Language of document :

URTEIL DES GERICHTSHOFS (Dritte Kammer)

20. Juni 2024(*)

„Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 82 Abs. 1 – Anspruch auf Ersatz des Schadens, der durch eine unter Verstoß gegen diese Verordnung erfolgte Datenverarbeitung verursacht worden ist – Begriff des immateriellen Schadens – Auswirkung der Schwere des erlittenen Schadens – Bemessung des Schadenersatzbetrags – Klage auf Ersatz eines immateriellen Schadens aufgrund einer Befürchtung – Unanwendbarkeit der in Art. 83 für Geldbußen vorgesehenen Kriterien – Abschreckungsfunktion – Bemessung bei gleichzeitigen Verstößen gegen diese Verordnung und gegen nationales Recht“

In der Rechtssache C‑590/22

betreffend ein Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht vom Amtsgericht Wesel (Deutschland) mit Beschluss vom 5. August 2022, beim Gerichtshof eingegangen am 9. September 2022, in dem Verfahren


AT,

BT

gegen

PS GbR,

VG,

MB,

DH,

WB,

GS

erlässt

DER GERICHTSHOF (Dritte Kammer)

unter Mitwirkung der Kammerpräsidentin K. Jürimäe, des Präsidenten des Gerichtshofs K. Lenaerts in Wahrnehmung der Aufgaben eines Richters der Dritten Kammer sowie der Richter N. Piçarra, N. Jääskinen (Berichterstatter) und M. Gavalec,

Generalanwalt: M. Campos Sánchez-Bordona,

Kanzler: A. Calot Escobar,

aufgrund des schriftlichen Verfahrens,

unter Berücksichtigung der Erklärungen

–        Irlands, vertreten durch M. Browne, Chief State Solicitor, sowie A. Joyce und M. Tierney als Bevollmächtigte im Beistand von D. Fennelly, BL,

–        der Europäischen Kommission, vertreten durch A. Bouchagiar, M. Heller und H. Kranenborg als Bevollmächtigte,

aufgrund des nach Anhörung des Generalanwalts ergangenen Beschlusses, ohne Schlussanträge über die Rechtssache zu entscheiden,

folgendes

Urteil

1        Das Vorabentscheidungsersuchen betrifft die Auslegung von Art. 82 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, im Folgenden: DSGVO).

2        Es ergeht im Rahmen eines Rechtsstreits zwischen AT und BT, den Klägern des Ausgangsverfahrens, auf der einen Seite und der PS GbR, einer Steuerberatungsgesellschaft, sowie VG, MB, DH, WB und GS, den Gesellschaftern von PS, auf der anderen Seite über den Anspruch der Kläger des Ausgangsverfahrens auf Zahlung von Schadenersatz nach Art. 82 Abs. 1 DSGVO zur Wiedergutmachung des Schadens, der ihnen dadurch entstanden sein soll, dass ihre Steuererklärung, die personenbezogene Daten enthielt, ohne ihre Einwilligung aufgrund eines Fehlers von PS an Dritte weitergegeben wurde.

 Rechtlicher Rahmen

3        In den Erwägungsgründen 85, 146 und 148 der DSGVO heißt es:

„(85)      Eine Verletzung des Schutzes personenbezogener Daten kann – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder ‑betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person. …

(146)      Der Verantwortliche oder der Auftragsverarbeiter sollte Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, ersetzen. Der Verantwortliche oder der Auftragsverarbeiter sollte von seiner Haftung befreit werden, wenn er nachweist, dass er in keiner Weise für den Schaden verantwortlich ist. Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht. Dies gilt unbeschadet von Schadenersatzforderungen aufgrund von Verstößen gegen andere Vorschriften des Unionsrechts oder des Rechts der Mitgliedstaaten. Zu einer Verarbeitung, die mit der vorliegenden Verordnung nicht im Einklang steht, zählt auch eine Verarbeitung, die nicht mit den nach Maßgabe der vorliegenden Verordnung erlassenen delegierten Rechtsakten und Durchführungsrechtsakten und Rechtsvorschriften der Mitgliedstaaten zur Präzisierung von Bestimmungen der vorliegenden Verordnung im Einklang steht. Die betroffenen Personen sollten einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. …

