Person als maximaler Ausdruck von Kontrolle(52) ist nur eine der Rechtsgrundlagen für eine rechtmäßige Verarbeitung, vermag aber die Nichteinhaltung der übrigen dem Verantwortlichen und dem Auftragsverarbeiter obliegenden Pflichten und Voraussetzungen nicht zu heilen.
74. Meines Erachtens lässt sich aus der DSGVO nicht ohne Weiteres ableiten, dass sie der betroffenen Person die Kontrolle über personenbezogene Daten als Wert an sich verleihen soll. Und ebenso wenig, dass die betroffene Person die größtmögliche Kontrolle über diese Daten ausüben soll.
75. Diese Feststellung überrascht nicht. Zum einen liegt es nicht auf der Hand, dass die Kontrolle in ihrer Bedeutung als Herrschaft über die Daten zum Wesensgehalt des Grundrechts auf Schutz personenbezogener Daten gehört(53). Zum anderen besteht über das Verständnis dieses Rechts als Recht auf informationelle Selbstbestimmung keineswegs Einigkeit; in Art. 8 der Charta werden diese Termini nicht verwendet(54).
76. Desgleichen wurde folgender Erwägungsgrund nicht in die Endfassung der DSGVO aufgenommen: „Das Recht auf Schutz personenbezogener Daten basiert auf dem Recht der betroffenen Person, die Kontrolle über die verarbeiteten personenbezogenen Daten auszuüben“(55).
77. Die vorstehenden Überlegungen, die vielleicht übermäßig abstrakt sind, veranlassen mich zu der Feststellung, dass die betroffene Person, wenn sie einer Verarbeitung nicht zustimmt und diese ohne eine andere legitime Rechtsgrundlage vorgenommen wird, deswegen keinen finanziellen Ausgleich für den Verlust der Kontrolle über ihre Daten erhalten muss, als ob dieser Verlust als solcher zu einem ersatzfähigen Schaden führen würde(56). Ob sie zudem einen Schaden erlitten hat oder nicht, bleibt zu klären (und muss nachgewiesen werden)(57).
2) Die Kontrolle der betroffenen Person innerhalb des Kontextes
78. Abschließend erscheint mir der Hinweis angebracht, dass der Schutz personenbezogener Daten als Ziel der DSGVO genannt wird, neben dem Ziel, den freien Datenverkehr zu fördern(58).
79. Die Stärkung der Kontrolle des Bürgers über die seine Person betreffenden Informationen im digitalen Umfeld gehört zu den anerkannten Zielen der Modernisierung der Regelung zum Schutz personenbezogener Daten, ist aber kein unabhängiges oder isoliertes Ziel.
80. In der ihrem Vorschlag für die DSGVO beigefügten Mitteilung führte die Kommission aus, dass ein hohes Datenschutzniveau in Verbindung mit dem Vertrauen in Onlinedienste es gestatte, das Potenzial der digitalen Wirtschaft auszuschöpfen sowie „Wirtschaftswachstum und Wettbewerbsfähigkeit der EU“ zu steigern. Mit der Reform (und der fortschreitenden Harmonisierung) der Unionsregelung werde „die Binnenmarktdimension des Datenschutzes gefördert“(59).
81. Da der Wert der (personenbezogenen und nicht personenbezogenen) Daten für den wirtschaftlichen und sozialen Fortschritt in Europa auf der Hand liegt, zielt die DSGVO nicht darauf ab, dass die Kontrolle des Einzelnen über die ihn betreffenden Informationen zum Maß aller Dinge wird, indem sie sich schlicht seinen Präferenzen beugt, sondern sie soll das Recht auf Schutz der personenbezogenen Daten jedes Einzelnen mit den Interessen Dritter und der Gesellschaft in Einklang bringen(60).
82. Es ist hervorzuheben, dass die DSGVO nicht bezweckt, die Verarbeitung personenbezogener Daten systematisch zu begrenzen, sondern sie unter strengen Voraussetzungen legitimieren soll. Insoweit dient sie zunächst der Förderung des Vertrauens der betroffenen Person darauf, dass die Verarbeitung in einem sicheren Kontext erfolgen wird(61), wozu sie selbst beiträgt. Dadurch wird ihre freiwillige Bereitschaft gefördert, den Zugang zu ihren Daten und deren Nutzung u. a. bei Online-Geschäftsvorgängen zu gestatten.
C. Zweite Vorlagefrage
83. Das vorlegende Gericht möchte wissen, ob „für die Bemessung des Schadenersatzes neben den Grundsätzen der Effektivität und Äquivalenz weitere Vorgaben des Unionsrechts“ bestehen.
84. Der Grundsatz der Äquivalenz scheint hier im Grunde keine erhebliche Rolle zu spielen. Die harmonisierte Regelung der DSGVO findet in diesem Bereich unmittelbar Anwendung, und ihr Art. 82 gilt für alle immateriellen Schäden, die infolge eines Verstoßes eintreten, unabhängig von ihrem Ursprung.
