CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2022:756

SCHLUSSANTRÄGE DES GENERALANWALTS

MANUEL CAMPOS SÁNCHEZ-BORDONA

vom 6. Oktober 2022(1)

Rechtssache C‑300/21

gegen

Österreichische Post AG

(Vorabentscheidungsersuchen des Obersten Gerichtshofs [Österreich])

„Vorlage zur Vorabentscheidung – Schutz personenbezogener Daten – Verordnung (EU) 2016/679 – Immaterieller Schaden, der aus einer rechtswidrigen Verarbeitung von Daten resultiert – Erfordernisse des Schadensersatzanspruchs – Schäden, die einen gewissen Schweregrad überschreiten“

1. Die Verordnung (EU) 2016/679(2) eröffnet jeder Person, die wegen eines Verstoßes gegen ihre Bestimmungen einen materiellen oder immateriellen Schaden erleidet, einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

2. Die Möglichkeit, diesen Anspruch gerichtlich geltend zu machen, bestand bereits nach der früheren Regelung (Art. 23 der Richtlinie 95/46/EG(3)), wovon allerdings wenig Gebrauch gemacht wurde(4). Sofern ich mich nicht irre, hatte der Gerichtshof keine Gelegenheit, speziell den genannten Artikel auszulegen.

3. Unter der Geltung der DSGVO haben Schadensersatzklagen an Relevanz gewonnen(5). Ihre Zunahme ist bei den Gerichten der Mitgliedstaaten spürbar und spiegelt sich in entsprechenden Vorabentscheidungsersuchen wider(6). In diesem Rahmen ersucht der Oberste Gerichtshof (Österreich) den Gerichtshof, einige Gemeinsamkeiten der durch die DSGVO eingeführten zivilrechtlichen Haftungsregelung herauszuarbeiten.

I. Rechtlicher Rahmen. DSGVO

4. Für den vorliegenden Rechtsstreit sind insbesondere die Erwägungsgründe 75, 85 und 146 der DSGVO relevant.

5. In Art. 6 („Rechtmäßigkeit der Verarbeitung“) heißt es:

„(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

…“

6. Art. 79 („Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter“) bestimmt in Abs. 1:

„Jede betroffene Person hat unbeschadet eines verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs einschließlich des Rechts auf Beschwerde bei einer Aufsichtsbehörde gemäß Artikel 77 das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden.“

7. Art. 82 („Haftung und Recht auf Schadenersatz“) sieht in Abs. 1 vor:

„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“

II. Sachverhalt, Rechtsstreit und Vorlagefragen

8. Seit 2017 erhob die Österreichische Post AG als Adressenverlag Informationen zu den Parteiaffinitäten der österreichischen Bevölkerung. Mit Hilfe eines Algorithmus definierte sie anhand bestimmter soziodemografischer Merkmale „Zielgruppenadressen“.

9. UI ist eine natürliche Person, in Bezug auf die die Österreichische Post eine statistische Hochrechnung vornahm, um zu ermitteln, wie sie im Rahmen möglicher Zielgruppen der Wahlwerbung verschiedener politischer Parteien einzustufen ist. Die Hochrechnung ergab, dass UI eine hohe Affinität zu einer von diesen aufweise. Diese Daten wurden nicht an Dritte weitergegeben.

10. UI, der nicht in die Verarbeitung seiner personenbezogenen Daten eingewilligt hatte, war über die Speicherung seiner Daten zur Parteiaffinität verärgert und in Bezug auf die konkrete ihm von der Österreichischen Post zugeschriebene Affinität erbost und beleidigt.

11. UI begehrte einen Betrag in Höhe von 1 000 Euro zum Ersatz seines immateriellen Schadens (inneres Ungemach). Die ihm zugeschriebene politische Affinität sei eine Beleidigung und beschämend sowie kreditschädigend. Das Verhalten der Österreichischen Post habe bei ihm großes Ärgernis und einen Vertrauensverlust sowie ein Gefühl der Bloßstellung ausgelöst.

12. Das Erstgericht wies den Schadenersatzanspruch von UI ab(7).

13. Das Berufungsgericht bestätigte das Ersturteil. Es führte aus, dass nicht mit jedem Verstoß gegen die DSGVO automatisch ein Anspruch auf Ersatz immaterieller Schäden einhergehe und dass

– das österreichische Recht die DSGVO ergänze, so dass nur Schäden ersatzfähig seien, die über den durch die Verletzung der Rechte des Klägers hervorgerufenen Ärger oder Gefühlsschaden hinausgingen;

– an dem der österreichischen Regelung zugrunde liegenden Prinzip festzuhalten sei, wonach jeder bloßes Unbehagen und bloße Unlustgefühle zu tragen habe, ohne dass sie Konsequenzen in Bezug auf Schadenersatz hätten. Mit anderen Worten setze ein Schadenersatzanspruch eine gewisse Erheblichkeit des geltend gemachten Schadens voraus.

14. Gegen das Urteil des Berufungsgerichts wurde Revision zum Obersten Gerichtshof (Österreich) eingelegt, der dem Gerichtshof folgende Fragen zur Vorabentscheidung vorlegt:

1. Erfordert der Zuspruch von Schadenersatz nach Art. 82 der DSGVO neben einer Verletzung von Bestimmungen der DSGVO auch, dass der Kläger einen Schaden erlitten hat, oder reicht bereits die Verletzung von Bestimmungen der DSGVO als solche für die Zuerkennung von Schadenersatz aus?

2. Bestehen für die Bemessung des Schadenersatzes neben den Grundsätzen der Effektivität und Äquivalenz weitere Vorgaben des Unionsrechts?

3. Ist die Auffassung mit dem Unionsrecht vereinbar, dass Voraussetzung für den Zuspruch immateriellen Schadens ist, dass eine Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht vorliegt, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgeht?

III. Verfahren

15. Das Vorabentscheidungsersuchen ist am 12. Mai 2021 beim Gerichtshof eingegangen.

16. UI, die Österreichische Post, die österreichische, die tschechische und die irische Regierung sowie die Europäische Kommission haben schriftliche Erklärungen eingereicht. Eine mündliche Verhandlung ist nicht für erforderlich gehalten worden.

IV. Würdigung

A. Vorbemerkungen

1. Zulässigkeit

17. UI trägt vor, die erste Vorlagefrage sei für den Rechtsstreit nicht relevant, da sein Antrag nicht auf die „reine“ Verletzung einer Vorschrift der DSGVO gestützt sei, sondern auf deren Folgen oder Auswirkungen.

18. Die Einrede der Unzulässigkeit ist zurückzuweisen. Selbst wenn die Verarbeitung der Daten gegen die DSGVO verstieß, ohne dass UI einen Schaden erlitten hat, könnte er nach Art. 82 der DSGVO einen Schadensersatzanspruch haben, sofern die Frage des vorlegenden Gerichts, ob die bloße Verletzung einer Vorschrift über die Verarbeitung einen solchen Anspruch begründe, zu bejahen wäre.

19. Nach Ansicht von UI könnte der Gerichtshof auch die zweite Vorlagefrage als unzulässig ansehen, weil sie inhaltlich sehr offen und in Bezug auf die Erfordernisse des Unionsrechts sehr lapidar sei, ohne Angabe eines konkreten Erfordernisses.

20. Dieser Einwand kann, auch wenn er stichhaltiger ist als der vorangegangene, ebenfalls keinen Erfolg haben. Es ist legitim, dass ein Gericht wissen möchte, ob es über die Beachtung der Grundsätze der Äquivalenz und der Effektivität hinaus bei der Bemessung des Schadens weitere unionsrechtliche Voraussetzungen einzubeziehen hat.

2. Abgrenzung des Gegenstands der vorliegenden Schlussanträge

21. Art. 82 der DSGVO enthält sechs Absätze. Das vorlegende Gericht nimmt auf keinen bestimmten Absatz Bezug, hat aber implizit Abs. 1 im Blick. Es macht auch keine näheren Angaben zu der Rechtsnorm, deren Verletzung zu Schadensersatz führen würde.

22. In meinen Schlussanträgen gehe ich von folgenden Prämissen aus:

– Die Verarbeitung der personenbezogenen Daten von UI erfolgte, ohne seine Einwilligung im Sinne von Art. 6 Abs. 1 Buchst. a der DSGVO einzuholen.

– Der Schadensersatzanspruch steht jeder Person zu, die Schäden erlitten hat. Im vorliegenden Fall ist UI als die von der Verarbeitung erfasste und beeinträchtigte natürliche Person die „betroffene Person“(8).

– Die DSGVO sieht den Ersatz materieller und immaterieller Schäden vor. Das Begehren von UI beschränkt sich auf Letztere und hat einen Geldbetrag zum Gegenstand.

B. Erste Vorlagefrage

23. Mit seiner ersten Frage möchte das vorlegende Gericht zusammengefasst wissen, ob die bloße Verletzung der Bestimmungen der DSGVO einen Anspruch auf Schadensersatz begründet, unabhängig davon, ob ein Schaden entstanden ist.

24. Den Ausführungen des vorlegenden Gerichts und den beim Gerichtshof eingereichten Erklärungen lässt sich entnehmen, dass auch eine andere, komplexere Lesart der Frage möglich ist: Mit ihr soll geklärt werden, ob die Verletzung der Bestimmungen der DSGVO zwangsläufig zu einem Schaden führt, der den Anspruch auf Schadensersatz entstehen lässt, ohne dass der Beklagte die Möglichkeit hat, den Gegenbeweis zu erbringen.

25. Es gibt einen gewissen (theoretischen) Unterschied zwischen diesen beiden Ansätzen: Nach dem ersten Ansatz ist der Schaden keine Voraussetzung für die Entschädigung, wohl aber nach dem zweiten. In der Praxis entfällt das Erfordernis, dass der Kläger den Schaden nachweist, in beiden Fällen; er muss auch nicht beweisen, dass zwischen der Verletzung und dem Schaden ein Kausalzusammenhang besteht(9).

26. Meines Erachtens ist die erste Frage nach keiner der beiden Lesarten zu bejahen. Ich werde nacheinander auf sie eingehen.

1. Schadensersatz ohne Schaden?

27. Die These, dass ein Schadensersatzanspruch besteht, auch wenn die betroffene Person durch die Verletzung der DSGVO keine Schäden erlitten hat, bereitet offenkundige Schwierigkeiten, beginnend mit dem Wortlaut ihres Art. 82 Abs. 1.

28. Nach dieser Bestimmung wird der Schadensersatz(10) gerade deshalb gewährt, weil zuvor ein Schaden entstanden ist. Es ist daher eindeutig erforderlich, dass der natürlichen Person durch einen Verstoß gegen die DSGVO ein Schaden entstanden ist.

29. Die Auslegung, die den Begriff „Verstoß“ automatisch, ohne Erfordernis eines Schadens, mit dem Begriff „Ausgleich“ in Verbindung bringt, steht daher nicht mit dem Wortlaut von Art. 82 der DSGVO im Einklang. Sie steht auch nicht mit dem Hauptziel der durch die DSGVO eingeführten zivilrechtlichen Haftung im Einklang, das darin besteht, der betroffenen Person gerade durch den „vollständigen und wirksamen“ Ersatz des ihr zugefügten Schadens Genugtuung zu verschaffen(11).