(148)      Im Interesse einer konsequenteren Durchsetzung der Vorschriften dieser Verordnung sollten bei Verstößen gegen diese Verordnung … Sanktionen einschließlich Geldbußen verhängt werden. … Folgendem sollte jedoch gebührend Rechnung getragen werden: der Art, Schwere und Dauer des Verstoßes, dem vorsätzlichen Charakter des Verstoßes, den Maßnahmen zur Minderung des entstandenen Schadens, dem Grad der Verantwortlichkeit oder jeglichem früheren Verstoß, der Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, der Einhaltung der gegen den Verantwortlichen oder Auftragsverarbeiter angeordneten Maßnahmen, der Einhaltung von Verhaltensregeln und jedem anderen erschwerenden oder mildernden Umstand. …“

4        Art. 4 („Begriffsbestimmungen“) dieser Verordnung sieht vor:

„Im Sinne dieser Verordnung bezeichnet der Ausdruck:

1.      ‚personenbezogene Daten‘ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ‚betroffene Person‘) beziehen; …

7.      ‚Verantwortlicher‘ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; …

10.      ‚Dritter‘ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;

12.      ‚Verletzung des Schutzes personenbezogener Daten‘ eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;

…“

5        Art. 79 Abs. 1 der Verordnung lautet:

„Jede betroffene Person hat unbeschadet eines verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs einschließlich des Rechts auf Beschwerde bei einer Aufsichtsbehörde gemäß Artikel 77 das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden.“

6        Art. 82 („Haftung und Recht auf Schadenersatz“) dieser Verordnung bestimmt in den Abs. 1 und 3:

„(1)      Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

(2)      Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. …

(3)      Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.“

7        In Art. 83 („Allgemeine Bedingungen für die Verhängung von Geldbußen“) der Verordnung heißt es in Abs. 2, 3 und 5:

„(2)      … Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt:

a)      Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens;

b)      Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;

k)      jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.

(3)      Verstößt ein Verantwortlicher oder ein Auftragsverarbeiter bei gleichen oder miteinander verbundenen Verarbeitungsvorgängen vorsätzlich oder fahrlässig gegen mehrere Bestimmungen dieser Verordnung, so übersteigt der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß.

(5)      Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 20 000 000 [Euro] oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist:

a)      die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9;

b)      die Rechte der betroffenen Person gemäß den Artikeln 12 bis 22;

…“

 Ausgangsverfahren und Vorlagefragen

8        Die Kläger des Ausgangsverfahrens, AT und BT, waren Mandanten von PS, einer Steuerberaterkanzlei. Sie informierten diese Kanzlei über die Änderung ihrer Postanschrift, die im elektronischen Datenverarbeitungssystem von PS nachvollzogen wurde. Die neue Anschrift der Kläger des Ausgangsverfahrens wurde anschließend von PS für den Versand mehrerer Schreiben verwendet.

9        Im Juli 2020 beauftragten die Kläger des Ausgangsverfahrens PS mit der Erstellung ihrer Steuererklärung für das Jahr 2019. Nachdem sie keine Antwort erhalten hatten, kontaktierten sie PS, die ihnen mitteilte, dass ihnen diese Steuererklärung mit Schreiben vom 29. September 2020 übersandt worden sei, ohne anzugeben, an welche Anschrift das Schreiben versandt wurde.