85. Für den Grundsatz der Effektivität gilt die gleiche Überlegung. Es ist etwas anderes, dass die Entschädigung, anknüpfend an den Wortlaut des 146. Erwägungsgrundes der DSGVO (wonach die betroffenen Personen einen vollständigen und wirksamen Ersatz für den erlittenen Schaden erhalten sollten), irgendeinen Inhalt haben muss.
86. Art. 82 der DSGVO stellt außer der Verletzung ihrer Vorschriften keine weiteren Anforderungen auf, wenn sie zur Folge hat, dass einer Person materielle oder immaterielle Schäden entstehen. Was speziell die Berechnung der Höhe des Schadensersatzes anbelangt, macht sie den nationalen Gerichten keine Vorgaben.
87. Angesichts der beiden oben genannten Adjektive (vollständig und wirksam) hängt der Schadensersatz in erster Linie davon ab, was der jeweilige Kläger beantragt.
88. Beantragt er die Verurteilung zu Strafschadensersatz(62), würde die Antwort auf die erste Vorlagefrage ausreichen: Diese Art von Schadensersatz kommt in der DSGVO nicht vor. In ihrem Rahmen hat die zivilrechtliche Haftung eine „private“ Ausgleichsfunktion, während Geldbußen und strafrechtliche Sanktionen die öffentliche Funktion haben, abzuschrecken und gegebenenfalls zu strafen.
89. Es ist nicht auszuschließen, dass der begehrte Ersatz des immateriellen Schadens andere als rein finanzielle Komponenten umfasst, z. B. das Eingeständnis des Verstoßes, was dem Kläger eine gewisse moralische Befriedigung verschafft. Das Urteil des Gerichtshofs vom 15. April 2021(63) könnte, auch wenn es zu einem anderen Bereich als dem des Datenschutzes ergangen ist, analog herangezogen werden, um diesem Antrag zu entsprechen.
90. In den Rechtsordnungen, in denen es eine solche Regelung der zivilrechtlichen Haftung gibt, sieht sie möglicherweise Verurteilungen zur Verteidigung eines Rechts (Zahlung einer symbolischen Entschädigung) oder zur Neutralisierung eines ungerechtfertigten Vorteils (Einziehung des zu Unrecht erzielten Gewinns) vor.
91. Ersteren liegt der Gedanke zugrunde, dem Recht durch die Gewährung einer rein symbolischen Entschädigung zu Beständigkeit und Durchsetzung zu verhelfen („Rechtsfortsetzungsfunktion“), neben der Feststellung, dass der Beklagte widerrechtlich gehandelt und Rechte des Klägers verletzt hat. Art. 82 der DSGVO zieht diesen Gedanken nicht in Betracht, und auch in früheren Rechtsakten gibt es keinen Hinweis darauf, was nicht verwunderlich ist, weil es sich nicht um eine Gemeinsamkeit der Rechtssysteme der Mitgliedstaaten handelt(64) und weil er auch dort, wo es ihn gibt, nicht unumstritten ist(65).
92. Das System der DSGVO und ihre Ziele verbieten es jedoch nicht, dass die Mitgliedstaaten, in denen es diese Möglichkeit gibt, sie den von einem Normverstoß betroffenen Personen neben den in Art. 79 der DSGVO genannten Rechtsbehelfen für den Fall des völligen Fehlens eines Schadens anbieten. Die Situation, dass der Kläger geltend macht, einen finanziellen Schaden erlitten zu haben, ist dagegen in Art. 82 der DSGVO geregelt, und die Schwierigkeit, den Schaden nachzuweisen, darf nicht zu einer symbolischen Entschädigung führen(66).
93. Verurteilungen zur Herausgabe des durch die Verletzung eines Rechts erlangten Betrags können darauf abzielen, dem Schädiger den erzielten Gewinn zu entziehen. Außerhalb des Bereichs des geistigen Eigentums(67) ist dieser Zweck im Schadensrecht nicht verbreitet; es stellt stärker auf den Verlust des Geschädigten ab als auf den Gewinn des Schädigers(68). Im Wortlaut der DSGVO kommt sie nicht vor.
94. Diese Überlegungen sollen dem vorlegenden Gericht, angesichts des Umfangs seiner zweiten Vorlagefrage, die Aufgabe erleichtern. Ich verkenne jedoch nicht, dass ihr Nutzen für die Stattgabe oder die Abweisung einer Klage, in deren Rahmen die betroffene Person den Ersatz eines immateriellen Schadens rein finanzieller Art begehrt, gering sein kann.