30. Ohne einen Schaden würde der Schadensersatz die Funktion des Ausgleichs der nachteiligen Folgen des Verstoßes nicht mehr erfüllen, sondern hätte eher die Rechtsnatur einer Sanktion.

31. Es trifft allerdings zu, dass die Rechtsordnung eines Mitgliedstaats die Zahlung von Strafschadensersatz vorsehen kann(12). Hierunter ist die Verurteilung zur Zahlung eines erheblichen Betrags zu verstehen, der über den reinen Ausgleich des Schadens hinausgeht.

32. Der Strafschadensersatz setzt im Allgemeinen das vorherige Vorliegen des Schadens voraus. Trotz dieses Ausgangspunkts unterscheiden sich seine vermögensrechtlichen Folgen jedoch von der Höhe des dem Schaden angepassten Ausgleichs.

33. Es ist aber durchaus vorstellbar, dass der Strafschadensersatz von dem Schaden abstrahiert oder ihn als für die Befriedigung des Anspruchstellers unerheblich ansieht.

34. Die Beantwortung der ersten Vorlagefrage erfordert es, dass ich den Rahmen für diese Art von Schadensersatz in der DSGVO untersuche, zumal in der Vorlageentscheidung und den Erklärungen der Parteien und Beteiligten des Vorabentscheidungsersuchens darauf Bezug genommen wird.

2. Strafschadensersatz?

a) Auslegung anhand des Wortlauts

35. Zur klassischen Funktion der zivilrechtlichen Haftung kann eine andere Funktion mit „Straf-“ oder „exemplarischem“ Charakter hinzutreten, aufgrund deren, wie bereits dargelegt, die Höhe des Schadensersatzes nicht dem erlittenen Schaden entspricht, sondern ihn übersteigt, sogar um ein Mehrfaches.

36. Das Recht der Union steht einem solchen Schadensersatz bei Verstößen gegen ihre Vorschriften grundsätzlich nicht entgegen, sofern er auch im Rahmen ähnlicher, auf das innerstaatliche Recht gestützter Klagen zugesprochen werden kann(13).

37. Der Strafschadensersatz dient zur Abschreckung. Die gleiche Zielsetzung kann erreicht werden, wenn die Mitgliedstaaten bei einem Verstoß gegen eine Richtlinie Maßnahmen zu treffen haben, um „eine wirklich abschreckende Wirkung“ zu erzielen(14). Einige Richtlinien sehen ausdrücklich vor, dass Schadensersatz, der als Sanktion gedacht ist, abschreckend sein soll(15).

38. In anderen Rechtstexten erklärt der Gesetzgeber dagegen, dass mit einer Richtlinie „nicht die Einführung einer Verpflichtung zu einem als Strafe angelegten Schadensersatz“ bezweckt wird(16) oder dass die Mitgliedstaaten bei ihrer Umsetzung diese Art von Entschädigung vermeiden müssen(17). Im Unionsrecht ist die unmittelbare Verurteilung zu „Strafschadensersatz“ die Ausnahme(18).

39. Die DSGVO enthält jedoch keine Bezugnahme auf den Sanktionscharakter des Ersatzes materieller oder immaterieller Schäden oder darauf, dass die Berechnung seiner Höhe diesen Charakter widerspiegelt, oder auf die abschreckende Wirkung des Schadensersatzes (die hingegen strafrechtlichen Sanktionen und verwaltungsrechtlichen Geldbußen zukommt)(19). Nach dem Wortlaut kann daher kein Strafschadensersatz zugesprochen werden.

b) Auslegung anhand der Entstehungsgeschichte der Bestimmung

40. Die Vorgängervorschrift von Art. 82 Abs. 1 der DSGVO war Art. 23 Abs. 1 der Richtlinie 95/46. Letzterer war Teil eines Systems, dessen Wirksamkeit auf der öffentlichen und privaten Rechtsdurchsetzung(20) beruhte, wobei der (private) Ausgleich und die (öffentliche) Sanktion voneinander unabhängig waren(21). Die Überwachung der Einhaltung der Vorschriften oblag in erster Linie unabhängigen Kontrollstellen(22).

41. Die DSGVO übernimmt dieses Modell, stärkt aber die Mittel zur Gewährleistung der Wirksamkeit ihrer – nunmehr detaillierteren – Bestimmungen und der – nunmehr stärkeren – Reaktionen auf ihre Verletzung oder drohende Verletzung:

– Zum einen werden die Aufgaben der Aufsichtsbehörden erweitert; ihnen obliegt es u. a., die in der DSGVO selbst vorgesehenen harmonisierten Sanktionen zu verhängen(23). Die Komponente der öffentlichen Durchsetzung der Normen wird damit unterstrichen.

– Zum anderen sieht sie vor, dass die Einzelnen die Verteidigung der ihnen durch die DSGVO verliehenen Rechte übernehmen(24), indem sie die Aufsichtsbehörden einschalten (Art. 77) oder den Rechtsweg beschreiten (Art. 79 und 82). Außerdem gestattet Art. 80 bestimmten Einrichtungen, Verbandsklagen zu erheben(25), was den Schutz allgemeiner Interessen erleichtert, den die Betroffenen sichern sollen(26).

42. Die Fortentwicklung der einheitlichen Regelung der zivilrechtlichen Haftung für Schäden in der DSGVO war beschränkt. Aspekte, die unter der Geltung der Richtlinie 95/46 zweifelhaft sein konnten, wie die Frage, ob auch immaterielle Schäden ersatzfähig sind(27), wurden umgehend geklärt. Die Verhandlungen konzentrierten sich auf andere Aspekte der Regelung(28).

43. Ich habe in den Materialien keine Diskussion über eine etwaige Straffunktion der in der DSGVO vorgesehenen zivilrechtlichen Haftung gefunden. Daher kann nicht der Schluss gezogen werden, dass ihr in Art. 82 Rechnung getragen wurde, da insoweit keine Debatte stattfand, zumal diese ja im Rahmen ihrer Einbeziehung in andere Unionsrechtstexte geführt wurde(29).

44. Unter diesen Umständen bin ich der Überzeugung, dass der Anspruch aus Art. 82 Abs. 1 der DSGVO im Dienst typischer Funktionen zivilrechtlicher Haftung konzipiert und geregelt wurde: dem Ausgleich von Schäden (für den Geschädigten) und, sekundär, der Vermeidung (vom Rechtsverletzer begangener) künftiger Schädigungen.

c) Systematische Auslegung

45. Wie ich ausgeführt habe, gehört Art. 82 der DSGVO zu einem System von Garantien für die Wirksamkeit der Vorschriften, bei dem die private Initiative ihre öffentliche Durchsetzung ergänzt. Der von den Verantwortlichen der Datenverarbeitung oder den Auftragsverarbeitern geschuldete Schadensersatz trägt zu dieser Wirksamkeit bei.

46. Die Pflicht, Schadensersatz zu leisten, dient (im Idealfall) als Anreiz, künftig vorsichtiger zu sein, die Regeln einzuhalten und weitere Schädigungen zu vermeiden. In dieser Weise trägt jeder, der für sich selbst Schadensersatz verlangt, zur allgemeinen Wirksamkeit der Normen bei.

47. In diesem Zusammenhang sind die Funktionen des Ausgleichs und der Bestrafung voneinander zu trennen:

– Letzterer dienen die Geldbußen, die von den Aufsichtsbehörden oder den Gerichten verhängt werden können (Art. 83 Abs. 1 und 9 der DSGVO), und andere Sanktionen, die die Staaten gemäß Art. 84 der DSGVO vorsehen(30).

– Ersterer dienen die Beschwerde Einzelner (Art. 77) und die Gerichtsverfahren (Art. 79). Es ist allerdings nicht Sache der Aufsichtsbehörden, über den Anspruch auf Schadensersatz zu entscheiden.

48. Auf demselben Grundsatz der Trennung der Ausgleichs- und Sanktionsfunktionen beruhen folgende Aspekte:

– Bei der Verhängung einer Geldbuße und der Festsetzung ihrer Höhe hat die Behörde die in Art. 83 der DSGVO aufgezählten Faktoren zu berücksichtigen, die für den Bereich der zivilrechtlichen Haftung nicht vorgesehen sind und in der Regel nicht auf die Berechnung des Schadensersatzes übertragbar sind(31).

– Auch wenn das Ausmaß des den betroffenen Personen entstandenen Schadens ein Faktor für die Bemessung der Geldbuße ist(32), ist bei der Berechnung ihrer Höhe nicht zu berücksichtigen, welchen Schadensersatz sie erhalten könnten(33).

49. Theoretisch schafft eine Auslegung, wonach die zivilrechtliche Haftung bei Fehlen eines Schadens Straffunktion erlangt, die Gefahr, dass die Schadensersatzmechanismen im Verhältnis zu den Sanktionsmechanismen redundant werden.

50. In der Praxis könnte die Möglichkeit, als Schadensersatz einen „punitiven“ Gewinn zu erzielen, die betroffenen Personen dazu veranlassen, diesen Weg dem des Art. 77 der DSGVO vorzuziehen. Würde dies zur Regel, würden die Aufsichtsbehörden eines Mittels (der Beschwerde der betroffenen Person) beraubt, das sie benötigen, um von etwaigen Verstößen gegen die DSGVO Kenntnis erlangen und um sie somit untersuchen und ahnden zu können, zum Nachteil der für die Verteidigung des Allgemeininteresses geeignetsten Instrumente.

d) Teleologische Auslegung

51. Mit der DSGVO werden im Wesentlichen zwei Ziele verfolgt, die sich bereits aus ihrem Titel ergeben: a) zum einen der „Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten“; b) zum anderen, dass dieser Schutz in einer Weise stattfindet, die den „freien Datenverkehr“ in der Union weder verbietet noch einschränkt(34).

52. Meines Erachtens verlangt die DSGVO zur Erreichung dieser Ziele nicht, den Schadensersatz mit der bloßen Verletzung der die Verarbeitung regelnden Norm zu verknüpfen, was der zivilrechtlichen Haftung Straffunktionen verleihen würde.

53. Was das erste Ziel angeht, ist es für dessen Verfolgung nicht erforderlich, den Anwendungsbereich von Art. 82 der DSGVO im Wege der Auslegung auf Fälle auszudehnen, in denen eine Norm verletzt wurde, aber kein Schaden entstanden ist. Dagegen könne sich diese Ausdehnung negativ auf das zweite Ziel auswirken.

54. Ich habe bereits darauf hingewiesen, dass die DSGVO mehrere Vorkehrungen für die Gewährleistung der Einhaltung ihrer Vorschriften vorsieht, die nebeneinander bestehen und sich ergänzen. Die Mitgliedstaaten brauchen nicht unter den Mechanismen zur Gewährleistung des Datenschutzes in Kapitel VIII zu wählen (und können es de facto auch nicht). Liegt ein Verstoß vor, der keinen Schaden verursacht, wird der betroffenen Person (zumindest) das Recht eingeräumt, bei einer Aufsichtsbehörde gemäß Art. 77 Abs. 1 der DSGVO eine Beschwerde einzureichen.