10      Die neuen Bewohner ihrer vormaligen Anschrift teilten ihnen mit, dass ein an ihren Namen gerichteter Umschlag an dieser Anschrift eingegangen sei und sie diesen irrtümlich geöffnet hätten. Eine neue Bewohnerin gab an, dass sie, nachdem sie festgestellt habe, dass die fragliche Sendung nicht an sie gerichtet gewesen sei, die darin gefundenen Unterlagen wieder in den Umschlag geschoben habe. Sie habe diesen daraufhin bei ganz in der Nähe der vormaligen Anschrift der Kläger des Ausgangsverfahrens wohnenden Angehörigen zur Abholung bereitgelegt.

11      Als die Kläger des Ausgangsverfahrens den Umschlag erhielten, stellten sie fest, dass sich darin lediglich eine Kopie der Steuererklärung sowie ein Anschreiben befanden. Sie gehen jedoch davon aus, dass sich im Umschlag auch das Original der Steuererklärung befand, das personenbezogene Daten enthielt, darunter ihre Namen und Geburtsdaten sowie die ihrer Kinder, ihre Steueridentifikationsnummern, ihre Bankangaben und auch Angaben bezüglich ihrer Zugehörigkeit zu einer Religionsgemeinschaft, zur Schwerbehinderteneigenschaft eines Familienmitglieds, zu ihren Berufen und ihren Arbeitsstätten und zu verschiedenen von ihnen getätigten Ausgaben.

12      Das vorlegende Gericht führt hierzu aus, dass weder habe aufgeklärt werden können, welche Unterlagen sich ursprünglich in dem Umschlag befunden hätten, noch, inwieweit die neuen Bewohner der vormaligen Anschrift der Kläger des Ausgangsverfahrens vom Inhalt dieses Umschlags Kenntnis erlangt hätten. Es weist außerdem darauf hin, dass die Versendung des fraglichen Schreibens an eine falsche Adresse darauf beruht habe, dass PS Daten aus einem Datenbestand übernommen habe, der noch die vormalige Anschrift der Kläger des Ausgangsverfahrens enthalten habe.

13      Vor diesem Hintergrund erhoben die Kläger des Ausgangsverfahrens beim Amtsgericht Wesel (Deutschland), dem vorlegenden Gericht, auf der Grundlage von Art. 82 Abs. 1 DSGVO Klage auf Ersatz des immateriellen Schadens, der ihnen durch die Weitergabe ihrer personenbezogenen Daten an Dritte entstanden sein soll und den sie mit 15 000 Euro beziffern.

14      Das vorlegende Gericht möchte erstens wissen, ob, wenn ein immaterieller Schaden geltend gemacht wird, ein Schadenersatzanspruch nach Art. 82 DSGVO mit der bloßen Verletzung von Bestimmungen dieser Verordnung begründet werden kann, wobei es darauf hinweist, dass im deutschen Recht ein Anspruch auf eine Entschädigung in Geld nur zuerkannt werden könne, wenn eine über die Verletzung einer Gesetzesvorschrift hinausgehende erhebliche Beeinträchtigung festgestellt werden könne, die nicht in anderer Weise ausgeglichen werden könne.

15      Zweitens fragt sich das vorlegende Gericht, ob die bloße Befürchtung, dass personenbezogene Daten in den Besitz unbefugter Personen gelangt sind, einen immateriellen Schaden darstellen kann, der einen Anspruch auf eine Entschädigung in Geld nach Art. 82 DSGVO begründen kann.

16      Drittens führt das vorlegende Gericht aus, dass Art. 83 DSGVO Kriterien festlege, die es ermöglichten, die Höhe der Geldbußen, die bei einem Verstoß gegen diese Verordnung verhängt würden, einheitlich zu bestimmen. Diese Vorschrift enthalte jedoch keine Entsprechung bezüglich der Entschädigung in Geld für den immateriellen Schaden. Das vorlegende Gericht fragt sich daher, ob diese Kriterien auf die Entschädigung in Geld für den immateriellen Schaden, die nach Art. 82 DSGVO geschuldet wird, übertragbar sind.