D. Dritte Vorlagefrage
95. Das vorlegende Gericht möchte wissen, ob nach der DSGVO der Zuspruch immateriellen Schadens davon abhängt, dass eine „Rechtsverletzung von zumindest einigem Gewicht vorliegt, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgeht“.
96. Im Vorabentscheidungsersuchen wird als Kriterium dafür, was ersatzfähig ist, die Intensität der Erfahrung der betroffenen Person herangezogen. Dagegen wird (zumindest unmittelbar) nicht danach gefragt, ob eine bestimmte Emotion oder Empfindung der betroffenen Person nach ihrem Inhalt für die Zwecke von Art. 82 Abs. 1 der DSGVO relevant oder irrelevant ist(69).
97. Somit wird in Zweifel gezogen, ob die Mitgliedstaaten befugt sind, den Ersatz des immateriellen Schadens vom Wesen der Folgen des Verstoßes gegen die Norm abhängig zu machen und nur Folgen einzubeziehen, die einen bestimmten Schweregrad übersteigen. Die Frage betrifft daher weder die ersatzfähigen Schadensarten(70) noch die Höhe des Ersatzes, sondern geht dahin, ob es eine Untergrenze für die Reaktion der betroffenen Person gibt, unterhalb deren kein Ersatz geleistet wird.
98. Art. 82 der DSGVO bietet keine unmittelbare Antwort auf diese Frage. Sie lässt sich meines Erachtens auch nicht dem 75. und dem 85. Erwägungsgrund entnehmen. Beide enthalten eine beispielhafte Aufzählung von Schäden, an deren Ende eine Generalklausel steht, nach der Ersatzleistungen offenbar auf „erhebliche“ Nachteile beschränkt sind.
99. Ich glaube aber nicht, dass diese Erwägungsgründe hilfreich sind, um den Zweifel des vorlegenden Gerichts auszuräumen:
– Der erste betrifft die Ermittlung und Bewertung der Risiken einer Verarbeitung von Daten und den Erlass von Maßnahmen zu ihrer Vermeidung oder Eindämmung. Er veranschaulicht die unerwünschten Folgen jeder Verarbeitung und hebt „insbesondere“ einige von ihnen hervor, sicher wegen ihrer besonderen Schwere.
– Der zweite betrifft Verletzungen des Datenschutzes und stellt darauf ab, dass deren Folgen erheblich sein können.
100. Auch dem 146. Erwägungsgrund der DSGVO (die Verantwortlichen sollten jegliche Schäden ersetzen)(71) lassen sich keine Kriterien entnehmen, die es ermöglichen, diese Frage zu beantworten.
101. Die Aufnahme dieses Erwägungsgrundes in die DSGVO zeigt, dass sie explizit immaterielle Schäden einbezieht, während die Richtlinie 95/46 zu diesem Punkt schwieg(72). Speziell auf die hier vom Gerichtshof zu klärende Frage wird aber nicht eingegangen.
102. Im 146. Erwägungsgrund der DSGVO heißt es weiter: „Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht.“
103. Ich bin nicht sicher, ob diese Angabe im Kontext des Datenschutzes von größerem Nutzen war, da sich der Gerichtshof zu diesem Thema noch nicht geäußert hatte, als die DSGVO erlassen wurde(73). Hätte man Urteile über die in anderen Richtlinien oder Verordnungen geregelte zivilrechtliche Haftung heranziehen wollen, wäre eine Anordnung der Analogie wünschenswert gewesen.
104. Der Sache nach gibt es keine allgemeine, in jedem Bereich unterschiedslos anwendbare Definition des Begriffs „Schaden“ durch den Gerichtshof(74). In Bezug auf den hier relevanten Aspekt (immaterielle Schäden) lässt sich aus seiner Rechtsprechung Folgendes ableiten:
– Besteht das Ziel (oder eines der Ziele) der auszulegenden Bestimmung im Schutz des Einzelnen oder einer bestimmten Kategorie von Personen(75), ist der Begriff des Schadens weit zu verstehen.
– Im Einklang mit diesem Kriterium erstreckt sich der Schadensersatz auf immaterielle Schäden, auch wenn sie in der ausgelegten Bestimmung nicht erwähnt werden(76).
105. Der Rechtsprechung des Gerichtshofs lässt sich zwar entnehmen, dass es im Unionsrecht einen Grundsatz des Ersatzes immaterieller Schäden gibt, doch glaube ich nicht, dass aus ihr eine Regel abgeleitet werden kann, wonach jeder immaterielle Schaden, unabhängig von seiner Schwere, ersatzfähig ist.
106. Der Gerichtshof hat die Vereinbarkeit nationalen Rechts, wonach bei der Berechnung des Schadensersatzes zwischen immateriellen Schäden aufgrund unfallbedingter körperlicher Verletzungen nach der Ursache des Unfalls unterschieden wird, mit dem Unionsrecht bejaht(77).