55. Im Übrigen regt die Aussicht, unabhängig von einem Schaden eine Entschädigung zu erhalten, wahrscheinlich zu zivilrechtlichen Streitigkeiten, mit womöglich nicht immer gerechtfertigten Ansprüchen(35), an und könnte insoweit der Verarbeitung von Daten abträglich sein(36).

3. Vermutung eines Schadens?

56. In einigen Erklärungen der Parteien des Rechtsstreits wird vorgeschlagen, die erste Vorlagefrage in anderer Weise zu verstehen als in der, die ich bislang geprüft habe. Wenn ich ihren Standpunkt richtig verstehe(37), machen sie offenbar geltend, dass bei einer Verletzung der Norm eine unwiderlegbare Vermutung für einen Schaden bestehe.

57. Ein solcher Verstoß führe zwangsläufig zu einem Verlust der Kontrolle über die Daten, was per se einen nach Art. 82 Abs. 1 der DSGVO ersatzfähigen Schaden darstelle.

58. In der Theorie erlaubt es diese Vermutung nicht, die Schädigung außer Acht zu lassen, so dass die typische Struktur der zivilrechtlichen Haftung sowie der Wortlaut der Bestimmung der DSGVO beachtet werden. In der Praxis wären ihre Auswirkungen auf Kläger und Beklagte jedoch mit denen vergleichbar, die eintreten, wenn der Schadensersatz nach Art. 82 Abs. 1 der DSGVO an den bloßen Verstoß gegen die Norm anknüpft.

59. Ich werde erneut auf die üblichen Auslegungskriterien zurückgreifen, um zu erläutern, warum ich diese Auslegung nicht für zutreffend halte.

a) Auslegung anhand des Wortlauts

60. In anderen Bereichen des Unionsrechts hatte der Gesetzgeber, wenn er davon ausging, dass sich aus dem Verstoß gegen eine Norm automatisch der Schadensersatzanspruch ergibt, keine Bedenken, dem Ausdruck zu verleihen(38). Dies ist bei der DSGVO nicht der Fall, in der Regeln für die Beweisführung oder mit unmittelbaren Konsequenzen für sie enthalten sind(39), aber keine automatische Verknüpfung, sei es unmittelbar oder im Wege einer unwiderlegbaren Vermutung.

61. Die Bezugnahmen auf die Kontrolle über die Daten (oder den Verlust dieser Kontrolle) in den Erwägungsgründen 75(40) und 85(41) der DSGVO scheinen mir diese Lücke nicht auszugleichen. Abgesehen davon, dass die Erwägungsgründe keine normative Bedeutung haben, wird in keinem von beiden erwähnt, dass die Verletzung einer Norm per se einen ersatzfähigen Schaden impliziert:

– Im 75. Erwägungsgrund ist von der Verhinderung der Kontrolle über die personenbezogenen Daten als einem der möglichen Risiken der Verarbeitung die Rede.

– Im 85. Erwägungsgrund wird der Verlust der Kontrolle als eine der Folgen bezeichnet, die aufgrund einer Verletzung des Schutzes personenbezogener Daten eintreten könnten(42).

62. Der Verlust der Kontrolle über die Daten muss nicht zwangsläufig einen Schaden verursachen. Der Ausdruck kann als sprachliche Unschärfe bei der Bezugnahme auf Nachteile, die im Anschluss an einen solchen Verlust eintreten, aufgefasst werden, wenn diese sich konkretisieren(43).

b) Auslegung im Licht der Entstehungsgeschichte

63. Auch die Analyse der Entstehungsgeschichte spricht nicht für eine solche Vermutung; sie war in der Richtlinie 95/46 nicht enthalten(44), und in den von mir geprüften Dokumenten der Kommission, des Europäischen Parlaments und des Rates aus der Zeit vor dem Erlass der DSGVO ist davon keine Rede.

c) Systematische Auslegung

64. Das System der DSGVO enthält Anhaltspunkte dafür, dass die streitige Vermutung nicht besteht, und zwar bei der Bezugnahme auf die Einwilligung der betroffenen Person(45). Als Verkörperung ihrer Kontrolle über die Daten rechtfertigt diese Einwilligung deren Verarbeitung auf derselben Ebene wie andere Rechtsgrundlagen (Art. 6 der DSGVO)(46).

65. Eine rechtmäßige Verarbeitung personenbezogener Daten ist auch ohne Einwilligung der betroffenen Person und damit ohne die durch ihre Erteilung oder Versagung ausgeübte Kontrolle denkbar. Deren Gewicht innerhalb des Systems ist letztlich nicht absolut.

66. Es gibt in der DSGVO auch noch andere Möglichkeiten für die Ausübung dieser Kontrolle. Dazu gehört das Recht auf Löschung, aus dem die Verpflichtung des Verantwortlichen erwächst, die entsprechende Information „unverzüglich“ zu löschen(47).

67. Für die Person, deren Daten verarbeitet werden, dient dieses Recht als Sicherheitsventil der Schutzregelung: Es bleibt (im Prinzip) erhalten, wenn der Verantwortliche keine Einwilligung der betroffenen Person enthalten hat und wenn es keine andere die Verarbeitung rechtfertigende Grundlage gibt, und es hängt nicht vom Eintritt eines Schadens ab(48).

d) Teleologische Auslegung

1) Kontrolle der betroffenen Person über ihre Daten als ein Ziel der DSGVO?

68. Die automatische Gleichstellung einer Verarbeitung personenbezogener Daten ohne Einwilligung der betroffenen Person mit einem ersatzfähigen Schaden setzt voraus, dass eine solche, in der Einwilligung verkörperte Kontrolle einen Wert an sich darstellt.

69. Ich erkenne an, dass es für diese Auffassung auf den ersten Blick gute Gründe gibt. Die Kontrolle der Bürger über ihre Daten wird im Vorschlag der Kommission als einer der Hauptgründe für die Reform genannt(49). Im siebten Erwägungsgrund der DSGVO heißt es: „Natürliche Personen sollten die Kontrolle über ihre eigenen Daten besitzen.“

70. Bei der Auslegung dieses Konzepts ist, jenseits der von ihm ausgelösten Debatten im Schrifttum, zweifellos Vorsicht geboten. Die DSGVO enthält keine genaue Definition von „Kontrolle“ (und ich habe auch an anderer Stelle keine gefunden)(50). Der Begriff lässt mindestens zwei Deutungen zu, die sich nicht gegenseitig ausschließen: als „Macht“ oder „Herrschaft“ und als „Überwachung“.

71. Der Wortlaut des siebten Erwägungsgrundes der DSGVO führt zu gewisser Unsicherheit, da seine Sprachfassungen voneinander abweichen(51). In Anbetracht seines Inhalts bin ich der Ansicht, dass die DSGVO der betroffenen Person Überwachungs- und Interventionsbefugnisse bei Zugriffen Dritter auf die Daten verschafft, als Instrument (neben anderen) zum Schutz dieser Daten.

72. Die betroffene Person selbst trägt zum Schutz der in den Daten enthaltenen Informationen bei und ist dafür in der Weise – Umfang und Modalitäten –, die die DSGVO vorsieht, verantwortlich. Der Spielraum individueller Aktionen ist begrenzt: Er beschränkt sich hinsichtlich der in der DSGVO aufgezählten Rechte auf ihre Ausübung unter bestimmten Voraussetzungen.

73. Die Einwilligung der betroffenen Person als maximaler Ausdruck von Kontrolle(52) ist nur eine der Rechtsgrundlagen für eine rechtmäßige Verarbeitung, vermag aber die Nichteinhaltung der übrigen dem Verantwortlichen und dem Auftragsverarbeiter obliegenden Pflichten und Voraussetzungen nicht zu heilen.

74. Meines Erachtens lässt sich aus der DSGVO nicht ohne Weiteres ableiten, dass sie der betroffenen Person die Kontrolle über personenbezogene Daten als Wert an sich verleihen soll. Und ebenso wenig, dass die betroffene Person die größtmögliche Kontrolle über diese Daten ausüben soll.

75. Diese Feststellung überrascht nicht. Zum einen liegt es nicht auf der Hand, dass die Kontrolle in ihrer Bedeutung als Herrschaft über die Daten zum Wesensgehalt des Grundrechts auf Schutz personenbezogener Daten gehört(53). Zum anderen besteht über das Verständnis dieses Rechts als Recht auf informationelle Selbstbestimmung keineswegs Einigkeit; in Art. 8 der Charta werden diese Termini nicht verwendet(54).

76. Desgleichen wurde folgender Erwägungsgrund nicht in die Endfassung der DSGVO aufgenommen: „Das Recht auf Schutz personenbezogener Daten basiert auf dem Recht der betroffenen Person, die Kontrolle über die verarbeiteten personenbezogenen Daten auszuüben“(55).

77. Die vorstehenden Überlegungen, die vielleicht übermäßig abstrakt sind, veranlassen mich zu der Feststellung, dass die betroffene Person, wenn sie einer Verarbeitung nicht zustimmt und diese ohne eine andere legitime Rechtsgrundlage vorgenommen wird, deswegen keinen finanziellen Ausgleich für den Verlust der Kontrolle über ihre Daten erhalten muss, als ob dieser Verlust als solcher zu einem ersatzfähigen Schaden führen würde(56). Ob sie zudem einen Schaden erlitten hat oder nicht, bleibt zu klären (und muss nachgewiesen werden)(57).

2) Die Kontrolle der betroffenen Person innerhalb des Kontextes

78. Abschließend erscheint mir der Hinweis angebracht, dass der Schutz personenbezogener Daten als Ziel der DSGVO genannt wird, neben dem Ziel, den freien Datenverkehr zu fördern(58).

79. Die Stärkung der Kontrolle des Bürgers über die seine Person betreffenden Informationen im digitalen Umfeld gehört zu den anerkannten Zielen der Modernisierung der Regelung zum Schutz personenbezogener Daten, ist aber kein unabhängiges oder isoliertes Ziel.

80. In der ihrem Vorschlag für die DSGVO beigefügten Mitteilung führte die Kommission aus, dass ein hohes Datenschutzniveau in Verbindung mit dem Vertrauen in Onlinedienste es gestatte, das Potenzial der digitalen Wirtschaft auszuschöpfen sowie „Wirtschaftswachstum und Wettbewerbsfähigkeit der EU“ zu steigern. Mit der Reform (und der fortschreitenden Harmonisierung) der Unionsregelung werde „die Binnenmarktdimension des Datenschutzes gefördert“(59).

81. Da der Wert der (personenbezogenen und nicht personenbezogenen) Daten für den wirtschaftlichen und sozialen Fortschritt in Europa auf der Hand liegt, zielt die DSGVO nicht darauf ab, dass die Kontrolle des Einzelnen über die ihn betreffenden Informationen zum Maß aller Dinge wird, indem sie sich schlicht seinen Präferenzen beugt, sondern sie soll das Recht auf Schutz der personenbezogenen Daten jedes Einzelnen mit den Interessen Dritter und der Gesellschaft in Einklang bringen(60).