17      Viertens weist das vorlegende Gericht darauf hin, dass der 146. Erwägungsgrund der DSGVO vorsehe, dass der Begriff „Schaden“ weit auszulegen sei, um einen vollständigen und wirksamen Schadenersatz zu gewährleisten. Es hat jedoch Zweifel, ob die Bezugnahme auf einen „wirksamen“ Schadenersatz bedeutet, dass der für einen immateriellen Schaden zu leistende Schadenersatz so zu bemessen ist, dass er eine abschreckende Wirkung entfaltet. Gegebenenfalls könnten die für die Datenverarbeitung Verantwortlichen versucht sein, die in der DSGVO vorgesehenen Verpflichtungen nicht einzuhalten, sollte es sich erweisen, dass die Kosten einer strikten Beachtung dieser Verordnung höher sind als die Schadenersatzbeträge, die sie im Fall eines Verstoßes gegen die DSGVO gegebenenfalls zahlen müssten.

18      Fünftens und letztens wirft das vorlegende Gericht die Frage auf, ob der Umstand, dass der Verstoß gegen Bestimmungen der DSGVO zugleich einen Verstoß gegen Bestimmungen des deutschen Rechts wie diejenigen, die bestimmten Berufsangehörigen Geheimhaltungspflichten auferlegen, begründet, bei der Bemessung des immateriellen Schadenersatzes nach Art. 82 DSGVO zu berücksichtigen ist. Es habe insoweit Zweifel daran, als die hier einschlägigen Bestimmungen des deutschen Rechts zum Zeitpunkt des Erlasses der DSGVO bereits in Kraft gewesen seien und daher nicht als gemäß dieser Verordnung erlassene delegierte Rechtsakte oder Durchführungsrechtsakte im Sinne des 146. Erwägungsgrundes dieser Verordnung angesehen werden könnten.

19      Unter diesen Umständen hat das Amtsgericht Wesel beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:

1.      Reicht es für die Begründung eines Anspruchs auf Schadenersatz gemäß Art. 82 Abs. 1 DSGVO aus, dass eine die anspruchstellende Person schützende Bestimmung der DSGVO verletzt worden ist oder ist es erforderlich, dass über die Verletzung der Bestimmungen als solche hinaus eine weitere Beeinträchtigung der anspruchstellenden Person eingetreten ist?

2.      Ist es nach dem Unionsrecht zur Begründung eines Anspruchs auf immateriellen Schadenersatz gemäß Art. 82 Abs. 1 DSGVO erforderlich, dass eine Beeinträchtigung von gewissem Gewicht vorliegt?

3.      Insbesondere: Reicht es zur Begründung eines Anspruchs auf immateriellen Schadenersatz gemäß Art. 82 Abs. 1 DSGVO aus, dass die anspruchstellende Person befürchtet, dass als Folge von Verletzungen der Bestimmungen der DSGVO ihre personenbezogenen Daten in fremde Hände gelangt sind, ohne dass dies positiv festgestellt werden kann?

4.      Entspricht es dem Unionsrecht, wenn das nationale Gericht bei der Bemessung eines immateriellen Schadenersatzes gemäß Art. 82 Abs. 1 DSGVO die dem Wortlaut nach lediglich für Geldbußen geltenden Kriterien des Art. 83 Abs. 2 Satz 2 DSGVO entsprechend heranzieht?

5.      Ist die Höhe eines immateriellen Schadenersatzanspruchs gemäß Art. 82 Abs. 1 DSGVO auch danach zu bemessen, dass durch die Höhe des zugesprochenen Anspruchs eine Abschreckungswirkung erreicht und/oder eine „Kommerzialisierung“ (kalkuliertes Inkaufnehmen von Geldbußen/Schadenersatzzahlungen) von Verstößen unterbunden wird?