107. Er hat sich ferner damit befasst, welche Umstände nach der in der jeweiligen Rechtssache anwendbaren Bestimmung zu immateriellen Schäden führen können(78), aber sich (meines Wissens) nicht ausdrücklich zum Erfordernis der Schwere solcher Schäden geäußert(79).
108. Aufgrund dieser Erkenntnisse bin ich der Ansicht, dass die dritte Vorlagefrage zu bejahen ist.
109. Zur Untermauerung meines Standpunkts weise ich darauf hin, dass die DSGVO nicht allein zur Wahrung des Grundrechts auf Schutz personenbezogener Daten dient(80) und dass ihr System von Garantien verschiedenartige Mechanismen enthält(81).
110. In diesem Kontext ist die dem Gerichtshof unterbreitete Unterscheidung zwischen entschädigungsfähigen immateriellen Schäden und anderen, durch die Missachtung des Gebots rechtmäßigen Handelns entstandenen Nachteilen, die aufgrund ihrer geringen Bedeutung nicht zwangsläufig zu einem Ausgleichsanspruch führen, relevant.
111. Eine solche Aufspaltung wird in nationalen Rechtsordnungen als unvermeidliche Folge des Lebens in einer Gesellschaft angesehen(82). Dem Gerichtshof ist dieser Unterschied, den er anerkennt, wenn er Störungen und Belästigungen in Bereichen, in denen sie seines Erachtens ausgeglichen werden müssen, als eine gegenüber Schäden eigenständige Kategorie bezeichnet(83), nicht fremd. Nichts hindert daran, dies auf die DSGVO zu übertragen.
112. Im Übrigen scheint mir der in Art. 82 Abs. 1 der DSGVO vorgesehene Anspruch auf Schadensersatz nicht das geeignete Instrument zu sein, um gegen Verstöße bei der Verarbeitung personenbezogener Daten vorzugehen, wenn sie bei der betroffenen Person lediglich zu Zorn oder Ärger führen.
113. Im Allgemeinen wird jeder Verstoß gegen eine Norm über den Schutz personenbezogener Daten zu einer negativen Reaktion der betroffenen Person führen. Ein Schadensersatz, der sich aus einem bloßen Unmutsgefühl wegen der Nichtbeachtung des Rechts durch einen anderen ergibt, kommt dem von mir bereits abgelehnten Schadensersatz ohne Schaden recht nahe.
114. In praktischer Hinsicht wäre die Einbeziehung bloßen Ärgers in die ersatzfähigen immateriellen Schäden ineffizient, bedenkt man die charakteristischen Nachteile und Schwierigkeiten, die mit einer gerichtlichen Geltendmachung für den Kläger(84) und mit der Verteidigung für den Beklagten(85) verbunden sind.
115. Verneint man einen Schadensersatz für die schwachen und vorübergehenden Gefühle oder Emotionen(86) im Zusammenhang mit Verstößen gegen Vorschriften über die Datenverarbeitung, wird die betroffene Person dadurch nicht völlig rechtlos gestellt. Wie ich im Rahmen der ersten Frage ausgeführt habe, bietet ihr das System der DSGVO andere Rechtsbehelfe.
116. Mir ist bewusst, dass die Grenze zwischen bloßem (nicht ersatzfähigem) Ärger und echten (ersatzfähigen) immateriellen Schäden unscharf ist, und mir ist klar, dass es kompliziert ist, die beiden Kategorien abstrakt voneinander abzugrenzen und sie konkret in einem Rechtsstreit anzuwenden. Diese schwierige Aufgabe obliegt den Gerichten der Mitgliedstaaten, die sich wahrscheinlich bei ihren Entscheidungen der jeweiligen Wahrnehmung der zulässigen Toleranz in Bezug darauf, wann die subjektiven Folgen der Verletzung einer Norm in diesem Bereich unter einer De-minimis-Schwelle bleiben, nicht werden entziehen können(87).
V. Ergebnis
117. Nach alledem schlage ich vor, dem Obersten Gerichtshof (Österreich) wie folgt zu antworten:
Art. 82 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist wie folgt auszulegen:
Für die Anerkennung eines Anspruchs auf Ersatz des Schadens, den eine Person infolge eines Verstoßes gegen die genannte Verordnung erlitten hat, reicht die bloße Verletzung der Norm als solche nicht aus, wenn mit ihr keine entsprechenden materiellen oder immateriellen Schäden einhergehen.
Der in der Verordnung 2016/679 geregelte Ersatz immaterieller Schäden erstreckt sich nicht auf bloßen Ärger, zu dem die Verletzung ihrer Vorschriften bei der betroffenen Person geführt haben mag. Es ist Sache der nationalen Gerichte, herauszuarbeiten, wann das subjektive Unmutsgefühl aufgrund seiner Merkmale im Einzelfall als immaterieller Schaden angesehen werden kann.