82. Es ist hervorzuheben, dass die DSGVO nicht bezweckt, die Verarbeitung personenbezogener Daten systematisch zu begrenzen, sondern sie unter strengen Voraussetzungen legitimieren soll. Insoweit dient sie zunächst der Förderung des Vertrauens der betroffenen Person darauf, dass die Verarbeitung in einem sicheren Kontext erfolgen wird(61), wozu sie selbst beiträgt. Dadurch wird ihre freiwillige Bereitschaft gefördert, den Zugang zu ihren Daten und deren Nutzung u. a. bei Online-Geschäftsvorgängen zu gestatten.

C. Zweite Vorlagefrage

83. Das vorlegende Gericht möchte wissen, ob „für die Bemessung des Schadenersatzes neben den Grundsätzen der Effektivität und Äquivalenz weitere Vorgaben des Unionsrechts“ bestehen.

84. Der Grundsatz der Äquivalenz scheint hier im Grunde keine erhebliche Rolle zu spielen. Die harmonisierte Regelung der DSGVO findet in diesem Bereich unmittelbar Anwendung, und ihr Art. 82 gilt für alle immateriellen Schäden, die infolge eines Verstoßes eintreten, unabhängig von ihrem Ursprung.

85. Für den Grundsatz der Effektivität gilt die gleiche Überlegung. Es ist etwas anderes, dass die Entschädigung, anknüpfend an den Wortlaut des 146. Erwägungsgrundes der DSGVO (wonach die betroffenen Personen einen vollständigen und wirksamen Ersatz für den erlittenen Schaden erhalten sollten), irgendeinen Inhalt haben muss.

86. Art. 82 der DSGVO stellt außer der Verletzung ihrer Vorschriften keine weiteren Anforderungen auf, wenn sie zur Folge hat, dass einer Person materielle oder immaterielle Schäden entstehen. Was speziell die Berechnung der Höhe des Schadensersatzes anbelangt, macht sie den nationalen Gerichten keine Vorgaben.

87. Angesichts der beiden oben genannten Adjektive (vollständig und wirksam) hängt der Schadensersatz in erster Linie davon ab, was der jeweilige Kläger beantragt.

88. Beantragt er die Verurteilung zu Strafschadensersatz(62), würde die Antwort auf die erste Vorlagefrage ausreichen: Diese Art von Schadensersatz kommt in der DSGVO nicht vor. In ihrem Rahmen hat die zivilrechtliche Haftung eine „private“ Ausgleichsfunktion, während Geldbußen und strafrechtliche Sanktionen die öffentliche Funktion haben, abzuschrecken und gegebenenfalls zu strafen.

89. Es ist nicht auszuschließen, dass der begehrte Ersatz des immateriellen Schadens andere als rein finanzielle Komponenten umfasst, z. B. das Eingeständnis des Verstoßes, was dem Kläger eine gewisse moralische Befriedigung verschafft. Das Urteil des Gerichtshofs vom 15. April 2021(63) könnte, auch wenn es zu einem anderen Bereich als dem des Datenschutzes ergangen ist, analog herangezogen werden, um diesem Antrag zu entsprechen.

90. In den Rechtsordnungen, in denen es eine solche Regelung der zivilrechtlichen Haftung gibt, sieht sie möglicherweise Verurteilungen zur Verteidigung eines Rechts (Zahlung einer symbolischen Entschädigung) oder zur Neutralisierung eines ungerechtfertigten Vorteils (Einziehung des zu Unrecht erzielten Gewinns) vor.

91. Ersteren liegt der Gedanke zugrunde, dem Recht durch die Gewährung einer rein symbolischen Entschädigung zu Beständigkeit und Durchsetzung zu verhelfen („Rechtsfortsetzungsfunktion“), neben der Feststellung, dass der Beklagte widerrechtlich gehandelt und Rechte des Klägers verletzt hat. Art. 82 der DSGVO zieht diesen Gedanken nicht in Betracht, und auch in früheren Rechtsakten gibt es keinen Hinweis darauf, was nicht verwunderlich ist, weil es sich nicht um eine Gemeinsamkeit der Rechtssysteme der Mitgliedstaaten handelt(64) und weil er auch dort, wo es ihn gibt, nicht unumstritten ist(65).

92. Das System der DSGVO und ihre Ziele verbieten es jedoch nicht, dass die Mitgliedstaaten, in denen es diese Möglichkeit gibt, sie den von einem Normverstoß betroffenen Personen neben den in Art. 79 der DSGVO genannten Rechtsbehelfen für den Fall des völligen Fehlens eines Schadens anbieten. Die Situation, dass der Kläger geltend macht, einen finanziellen Schaden erlitten zu haben, ist dagegen in Art. 82 der DSGVO geregelt, und die Schwierigkeit, den Schaden nachzuweisen, darf nicht zu einer symbolischen Entschädigung führen(66).

93. Verurteilungen zur Herausgabe des durch die Verletzung eines Rechts erlangten Betrags können darauf abzielen, dem Schädiger den erzielten Gewinn zu entziehen. Außerhalb des Bereichs des geistigen Eigentums(67) ist dieser Zweck im Schadensrecht nicht verbreitet; es stellt stärker auf den Verlust des Geschädigten ab als auf den Gewinn des Schädigers(68). Im Wortlaut der DSGVO kommt sie nicht vor.

94. Diese Überlegungen sollen dem vorlegenden Gericht, angesichts des Umfangs seiner zweiten Vorlagefrage, die Aufgabe erleichtern. Ich verkenne jedoch nicht, dass ihr Nutzen für die Stattgabe oder die Abweisung einer Klage, in deren Rahmen die betroffene Person den Ersatz eines immateriellen Schadens rein finanzieller Art begehrt, gering sein kann.

D. Dritte Vorlagefrage

95. Das vorlegende Gericht möchte wissen, ob nach der DSGVO der Zuspruch immateriellen Schadens davon abhängt, dass eine „Rechtsverletzung von zumindest einigem Gewicht vorliegt, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgeht“.

96. Im Vorabentscheidungsersuchen wird als Kriterium dafür, was ersatzfähig ist, die Intensität der Erfahrung der betroffenen Person herangezogen. Dagegen wird (zumindest unmittelbar) nicht danach gefragt, ob eine bestimmte Emotion oder Empfindung der betroffenen Person nach ihrem Inhalt für die Zwecke von Art. 82 Abs. 1 der DSGVO relevant oder irrelevant ist(69).

97. Somit wird in Zweifel gezogen, ob die Mitgliedstaaten befugt sind, den Ersatz des immateriellen Schadens vom Wesen der Folgen des Verstoßes gegen die Norm abhängig zu machen und nur Folgen einzubeziehen, die einen bestimmten Schweregrad übersteigen. Die Frage betrifft daher weder die ersatzfähigen Schadensarten(70) noch die Höhe des Ersatzes, sondern geht dahin, ob es eine Untergrenze für die Reaktion der betroffenen Person gibt, unterhalb deren kein Ersatz geleistet wird.

98. Art. 82 der DSGVO bietet keine unmittelbare Antwort auf diese Frage. Sie lässt sich meines Erachtens auch nicht dem 75. und dem 85. Erwägungsgrund entnehmen. Beide enthalten eine beispielhafte Aufzählung von Schäden, an deren Ende eine Generalklausel steht, nach der Ersatzleistungen offenbar auf „erhebliche“ Nachteile beschränkt sind.

99. Ich glaube aber nicht, dass diese Erwägungsgründe hilfreich sind, um den Zweifel des vorlegenden Gerichts auszuräumen:

– Der erste betrifft die Ermittlung und Bewertung der Risiken einer Verarbeitung von Daten und den Erlass von Maßnahmen zu ihrer Vermeidung oder Eindämmung. Er veranschaulicht die unerwünschten Folgen jeder Verarbeitung und hebt „insbesondere“ einige von ihnen hervor, sicher wegen ihrer besonderen Schwere.

– Der zweite betrifft Verletzungen des Datenschutzes und stellt darauf ab, dass deren Folgen erheblich sein können.

100. Auch dem 146. Erwägungsgrund der DSGVO (die Verantwortlichen sollten jegliche Schäden ersetzen)(71) lassen sich keine Kriterien entnehmen, die es ermöglichen, diese Frage zu beantworten.

101. Die Aufnahme dieses Erwägungsgrundes in die DSGVO zeigt, dass sie explizit immaterielle Schäden einbezieht, während die Richtlinie 95/46 zu diesem Punkt schwieg(72). Speziell auf die hier vom Gerichtshof zu klärende Frage wird aber nicht eingegangen.

102. Im 146. Erwägungsgrund der DSGVO heißt es weiter: „Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht.“

103. Ich bin nicht sicher, ob diese Angabe im Kontext des Datenschutzes von größerem Nutzen war, da sich der Gerichtshof zu diesem Thema noch nicht geäußert hatte, als die DSGVO erlassen wurde(73). Hätte man Urteile über die in anderen Richtlinien oder Verordnungen geregelte zivilrechtliche Haftung heranziehen wollen, wäre eine Anordnung der Analogie wünschenswert gewesen.

104. Der Sache nach gibt es keine allgemeine, in jedem Bereich unterschiedslos anwendbare Definition des Begriffs „Schaden“ durch den Gerichtshof(74). In Bezug auf den hier relevanten Aspekt (immaterielle Schäden) lässt sich aus seiner Rechtsprechung Folgendes ableiten:

– Besteht das Ziel (oder eines der Ziele) der auszulegenden Bestimmung im Schutz des Einzelnen oder einer bestimmten Kategorie von Personen(75), ist der Begriff des Schadens weit zu verstehen.

– Im Einklang mit diesem Kriterium erstreckt sich der Schadensersatz auf immaterielle Schäden, auch wenn sie in der ausgelegten Bestimmung nicht erwähnt werden(76).

105. Der Rechtsprechung des Gerichtshofs lässt sich zwar entnehmen, dass es im Unionsrecht einen Grundsatz des Ersatzes immaterieller Schäden gibt, doch glaube ich nicht, dass aus ihr eine Regel abgeleitet werden kann, wonach jeder immaterielle Schaden, unabhängig von seiner Schwere, ersatzfähig ist.

106. Der Gerichtshof hat die Vereinbarkeit nationalen Rechts, wonach bei der Berechnung des Schadensersatzes zwischen immateriellen Schäden aufgrund unfallbedingter körperlicher Verletzungen nach der Ursache des Unfalls unterschieden wird, mit dem Unionsrecht bejaht(77).

107. Er hat sich ferner damit befasst, welche Umstände nach der in der jeweiligen Rechtssache anwendbaren Bestimmung zu immateriellen Schäden führen können(78), aber sich (meines Wissens) nicht ausdrücklich zum Erfordernis der Schwere solcher Schäden geäußert(79).

108. Aufgrund dieser Erkenntnisse bin ich der Ansicht, dass die dritte Vorlagefrage zu bejahen ist.

109. Zur Untermauerung meines Standpunkts weise ich darauf hin, dass die DSGVO nicht allein zur Wahrung des Grundrechts auf Schutz personenbezogener Daten dient(80) und dass ihr System von Garantien verschiedenartige Mechanismen enthält(81).