6.      Entspricht es dem Unionsrecht, bei der Bemessung eines Anspruchs auf immateriellen Schadenersatz gemäß Art. 82 Abs. 1 DSGVO der Höhe nach zugleich verwirklichte Verstöße gegen nationale Vorschriften zu berücksichtigen, die den Schutz von personenbezogenen Daten zum Zweck haben, bei denen es sich aber nicht um nach Maßgabe der vorliegenden Verordnung erlassene delegierte Rechtsakte oder Durchführungsrechtsakte oder Rechtsvorschriften der Mitgliedstaaten zur Präzisierung von Bestimmungen der vorliegenden Verordnung handelt?

 Zu den Vorlagefragen

 Zur ersten und zur zweiten Frage

20      Mit seiner ersten und seiner zweiten Frage, die zusammen zu prüfen sind, möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass ein Verstoß gegen diese Verordnung für sich genommen ausreicht, um einen Anspruch auf Schadensersatz nach dieser Bestimmung zu begründen, oder ob die betroffene Person auch das Vorliegen eines durch diesen Verstoß verursachten Schadens nachweisen muss, der einen gewissen Schweregrad erreicht.

21      Art. 82 Abs. 1 DSGVO sieht vor, dass „[j]ede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, … Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter [hat]“.

22      Wie der Gerichtshof bereits festgestellt hat, geht aus dem Wortlaut dieser Bestimmung klar hervor, dass das Vorliegen eines materiellen oder immateriellen „Schadens“ eine der Voraussetzungen für den in Art. 82 Abs. 1 vorgesehenen Schadensersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DSGVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (vgl. in diesem Sinne Urteile vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C‑300/21, EU:C:2023:370, Rn. 32, und vom 11. April 2024, juris, C‑741/21, EU:C:2024:288, Rn. 34).

23      Daher kann nicht davon ausgegangen werden, dass jeder „Verstoß“ gegen die Bestimmungen der DSGVO für sich genommen einen Schadensersatzanspruch der betroffenen Person im Sinne von Art. 4 Nr. 1 dieser Verordnung eröffnet. Im Übrigen wäre die gesonderte Erwähnung eines „Schadens“ und eines „Verstoßes“ in Art. 82 Abs. 1 DSGVO überflüssig, wenn der Unionsgesetzgeber davon ausgegangen wäre, dass ein Verstoß gegen die Bestimmungen der DSGVO für sich allein in jedem Fall ausreichend wäre, um einen Schadensersatzanspruch zu begründen (Urteil vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C‑300/21, EU:C:2023:370, Rn. 33 und 34).

24      Folglich ist Art. 82 Abs. 1 DSGVO dahin auszulegen, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen (Urteil vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C‑300/21, EU:C:2023:370, Rn. 42).

25      Die Person, die auf der Grundlage dieser Bestimmung den Ersatz eines immateriellen Schadens verlangt, muss nämlich nicht nur den Verstoß gegen Bestimmungen dieser Verordnung nachweisen, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist (vgl. in diesem Sinne Urteile vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C‑300/21, EU:C:2023:370, Rn. 42 und 50, und vom 11. April 2024, juris, C‑741/21, EU:C:2024:288, Rn. 35).

26      Was die letztgenannte Voraussetzung betrifft, steht Art. 82 Abs. 1 DSGVO einer nationalen Vorschrift oder Praxis entgegen, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen gewissen Schweregrad erreicht hat (Urteile vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C‑300/21, EU:C:2023:370, Rn. 51, und vom 11. April 2024, juris, C‑741/21, EU:C:2024:288, Rn. 36).

27      Allerdings ist diese Person nach Art. 82 Abs. 1 DSGVO verpflichtet, nachzuweisen, dass sie tatsächlich einen materiellen oder immateriellen Schaden erlitten hat (vgl. in diesem Sinne Urteil vom 11. April 2024, juris, C‑741/21, EU:C:2024:288, Rn. 39).