110. In diesem Kontext ist die dem Gerichtshof unterbreitete Unterscheidung zwischen entschädigungsfähigen immateriellen Schäden und anderen, durch die Missachtung des Gebots rechtmäßigen Handelns entstandenen Nachteilen, die aufgrund ihrer geringen Bedeutung nicht zwangsläufig zu einem Ausgleichsanspruch führen, relevant.

111. Eine solche Aufspaltung wird in nationalen Rechtsordnungen als unvermeidliche Folge des Lebens in einer Gesellschaft angesehen(82). Dem Gerichtshof ist dieser Unterschied, den er anerkennt, wenn er Störungen und Belästigungen in Bereichen, in denen sie seines Erachtens ausgeglichen werden müssen, als eine gegenüber Schäden eigenständige Kategorie bezeichnet(83), nicht fremd. Nichts hindert daran, dies auf die DSGVO zu übertragen.

112. Im Übrigen scheint mir der in Art. 82 Abs. 1 der DSGVO vorgesehene Anspruch auf Schadensersatz nicht das geeignete Instrument zu sein, um gegen Verstöße bei der Verarbeitung personenbezogener Daten vorzugehen, wenn sie bei der betroffenen Person lediglich zu Zorn oder Ärger führen.

113. Im Allgemeinen wird jeder Verstoß gegen eine Norm über den Schutz personenbezogener Daten zu einer negativen Reaktion der betroffenen Person führen. Ein Schadensersatz, der sich aus einem bloßen Unmutsgefühl wegen der Nichtbeachtung des Rechts durch einen anderen ergibt, kommt dem von mir bereits abgelehnten Schadensersatz ohne Schaden recht nahe.

114. In praktischer Hinsicht wäre die Einbeziehung bloßen Ärgers in die ersatzfähigen immateriellen Schäden ineffizient, bedenkt man die charakteristischen Nachteile und Schwierigkeiten, die mit einer gerichtlichen Geltendmachung für den Kläger(84) und mit der Verteidigung für den Beklagten(85) verbunden sind.

115. Verneint man einen Schadensersatz für die schwachen und vorübergehenden Gefühle oder Emotionen(86) im Zusammenhang mit Verstößen gegen Vorschriften über die Datenverarbeitung, wird die betroffene Person dadurch nicht völlig rechtlos gestellt. Wie ich im Rahmen der ersten Frage ausgeführt habe, bietet ihr das System der DSGVO andere Rechtsbehelfe.

116. Mir ist bewusst, dass die Grenze zwischen bloßem (nicht ersatzfähigem) Ärger und echten (ersatzfähigen) immateriellen Schäden unscharf ist, und mir ist klar, dass es kompliziert ist, die beiden Kategorien abstrakt voneinander abzugrenzen und sie konkret in einem Rechtsstreit anzuwenden. Diese schwierige Aufgabe obliegt den Gerichten der Mitgliedstaaten, die sich wahrscheinlich bei ihren Entscheidungen der jeweiligen Wahrnehmung der zulässigen Toleranz in Bezug darauf, wann die subjektiven Folgen der Verletzung einer Norm in diesem Bereich unter einer De-minimis-Schwelle bleiben, nicht werden entziehen können(87).

V. Ergebnis

117. Nach alledem schlage ich vor, dem Obersten Gerichtshof (Österreich) wie folgt zu antworten:

Art. 82 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist wie folgt auszulegen:

Für die Anerkennung eines Anspruchs auf Ersatz des Schadens, den eine Person infolge eines Verstoßes gegen die genannte Verordnung erlitten hat, reicht die bloße Verletzung der Norm als solche nicht aus, wenn mit ihr keine entsprechenden materiellen oder immateriellen Schäden einhergehen.

Der in der Verordnung 2016/679 geregelte Ersatz immaterieller Schäden erstreckt sich nicht auf bloßen Ärger, zu dem die Verletzung ihrer Vorschriften bei der betroffenen Person geführt haben mag. Es ist Sache der nationalen Gerichte, herauszuarbeiten, wann das subjektive Unmutsgefühl aufgrund seiner Merkmale im Einzelfall als immaterieller Schaden angesehen werden kann.

1 Originalsprache: Spanisch.

2 Verordnung des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1) (im Folgenden: DSGVO).

3 Richtlinie des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. 1995, L 281, S. 31).

4 Laut einem Bericht der Agentur der Europäischen Union für Grundrechte (FRA), Access to data protection remedies in the EU Member States, Amt für Veröffentlichungen der Europäischen Union, 2013, Abschnitte 3 und 4.

5 Die gesetzliche Anerkennung dieses Anspruchs ist zum großen Teil eine Besonderheit des Rechtsschutzsystems der Union. Bei der Analyse der Gültigkeit von Rechtsinstrumenten für die Übermittlung personenbezogener Daten an Drittländer wird speziell berücksichtigt, ob es eine Vorschrift mit dieser Zielsetzung gibt. Vgl. Rn. 226 und 227 des Gutachtens 1/15 vom 26. Juli 2017 (PNR-Abkommen EU–Kanada, EU:C:2017:592) sowie die Urteile vom 16. Juli 2020, Facebook Ireland und Schrems (C‑311/18, EU:C:2020:559), und vom 21. Juni 2022, Ligue des droits humains (C‑817/19, EU:C:2022:491).

6 Zum Zeitpunkt der Erstellung dieser Schlussanträge gibt es sieben weitere Vorabentscheidungsersuchen zu diesem Bereich (Rechtssachen C‑340/21, C‑667/21, C‑687/21, C‑741/21, C‑182/22, C‑189/22 und C-456/22). Parallel dazu ist der Petitionsausschuss des Europäischen Parlaments „um eine Klärung der Erwägungsgründe der DSGVO, insbesondere mit Blick auf immaterielle Schäden, [ersucht worden,] um weitere Fehlurteile der deutschen Gerichte zu vermeiden“ (Petition Nr. 0386/2021).

7 Es gab jedoch dem Unterlassungsbegehren statt; dies wurde im Berufungsverfahren bestätigt. Der dagegen gerichteten Revision der Österreichischen Post wurde nicht Folge gegeben.

8 Ich verwende diesen Terminus in dem Sinne, den er nach Art. 4 Nr. 1 der DSGVO hat.

9 Bisweilen muss die betroffene Person gar nicht nachweisen, dass sie nicht eingewilligt hat, denn Art. 7 Abs. 1 der DSGVO lautet: „Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.“ Dagegen ist es erforderlich, dass der Kläger Angaben macht, die es ermöglichen, den Schaden zu beziffern.

10 In der spanischen und der portugiesischen Fassung werden die Begriffe „indemnización“ bzw. „indemnização“ verwendet. Sehr expressiv ist auch „Schadenersatz“ in der deutschen Fassung. In der französischen Fassung heißt es nicht „indemnisation“, sondern „réparation“, und in der englischen Fassung „compensation“. Meines Erachtens ist in jeder dieser und in anderen analogen Fassungen das Ergebnis gleich: Der Schaden ist ein unerlässliches Element der zivilrechtlichen Haftung.

11 146. Erwägungsgrund der DSGVO. Der Schadensersatz dient zur Wiederherstellung der durch den Rechtsverstoß negativ beeinflussten („geschädigten“) Rechtslage.

12 Der Strafschadensersatz (punitive damages) ist charakteristisch für die angelsächsische Rechtsordnung. In anderen Rechtsordnungen kommt er als Reaktion auf besonders verwerfliches oder grob fahrlässiges Verhalten zum Einsatz. Bisweilen steht er in Verbindung mit der Beurteilung immaterieller Schäden infolge der Verletzung der körperlichen Unversehrtheit oder der Privatsphäre des Einzelnen.

13 Urteil vom 13. Juli 2006, Manfredi u. a. (C‑295/04 bis C‑298/04, EU:C:2006:461, Rn. 92): „Was die Zuerkennung von Schadensersatz und die eventuelle Gewährung von Strafschadensersatz betrifft, so ist die Bestimmung der Kriterien für die Ermittlung des Umfangs des Schadensersatzes in Ermangelung einschlägiger Gemeinschaftsvorschriften Aufgabe des innerstaatlichen Rechts des einzelnen Mitgliedstaats, wobei der Äquivalenz- und der Effektivitätsgrundsatz zu beachten sind.“ Hervorhebung nur hier.

14 Urteil vom 11. Oktober 2007, Paquay (C‑460/06, EU:C:2007:601, Rn. 44 ff.), zu Art. 6 der Richtlinie 76/207/EWG des Rates vom 9. Februar 1976 zur Verwirklichung des Grundsatzes der Gleichbehandlung von Männern und Frauen hinsichtlich des Zugangs zur Beschäftigung, zur Berufsbildung und zum beruflichen Aufstieg sowie in Bezug auf die Arbeitsbedingungen (ABl. 1976, L 39, S. 40).

15 Art. 28 der Richtlinie 2004/109/EG des Europäischen Parlaments und des Rates vom 15. Dezember 2004 zur Harmonisierung der Transparenzanforderungen in Bezug auf Informationen über Emittenten, deren Wertpapiere zum Handel auf einem geregelten Markt zugelassen sind, und zur Änderung der Richtlinie 2001/34/EG (ABl. 2004, L 390, S. 38); Art. 25 der Richtlinie 2006/54/EG des Europäischen Parlaments und des Rates vom 5. Juli 2006 zur Verwirklichung des Grundsatzes der Chancengleichheit und Gleichbehandlung von Männern und Frauen in Arbeits- und Beschäftigungsfragen (ABl. 2006, L 204, S. 23).

16 So der 26. Erwägungsgrund der Richtlinie 2004/48/EG des Europäischen Parlaments und des Rates vom 29. April 2004 zur Durchsetzung der Rechte des geistigen Eigentums (ABl. 2004, L 157, S. 45, berichtigt in ABl. 2004, L 195, S. 16). In diesem Fall ist die Einführung einer solchen Maßnahme nicht verboten, aber auch nicht obligatorisch (Urteil vom 25. Januar 2017, Stowarzyszenie Oławska Telewizja Kablowa, C‑367/15, EU:C:2017:36, Rn. 28).

17 Art. 3 Abs. 3 der Richtlinie 2014/104/EU des Europäischen Parlaments und des Rates vom 26. November 2014 über bestimmte Vorschriften für Schadensersatzklagen nach nationalem Recht wegen Zuwiderhandlungen gegen wettbewerbsrechtliche Bestimmungen der Mitgliedstaaten und der Europäischen Union (ABl. 2014, L 349, S. 1); Erwägungsgründe 10 und 42 der Richtlinie (EU) 2020/1828 des Europäischen Parlaments und des Rates vom 25. November 2020 über Verbandsklagen zum Schutz der Kollektivinteressen der Verbraucher und zur Aufhebung der Richtlinie 2009/22/EG (ABl. 2020, L 409, S. 1), die sich auf den Bereich des Datenschutzes erstreckt.

18 Als Beispiel sei Art. 18 Abs. 2 der Verordnung (EG) Nr. 1768/95 der Kommission vom 24. Juli 1995 über die Ausnahmeregelung gemäß Artikel 14 Absatz 3 der Verordnung (EG) Nr. 2100/94 über den gemeinschaftlichen Sortenschutz (ABl. 1995, L 173, S. 14) genannt, wonach die Schadensersatzpflicht „mindestens einen Pauschalbetrag [umfasst], der auf der Grundlage des Vierfachen des Durchschnittsbetrages der [verlangten] Gebühr berechnet wird“.

19 Siehe unten, Nr. 47.

20 Ich verwende die Begriffe „öffentliche Rechtsdurchsetzung“ und „private Rechtsdurchsetzung“ hier in dem Sinne, in dem sie in der Richtlinie 2014/104 gebraucht werden.

21 Im 55. Erwägungsgrund der Richtlinie 95/46 wird der Inhalt ihres Kapitels III („Rechtsbehelfe, Haftung und Sanktionen“) angekündigt. Ihre Art. 22, 23 und 24 befassen sich nacheinander mit diesen Themen. Kapitel VI war den Kontrollstellen gewidmet.

22 Der Gerichtshof hat die zentrale Rolle dieser Stellen z. B. in seinem Urteil vom 9. März 2010, Kommission/Deutschland (C‑518/07, EU:C:2010:125, Rn. 23), bestätigt. Auf sie wird in Art. 8 Abs. 3 der Charta der Grundrechte der Europäischen Union (im Folgenden: Charta) und in Art. 16 Abs. 2 AEUV in fine Bezug genommen.

23 Für Estland und Dänemark gilt eine Sonderregelung, auf die im 151. Erwägungsgrund der DSGVO hingewiesen wird.

24 Obwohl in der DSGVO die Bedeutung der privaten Durchsetzung der Normen nicht, wie im dritten Erwägungsgrund der Richtlinie 2014/104, unmittelbar erwähnt wird.

25 Die Möglichkeit kollektiver Klagen gab es schon vor der DSGVO (Urteil vom 29. Juli 2019, Fashion ID, C‑40/17, EU:C:2019:629). Nach Art. 80 Abs. 1 der DSGVO können Einrichtungen zur Verteidigung der betroffenen Personen im Bereich des Schadensersatzes nicht tätig werden, es sei denn, die Mitgliedstaaten sehen dies vor und die betroffene Person erteilt den erforderlichen Auftrag. Die Situation kann sich durch die Richtlinie 2020/1828 ändern.

26 Wie Generalanwalt Richard de la Tour in seinen Schlussanträgen in der Rechtssache Meta Platforms Ireland (C‑319/20, EU:C:2021:979) ausführt, dient das Vorgehen gemäß Art. 80 der DSGVO dem Schutz individueller und allgemeiner Interessen. Diese Rechtssache betraf eine Unterlassungsklage.

27 Speziell in Mitgliedstaaten, die Verurteilungen zum Ersatz immaterieller Schäden ohne entsprechende Rechtsvorschrift nur zögerlich gestatten.

28 Wie die Passivlegitimation, die Befreiungsgründe und die Regelung für die Haftung der gemeinsam für die Verarbeitung Verantwortlichen und der Auftragsverarbeiter. In einem Ratsdokument wird die Frage der belgischen Delegation wiedergegeben, „whether a violation of the principles of the Regulation was enough to constitute a damage or whether the data subject had to prove a specific damage“. Die Kommission antwortete, dass der Nachweis des Schadens erforderlich sei; vgl. erstmals die Note der Präsidentschaft Nr. 17831/13 vom 16. Dezember 2013, Fn. 541. Es gibt keinen Beleg dafür, dass diese Frage Gegenstand einer größeren Debatte war.

29 Ich verweise auf die Vorarbeiten vor dem Erlass der Richtlinien 2004/48 und 2014/104. Eine Auslegung, mit der Art. 82 der DSGVO auf Strafschadensersatz erstreckt würde, hätte erhebliche Konsequenzen für die Mitgliedstaaten: Sie müssten sich z. B. damit befassen, wer den als Sanktion fungierenden Schadensersatz erhalten soll, wie dieser zu bemessen ist, damit das Ziel erreicht wird, und wie er mit Verwaltungsgeldbußen und strafrechtlichen Sanktionen in Einklang zu bringen ist, um eine übermäßige Bestrafung zu vermeiden.

30 Diese „anderen Sanktionen“ straf- oder verwaltungsrechtlicher Art sind nicht harmonisiert. Wie Geldbußen müssen sie „wirksam, verhältnismäßig und abschreckend“ sein (Art. 84 Abs. 1 in fine).

31 Ich schließe nicht aus, dass abstrakt gesehen einige von ihnen auch für den Bereich der zivilrechtlichen Haftung gelten können (ich denke z. B. an die „Vorsätzlichkeit oder Fahrlässigkeit“ der Rechtsverletzung, Art. 83 Abs. 2 Buchst. b der DSGVO) oder sich im Schadensersatz widerspiegeln können (wie die „Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind“, Art. 83 Abs. 2 Buchst. g). Auch in diesen Fällen findet aber keine automatische Übertragung des jeweiligen Faktors von einem Bereich auf den anderen statt.

32 Art. 83 Abs. 2 Buchst. a der DSGVO.

33 Weder als Berechnungsparameter noch als Abzugsfaktor.

34 Art. 1 der DSGVO sowie ihre Erwägungsgründe 6, 9 und 170. Nach dem neunten Erwägungsgrund waren dies die Ziele der Richtlinie 95/46, die nach wie vor Gültigkeit besitzen. Es wird häufig betont, dass nach der Richtlinie 95/46 das Ziel des freien Verkehrs personenbezogener Daten Vorrang vor dem Ziel ihres Schutzes hatte, während in der DSGVO das Gegenteil der Fall ist; dies dürfte mit der förmlichen Anerkennung des Rechts in Art. 8 der Charta zusammenhängen, die auf die Neuregelung ausstrahlen musste. Aus Art. 1 der DSGVO geht jedoch klar hervor, dass der Schutz personenbezogener Daten mit ihrem freien Verkehr in Einklang gebracht werden soll. Dies bedeutet natürlich, dass unter Vermeidung von Hindernissen, die sich aus der Rechtszersplitterung ergeben, ein gleiches Schutzniveau in allen Mitgliedstaaten angestrebt werden muss, aber auch, dass das Zögern von Privatpersonen, personenbezogene Daten zum Zweck ihrer Verarbeitung zu teilen oder bereitzustellen, durch die Schaffung von Vertrauen in ihren Schutz überwunden wird.

35 Die irische Regierung führt in Nr. 53 ihrer Erklärungen aus: „… very many claims for compensation under Article 82 GDPR arise in the context of very minor, marginal or speculative non-material damage“ (Hervorhebung nur hier). In Deutschland wird im Schrifttum vor der Gefahr der missbräuchlichen Geltendmachung von Forderungen gewarnt und darauf hingewiesen, dass die Entstehung einer „datenschutzrechtlichen Klageindustrie“ verhindert werden müsse: Wybitul, T., Neu, L., Strauch, M., „Schadensersatzrisiken für Unternehmen bei Datenschutzverstößen“, Zeitschrift für Datenschutz, 2018, S. 202 ff., speziell S. 206; Paal, B. P., Kritzer, I, „Geltendmachung von DS-GVO-Ansprüchen als Geschäftsmodell“, Neue Juristische Wochenschrift, 2022, S. 2433 ff.

36 Ein Anstoß- oder Multiplikatoreffekt erfolgreicher zivilrechtlicher Haftungsklagen ohne Schaden ist nicht auszuschließen. Dies würde die Wahrscheinlichkeit erhöhen, dass die Wirtschaftsteilnehmer mit kollektiven Klagen oder einer Vielzahl (unter Umständen mehr oder weniger missbräuchlicher) Individualklagen konfrontiert würden, neben der etwaigen Verwaltungs- oder Strafsanktion.

37 Die Erklärungen der Parteien beschränken sich darauf, dies in den Raum zu stellen, ohne nähere Ausführungen dazu zu machen. Beispielsweise wird nichts dazu gesagt, ob die Vermutung absolut oder widerlegbar wäre. Die erste Möglichkeit entspricht der Frage des vorlegenden Gerichts am besten, so dass ich mich auf sie beschränken werde.

38 Vgl. Art. 7 der Verordnung (EG) Nr. 261/2004 des Europäischen Parlaments und des Rates vom 11. Februar 2004 über eine gemeinsame Regelung für Ausgleichs- und Unterstützungsleistungen für Fluggäste im Fall der Nichtbeförderung und bei Annullierung oder großer Verspätung von Flügen und zur Aufhebung der Verordnung (EWG) Nr. 295/91 (ABl. 2004, L 46, S. 1) oder Art. 19 der Verordnung (EU) Nr. 1177/2010 des Europäischen Parlaments und des Rates vom 24. November 2010 über die Fahrgastrechte im See- und Binnenschiffsverkehr und zur Änderung der Verordnung (EG) Nr. 2006/2004 (ABl. 2010, L 334, S. 1).

39 Genannt seien nur die Abs. 3 und 4 von Art. 82 der DSGVO selbst.

40 „… wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren …“

41 „Eine Verletzung des Schutzes personenbezogener Daten kann [den] Verlust der Kontrolle [der natürlichen Personen] über ihre personenbezogenen Daten [nach sich ziehen] …“

42 Die in diesem Erwägungsgrund aufgezählten Folgen treten nicht automatisch ein. Nach Art. 34 der DSGVO muss der für die Verarbeitung Verantwortliche in jedem Fall abwägen, ob es erforderlich ist, die betroffene Person von der Verletzung zu benachrichtigen.

43 Emotionale Folgen des Verlusts der Kontrolle über die Daten – wie die Angst oder Besorgnis, was mit ihnen geschehen mag – ergeben sich aus dem Verlust, sind aber nicht mit ihm identisch.

44 Einige Mitgliedstaaten hatten in Bereichen, die dem des Datenschutzes verwandt sind, eine Schadensvermutung vorgesehen. So bestimmte in Spanien Art. 9 Abs. 3 der Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen (Ley Orgánica 1/1982 vom 5. Mai über den zivilrechtlichen Schutz des Rechts auf Ehre, des Rechts auf persönliche und familiäre Intimsphäre und des Rechts am eigenen Bild, BOE Nr. 115 vom 14. Mai 1982, S. 12546 bis 12548): „Sofern der rechtswidrige Eingriff [in die durch dieses Gesetz garantierten Rechte] nachgewiesen ist, wird das Vorliegen eines Schadens vermutet.“

45 In diesem Rechtsstreit knüpft die Regelwidrigkeit des Verhaltens bekanntlich gerade daran an, dass die Einwilligung der betroffenen Person fehlt. Die Argumente zum Platz des Schadensersatzes unter den Garantien dafür, dass die Garantien der DSGVO eingehalten werden, gelten hier in gleicher Weise.

46 Es handelt sich allerdings nur um eine der Grundlagen für eine rechtmäßige Verarbeitung, wobei alle in der DSGVO aufgezählten Grundlagen gleichwertig sind. Vgl. die am 9. April 2014 angenommene Stellungnahme 06/2014 der Artikel-29-Datenschutzgruppe zum Begriff des berechtigten Interesses des für die Verarbeitung Verantwortlichen gemäß Artikel 7 der Richtlinie 95/46/EG, S. 10 f. Der Verantwortliche darf die Grundlage der Verarbeitung allerdings nicht ändern, nachdem er mit ihr begonnen hat: Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung (EU) 2016/679, Rn. 121 bis 123.