28      Nach alledem ist auf die erste und die zweite Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass ein Verstoß gegen diese Verordnung für sich genommen nicht ausreicht, um einen Anspruch auf Schadensersatz nach dieser Bestimmung zu begründen. Die betroffene Person muss auch das Vorliegen eines durch diesen Verstoß verursachten Schadens nachweisen, ohne dass dieser Schaden jedoch einen gewissen Schweregrad erreichen müsste.

 Zur dritten Frage

29      Mit seiner dritten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass die Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen diese Verordnung an Dritte weitergegeben wurden, ohne dass nachgewiesen werden kann, dass dies tatsächlich der Fall war, ausreicht, um einen Anspruch auf Ersatz des immateriellen Schadens zu begründen.

30      Aus dem Vorlagebeschluss geht hervor, dass die Kläger des Ausgangsverfahrens auf der Grundlage der DSGVO wegen eines Verlusts der Kontrolle über ihre verarbeiteten personenbezogenen Daten Ersatz für einen immateriellen Schaden begehren, ohne nachweisen zu können, inwieweit Dritte von diesen Daten tatsächlich Kenntnis erlangt haben.

31      Insoweit ist festzustellen, dass der Begriff „immaterieller Schaden“ in Ermangelung eines Verweises in Art. 82 Abs. 1 DSGVO auf das innerstaatliche Recht der Mitgliedstaaten im Sinne dieser Bestimmung eine autonome und einheitliche unionsrechtliche Definition erhalten muss (vgl. in diesem Sinne Urteile vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C‑300/21, EU:C:2023:370, Rn. 30 und 44, sowie vom 25. Januar 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, Rn. 64).

32      Der Gerichtshof hat entschieden, dass sich nicht nur aus dem Wortlaut von Art. 82 Abs. 1 DSGVO im Licht ihrer Erwägungsgründe 85 und 146, wonach der Begriff „immaterieller Schaden“ im Sinne von Art. 82 Abs. 1 weit zu verstehen ist, sondern auch aus dem mit der DSGVO verfolgten Ziel der Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten ergibt, dass die durch einen Verstoß gegen die DSGVO ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, für sich genommen einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 darstellen kann (vgl. in diesem Sinne Urteile vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, Rn. 79 bis 86, sowie vom 25. Januar 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, Rn. 65).

33      Der – selbst kurzzeitige – Verlust der Kontrolle über personenbezogene Daten kann einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO darstellen, der einen Schadensersatzanspruch begründet, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat, wobei der bloße Verstoß gegen die Bestimmungen der DSGVO nicht ausreicht, um auf dieser Grundlage einen Schadensersatzanspruch zu begründen (vgl. in diesem Sinne Urteile vom 25. Januar 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, Rn. 66, und vom 11. April 2024, juris, C‑741/21, EU:C:2024:288, Rn. 42).

34      Die Person, die der Ansicht ist, dass ihre personenbezogenen Daten unter Verstoß gegen die einschlägigen Bestimmungen der DSGVO verarbeitet wurden und auf der Grundlage von Art. 82 Abs. 1 dieser Verordnung Schadensersatz verlangt, muss daher nachweisen, dass sie tatsächlich einen materiellen oder immateriellen Schaden erlitten hat.

35      Die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen kann daher nicht zu einem Schadensersatz nach dieser Vorschrift führen.

36      Nach alledem ist auf die dritte Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass die Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen diese Verordnung an Dritte weitergegeben wurden, ohne dass nachgewiesen werden kann, dass dies tatsächlich der Fall war, ausreicht, um einen Schadensersatzanspruch zu begründen, sofern diese Befürchtung samt ihrer negativen Folgen ordnungsgemäß nachgewiesen ist.

 Zur vierten und zur fünften Frage

37      Mit seiner vierten und seiner fünften Frage, die zusammen zu prüfen sind, möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass bei der Bemessung des Betrags des auf diese Bestimmung gestützten Anspruchs auf Schadenersatz zum einen die in Art. 83 dieser Verordnung vorgesehenen Kriterien für die Festsetzung des Betrags von Geldbußen entsprechend anzuwenden sind und zum anderen diesem Anspruch auf Schadenersatz eine Abschreckungsfunktion beizumessen ist.