47 Art. 17 Abs. 1 der DSGVO. Das bedeutet nicht, dass kein Anspruch auf Ersatz etwaiger durch die Verarbeitung der Daten vor ihrer Löschung entstandener Schäden besteht.

48 Urteil vom 13. Mai 2014, Google Spain und Google (C‑131/12, EU:C:2014:317, Nr. 4 des Tenors).

49 Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) (KOM[2012] 11 endg., S. 2, und sechster Erwägungsgrund des vorgeschlagenen Textes). Vgl. auch Nr. 2 der Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, „Der Schutz der Privatsphäre in einer vernetzten Welt. Ein europäischer Datenschutzrahmen für das 21. Jahrhundert“ (KOM[2012] 9 endg.).

50 Dieses Schweigen ist meines Erachtens nicht zufällig. Über die begrifflichen Abhandlungen zur Inhaberschaft an personenbezogenen Daten hinaus geht es darum, ob die Kontrolle natürlicher Personen über ihre Daten darauf hinausläuft, dass sie eigentumsrechtliche Befugnisse an den sie betreffenden Informationen haben (was wahrscheinlich nicht mit den Interessen Dritter und der Gesamtgesellschaft vereinbar wäre). Die Empfehlung, Eigentumsrechte an personenbezogenen Daten anzuerkennen, findet sich in der Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses zum Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über europäische Daten-Governance (Daten-Governance-Gesetz), COM(2020) 767 final (ABl. 2021, C 286, S. 38), in Abschnitt 4.18: „Der EWSA empfiehlt …, europäische Eigentumsrechte an digitalen Daten anzuerkennen, damit die Bürgerinnen und Bürger (Arbeitnehmer, Verbraucher, Unternehmer) die Nutzung ihrer Daten kontrollieren und verwalten oder ihre Nutzung untersagen können“ (Hervorhebung nur hier). Dagegen wird in Abrede gestellt, dass es sich bei den Daten um eine Ware handelt (siehe unten, Fn. 53 in fine).

51 In der spanischen Fassung heißt es: „Las personas físicas deben tener el control de sus propios datos personales“ (Hervorhebung nur hier). Die englische Fassung lautet: „Natural persons should have control of their own personal data“ (und nicht the control). In anderen Fassungen wie der portugiesischen heißt es: „As pessoas singulares deverão poder controlar a utilização que é feita dos seus dados pessoais.“ Nach Art. 4 der DSGVO erstreckt sich die Kontrolle über die personenbezogenen Daten auf die Informationen, die sie repräsentieren. Die Kontrolle über die Verwendung der Daten würde sich eher auf ihre Verarbeitung erstrecken.

52 In der Praxis beschränkt sich die Einwilligung darauf, den Vorschlag der Person, die die Daten verarbeiten möchte, anzunehmen oder abzulehnen.

53 Ich schließe nicht aus, dass die Entwicklung der rechtlichen Regelung dahin geht, der betroffenen Person Eigentumsrechte zuzuerkennen. Ich bezweifle aber, dass damit die Maximierung der individuellen Kontrolle verbunden sein wird: Die Herrschaftsmacht der betroffenen Person über die personenbezogenen Daten könnte schwer mit Fortschritten im Bereich von Wirtschaft und Innovation in Einklang zu bringen sein, und ihre Vereinbarkeit mit der Grundrechtsdimension wäre fraglich. Vgl. den 24. Erwägungsgrund der Richtlinie (EU) 2019/770 des Europäischen Parlaments und des Rates vom 20. Mai 2019 über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen (ABl. 2019, L 136, S. 1): „Obwohl in vollem Umfang anerkannt wird, dass der Schutz personenbezogener Daten ein Grundrecht ist und daher personenbezogene Daten nicht als Ware betrachtet werden können …“ Hervorhebung nur hier.

54 Formulierungen, wie sie im Vermerk des Präsidiums – Entwurf der Charta der Grundrechte der Europäischen Union, Charte 4284/1/00 REV 1 vom 11. Mai 2000 für Art. 19 vorgeschlagen wurden („Everyone has the right to determine for himself whether his personal data may be disclosed and how they may be used.“), haben sich nicht durchgesetzt. Das Gleiche gilt für die Fassung dieser Bestimmung im Vermerk des Präsidiums – Entwurf der Charta der Grundrechte der Europäischen Union, Charte 4333/00 vom 4. Juni 2000 („Everyone has the right to determine whether data of a personal nature concerning himself may be collected, how they may be used and whether they may be disclosed.“). Auf nationaler Ebene ist in einigen Mitgliedstaaten der Gedanke der informationellen Selbstbestimmung entwickelt worden, etwa in Deutschland mit der Entscheidung des Bundesverfassungsgerichts vom 15. Dezember 1983, 1 BvR 209/83. In Spanien vgl. z. B. das Urteil 292/2000 des Tribunal Constitucional vom 30. November 2000 (BOE vom 4. Januar 2001). Ich bin nicht sicher, was für den Fall der Union gilt, wobei die Schlussanträge von Generalanwalt Szpunar in der Rechtssache Orange Romania (C‑61/19, EU:C:2020:158, Nr. 37), in denen speziell auf die deutsche Lehre Bezug genommen wurde, in diese Richtung gehen: „Das Datenschutzrecht der Union beruht auf dem Leitprinzip einer selbstbestimmten Entscheidung eines Individuums, das selbst über die Nutzung und Verarbeitung seiner Daten entscheiden kann.“

55 Entwurf eines Berichts über den Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung), COM(2012)0011 – C7‑0025/2012 – 2012/0011(COD), PE501.927v04-00 vom 16. Januar 2013, Änderungsantrag 29.

56 Ich will damit nicht sagen, dass der Regelverstoß ungeahndet bleiben soll; ich meine nur, dass Schadensersatz nicht das geeignete Mittel ist, wenn kein Schaden eingetreten ist.

57 Abgesehen davon, dass es als solches ein Ziel der DSGVO ist, dem Einzelnen die Kontrolle über seine Daten zu verschaffen, schließe ich nicht aus, den Verlust der Kontrolle als Leitfaden für die Anerkennung immaterieller Schäden zu betrachten, und zwar in dem Sinne, dass die Reaktionen berücksichtigt werden, die auf einen solchen Verlust folgen.

58 Siehe Nr. 51 der vorliegenden Schlussanträge. Der freie Datenverkehr ist im Zusammenhang mit nicht personenbezogenen Daten das einzige Ziel: Art. 1 der Verordnung (EU) 2018/1807 des Europäischen Parlaments und des Rates vom 14. November 2018 über einen Rahmen für den freien Verkehr nicht-personenbezogener Daten in der Europäischen Union (ABl. 2018, L 303, S. 59).

59 Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, „Der Schutz der Privatsphäre in einer vernetzten Welt. Ein europäischer Datenschutzrahmen für das 21. Jahrhundert“ (KOM[2012] 9 endg., Nr. 1). Ferner heißt es dort auf S. 5, dass „Vorbehalte in Bezug auf den Schutz der Privatsphäre zu den häufigsten Gründen [zählen], warum Menschen keine Waren und Dienstleistungen online kaufen“.

60 Nach ihrem zweiten Erwägungsgrund soll die DSGVO „zur Vollendung eines Raums der Freiheit, der Sicherheit und des Rechts und einer Wirtschaftsunion, zum wirtschaftlichen und sozialen Fortschritt, zur Stärkung und zum Zusammenwachsen der Volkswirtschaften innerhalb des Binnenmarkts sowie zum Wohlergehen natürlicher Personen beitragen“. Im vierten Erwägungsgrund heißt es: „Das Recht auf Schutz der personenbezogenen Daten ist kein uneingeschränktes Recht; es muss im Hinblick auf seine gesellschaftliche Funktion gesehen … werden.“ So auch das Urteil vom 24. September 2019, Google (Räumliche Reichweite der Auslistung) (C‑507/17, EU:C:2019:772, Rn. 60 und die dort angeführte Rechtsprechung).

61 Diese Zielsetzung ist dem zur Stärkung des Binnenmarkts für Daten dienenden Regelungsrahmen gemeinsam. In diesem Sinne wird in Abschnitt 1 der Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, „Eine europäische Datenstrategie“, COM(2020) 66 final, ausgeführt: „In einer Gesellschaft, in der jeder Einzelne immer größere Datenmengen erzeugt, muss die Art und Weise, wie Daten gesammelt und verwendet werden, zuallererst den Interessen des Einzelnen entsprechen – ganz im Einklang mit den europäischen Werten, Grundrechten und Vorschriften. Die Bürgerinnen und Bürger werden sich nur dann auf datengetriebene Innovationen einlassen und ihnen Vertrauen entgegenbringen, wenn sie zuversichtlich sind, dass bei jeder Weitergabe personenbezogener Daten in der EU die strengen EU-Datenschutzvorschriften strikt eingehalten werden.“

62 Das vorlegende Gericht scheint der Gesichtspunkt zu beschäftigen (Vorlagebeschluss, Nr. 5 der Begründung der Vorlagefragen), dass der Schadensersatz wegen der in der DSGVO vorgesehenen hohen Geldbußen ohnehin Strafcharakter habe, so dass deren Wirksamkeit keine hohen Entschädigungen für immaterielle Schäden erfordere.

63 Rechtssache C‑30/19, Braathens Regional Aviation (EU:C:2021:269). Dort wird in Rn. 49 ausgeführt, dass „die Zahlung eines Geldbetrags nicht [ausreicht], um dem Anliegen einer Person gerecht zu werden, der es vor allem darum geht, zur Wiedergutmachung des von ihr erlittenen immateriellen Schadens feststellen zu lassen, dass sie Opfer einer Diskriminierung war, so dass insoweit nicht davon ausgegangen werden kann, dass diese Zahlung eine hinreichende Wiedergutmachungsfunktion hat“. Diese Rechtssache betraf die Richtlinie 2000/43/EG des Rates vom 29. Juni 2000 zur Anwendung des Gleichbehandlungsgrundsatzes ohne Unterschied der Rasse oder der ethnischen Herkunft (ABl. 2000, L 180, S. 22).

64 Vgl. Magnus, U., „Comparative Report on the Law of Damages“, in Unification of Tort Law: Damages, Kluwer Law International, 2001, S. 187, Abs. 14 und 15.

65 Typischerweise in Common-Law-Systemen, insbesondere in den Vereinigten Staaten, wo die Forderung nach einem symbolischen Ausgleich als letztes Mittel zur Verteidigung von Verfassungsrechten erscheint. Zu einer zusammenfassenden Darstellung der Debatten über seinen Nutzen in diesem Land vgl. Grealish, M.‑B., „A Dollar for Your Thoughts: Determining Whether Nominal Damages Prevent an Otherwise Moot Case from Being an Advisory Opinion“, in Fordham L. Rev., Bd. 87, S. 733, und kürzlich die Entscheidung des Supreme Court (Oberster Gerichtshof) der Vereinigten Staaten vom 8. März 2021 in der Rechtssache Uzuegbunam/Preczewski. Desgleichen werden die nominal damages im Vereinigten Königreich nicht widerstandslos akzeptiert: In der Praxis hängt das Interesse an einer Verurteilung zu nominal damages davon ab, dass der Begünstigte für die Zwecke der Aufteilung der Gerichtskosten als obsiegend betrachtet wird, auch wenn dies seit der Entscheidung Anglo-Cyprian Trade Agencies Ltd/Paphos Wine Industries Ltd [1951] 1 All ER 873 kein Automatismus ist.

66 Der Gerichtshof hat im Rahmen des (damaligen) Art. 215 EWG-Vertrag den Nachweis des Schadens auch dann verlangt, wenn der Kläger angesichts des Problems seines Nachweises eine symbolische Entschädigung verlangte (Urteil vom 21. Mai 1976, Roquette Frères/Kommission, 26/74, EU:C:1976:69, Rn. 23 und 24).

67 Im Kontext des geistigen Eigentums dient die Entschädigung als Reaktion auf den Normverstoß zur Verfolgung des eigenen, in diesem Bereich grundlegenden Ziels des Schutzes der wirtschaftlichen Integrität des Rechts. Nach Art. 13 Abs. 1 Buchst. a der Richtlinie 2004/48 gehören die „zu Unrecht erzielten Gewinne des Verletzers“ zu den Faktoren, die von den Gerichten bei der Festsetzung des Schadensersatzes zu berücksichtigen sind.

68 Eine entsprechende Bestimmung befindet sich in Art. 94 Abs. 2 der Verordnung (EG) Nr. 2100/94 des Rates vom 27. Juli 1994 über den gemeinschaftlichen Sortenschutz (ABl. 1994, L 227, S. 1): „Bei leichter Fahrlässigkeit kann sich dieser Anspruch entsprechend dem Grad der leichten Fahrlässigkeit, jedoch nicht unter die Höhe des Vorteils, der dem Verletzer aus der Verletzung erwachsen ist, vermindern.“

69 Die Ineffabilität von Emotionen oder Empfindungen, vor allem, wenn sie sich auf Gefahren durch mögliche künftige Ereignisse beziehen, hat dazu geführt, dass sie mangels hinreichender Konkretisierung oder wegen ihrer hypothetischen Natur nicht als Schäden angesehen werden.

70 Das heißt die „chefs de préjudice“ oder „heads of damages“.

71 Nach diesem Erwägungsgrund sollten die betroffenen Personen einen „vollständigen und wirksamen“ Ersatz für den erlittenen Schaden erhalten. Ich denke nicht, dass diese Angabe für die dritte Vorlagefrage relevant ist, da weder die Kategorien ersatzfähiger Schäden noch die Berechnung des Schadensersatzes (ein Schritt, der der Bestimmung der Ersatzfähigkeit logischerweise nachfolgt und nicht mit ihr zu verwechseln ist) angesprochen wird. Unter Berücksichtigung der Vorarbeiten zur DSGVO gewährleistet der auf einen „vollständigen und wirksamen“ Ersatz gelegte Nachdruck, dass die Beteiligung mehrerer Verantwortlicher der Datenverarbeitung oder Auftragsverarbeiter nicht dazu führt, dass der betroffenen Person nur ein Teil ihres Schadens ersetzt wird. Nach Art. 82 Abs. 4 der DSGVO „haftet jeder Verantwortliche oder jeder Auftragsverarbeiter für den gesamten Schaden, damit ein wirksamer Schadensersatz für die betroffene Person sichergestellt ist“.

72 In Art. 23 der Richtlinie 95/46 wurden die ersatzfähigen Schäden nicht erläutert, was zu Debatten darüber führte, welche Schäden erfasst waren. Die Verhandlungen vor Erlass der DSGVO konzentrierten sich auf die Beseitigung der Zweifel an der Einbeziehung immaterieller Schäden. Im 118. Erwägungsgrund des in Fn. 49 angeführten Vorschlags der Kommission war vom Ersatz aller Schäden die Rede. Formulierungen in weiteren Etappen des Rechtsetzungsverfahrens lauteten „finanzielle oder sonstige Schäden“, „Schäden, auch immaterielle Schäden“ und schließlich die aktuelle Fassung „immaterielle Schäden“.

73 Weder zu Art. 23 der Richtlinie 95/46 noch, bislang, zu Art. 82 der DSGVO. Auch nicht, wenn ich mich nicht irre, zu Art. 56 der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. 2016, L 119, S. 89) oder zu Art. 19 des aufgehobenen Rahmenbeschlusses.

74 Er hat auch keine Auslegungsmethode – autonom oder unter Rückgriff auf die nationalen Rechtsordnungen – als vorzugswürdig bezeichnet; dies hängt von der betreffenden Materie ab. Vgl. Urteile vom 10. Mai 2001, Veedfald (C‑203/99, EU:C:2001:258, Rn. 27), zu fehlerhaften Produkten, vom 6. Mai 2010, Walz (C‑63/09, EU:C:2010:251, Rn. 21), zur Haftung der Luftfahrtunternehmen, und vom 10. Juni 2021, Van Ameyde España (C‑923/19, EU:C:2021:475, Rn. 37 ff.), zur Haftpflicht für Schäden aus Verkehrsunfällen mit Kraftfahrzeugen. In Dokumenten betreffend die Verhandlungen über die DSGVO kommen die von Mitgliedstaaten geäußerten Zweifel darüber zum Ausdruck, ob die Begriffe „Schaden“ und „Schadenersatz“ im (damaligen) Art. 77 autonom zu verstehen sind, und sie enthalten die hierzu geäußerten Standpunkte. Die Kommission sprach sich dafür aus, die Frage dem Gerichtshof zu überlassen. Vgl. Rat der Europäischen Union, Note der Präsidentschaft Nr. 17831/13 vom 16. Dezember 2013, Fn. 539.

75 Beispielsweise der Verbraucher von Produkten oder der Opfer von Verkehrsunfällen.

76 So in Bezug auf Pauschalreisen Urteil vom 12. März 2002, Leitner (C‑168/00, EU:C:2002:163); für den Bereich der Kraftfahrzeug-Haftpflicht Urteile vom 24. Oktober 2013, Haasová (C‑22/12, EU:C:2013:692, Rn. 47 bis 50), vom 24. Oktober 2013, Drozdovs (C‑277/12, EU:C:2013:685, Rn. 40), und vom 23. Januar 2014, Petillo (C‑371/12, EU:C:2014:26, Rn. 35).

77 Urteil vom 23. Januar 2014, Petillo (C‑371/12, EU:C:2014:26, Tenor): Das Unionsrecht steht „einer nationalen Rechtsvorschrift … nicht [entgegen], die in Bezug auf die Entschädigung für immaterielle Schäden, die auf leichte Körperverletzungen aufgrund von Straßenverkehrsunfällen zurückzuführen sind, eine Sonderregelung vorsieht, in der die Entschädigung für diese Schäden im Verhältnis zu der Entschädigung begrenzt wird, die für gleiche Schäden aufgrund anderer Ursachen als solcher Unfälle zuerkannt wird“.

78 Beispielsweise in den Urteilen vom 12. März 2002, Leitner (C‑168/00, EU:C:2002:163), zur entgangenen Urlaubsfreude, und vom 6. Mai 2010, Walz (C‑63/09, EU:C:2010:251), zum Verlust des Reisegepäcks bei Pauschalreisen.

79 Im Urteil vom 17. März 2016, Liffers (C‑99/15, EU:C:2016:173, Rn. 17), zur Auslegung der Richtlinie 2004/48 wurde hervorgehoben, dass der immaterielle Schaden ein Bestandteil des tatsächlichen Schadens ist, „sofern er nachgewiesen ist“. Der Nachweis setzt logischerweise das tatsächliche Vorliegen des Schadens voraus, das wiederum eng mit dem Gedanken der Schwere der Verletzung zusammenhängt, auch wenn es nicht mit ihm zusammenfällt.

80 Siehe oben, Nr. 51.

81 Siehe oben, Nrn. 45 ff.

82 Dazu kürzlich, für den Bereich des Datenschutzes, in Italien Tribunale di Palermo, sez. I civile, Urteil vom 5. Oktober 2017, n. 5261, sowie Cass Civ. Ord. Sez 6, núm. 17383/2020. In Deutschland u. a. AG Diez, 7. November 2018 – 8 C 130/18, LG Karlsruhe, 2. August 2019 – 8 O 26/19, und AG Frankfurt am Main, 10. Juli 2020 – 385 C 155/19 (70). In Österreich OGH 6 Ob 56/21k.

83 Vgl. Urteil vom 23. Oktober 2012, Nelson u. a. (C‑581/10 und C‑629/10, EU:C:2012:657, Rn. 51), zur Unterscheidung zwischen „Schäden“ im Sinne von Art. 19 des am 28. Mai 1999 in Montreal geschlossenen Übereinkommens zur Vereinheitlichung bestimmter Vorschriften über die Beförderung im internationalen Luftverkehr und „Ärgernissen“ im Sinne der Verordnung Nr. 261/2004, die nach dem Urteil vom 19. November 2009, Sturgeon u. a. (C‑402/07 und C‑432/07, EU:C:2009:716), im Rahmen des Art. 7 der Verordnung ersatzfähig sind. In diesem Bereich sowie in dem der Fahrgastbeförderung im See- und Binnenschiffsverkehr, auf den sich die Verordnung Nr. 1177/2010 bezieht, konnte der Gesetzgeber eine abstrakte Kategorie herausarbeiten, in deren Rahmen der den Schaden auslösende Faktor und sein Wesen für alle Betroffenen identisch sind. Ich glaube nicht, dass diese Schlussfolgerung im Bereich des Datenschutzes möglich ist.

84 Der für die Ausübung des Anspruchs aus Art. 82 der DSGVO kennzeichnende Mechanismus ist die Geltendmachung vor den ordentlichen Gerichten. Der Grundsatz der Effektivität kann daher die Anwendung der nationalen Vorschriften für Aspekte wie die Kosten des Rechtsstreits oder die Beweisführung bedingen. Die Schwierigkeit, bloße Ärgernisse als ersatzfähig anzuerkennen, hängt aber nicht nur mit dem Missverhältnis zwischen ihrem monetären Wert und den Kosten eines Rechtsstreits zusammen (abgesehen davon, dass die Kosten der Rechtspflege nicht allein von den Parteien getragen werden). Angesichts des Schweigens der DSGVO erscheint es mir nicht gerechtfertigt, von den Mitgliedstaaten zu verlangen, dass sie ein Ad-hoc-Verfahren schaffen.

85 Ich weise darauf hin, dass nach Art. 82 Abs. 3 der DSGVO der Verantwortliche oder der Auftragsverarbeiter nur dann von der Haftung befreit wird, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.

86 Mit diesen Überlegungen will ich nicht ausschließen, dass in der vorliegenden Rechtssache die Situation von UI unter die eine oder andere Kategorie fällt; dies zu klären ist Sache des vorlegenden Gerichts.

87 Das Gleiche gilt für die Höhe des Schadensersatzes.