38      Was erstens eine etwaige Berücksichtigung der in Art. 83 DSGVO genannten Kriterien bei der Bemessung des Betrags des nach Art. 82 DSGVO geschuldeten Schadenersatzes betrifft, steht fest, dass mit diesen beiden Bestimmungen unterschiedliche Ziele verfolgt werden. Während nämlich in Art. 83 dieser Verordnung „[a]llgemeine Bedingungen für die Verhängung von Geldbußen“ festgelegt sind, regelt Art. 82 der Verordnung „[die] Haftung und [das] Recht auf Schadenersatz“.

39      Daraus folgt, dass die in Art. 83 DSGVO genannten Kriterien für die Bestimmung der Beträge der Geldbußen, die auch im 148. Erwägungsgrund dieser Verordnung erwähnt werden, nicht zur Bemessung des Schadenersatzbetrags nach Art. 82 DSGVO herangezogen werden können (Urteil vom 11. April 2024, juris, C‑741/21, EU:C:2024:288, Rn. 57).

40      Die DSGVO enthält keine Bestimmung, die sich den Regeln für die Bemessung des Schadenersatzes widmet, auf den eine betroffene Person im Sinne von Art. 4 Nr. 1 dieser Verordnung nach deren Art. 82 Anspruch hat, wenn ihr durch einen Verstoß gegen diese Verordnung ein Schaden entstanden ist. Daher sind die Ausgestaltung von Klageverfahren, die den Schutz der dem Einzelnen aus Art. 82 DSGVO erwachsenden Rechte gewährleisten sollen, und insbesondere die Festlegung der Kriterien für die Ermittlung des Umfangs des in diesem Rahmen geschuldeten Schadenersatzes in Ermangelung einschlägiger unionsrechtlicher Vorschriften Aufgabe des Rechts des einzelnen Mitgliedstaats, wobei der Äquivalenz- und der Effektivitätsgrundsatz zu beachten sind (Urteile vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C‑300/21, EU:C:2023:370, Rn. 54, und vom 11. April 2024, juris, C‑741/21, EU:C:2024:288, Rn. 58).

41      Zweitens erfüllt der in Art. 82 Abs. 1 DSGVO vorgesehene Anspruch auf Schadenersatz keine abschreckende oder gar Straffunktion. Daraus folgt, dass sich die Schwere des Verstoßes gegen diese Verordnung, durch den der geltend gemachte materielle oder immaterielle Schaden entstanden ist, nicht auf die Höhe des auf der Grundlage dieser Bestimmung gewährten Schadenersatzes auswirken kann und dass dieser Betrag nicht in einer Höhe bemessen werden darf, die über den vollständigen Ersatz dieses Schadens hinausgeht (vgl. in diesem Sinne Urteile vom 21. Dezember 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, Rn. 86, und vom 11. April 2024, juris, C‑741/21, EU:C:2024:288, Rn. 60).

42      In Anbetracht der Ausgleichsfunktion des in Art. 82 DSGVO vorgesehenen Schadenersatzanspruchs, wie sie im sechsten Satz des 146. Erwägungsgrundes der DSGVO zum Ausdruck kommt, ist eine auf diese Bestimmung gestützte Entschädigung in Geld als „vollständig und wirksam“ anzusehen, wenn sie es ermöglicht, den aufgrund des Verstoßes gegen diese Verordnung konkret erlittenen Schaden in vollem Umfang auszugleichen, ohne dass ein solcher vollumfänglicher Ausgleich die Verhängung von Strafschadenersatz erfordert (vgl. in diesem Sinne Urteile vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C‑300/21, EU:C:2023:370, Rn. 57 und 58, sowie vom 11. April 2024, juris, C‑741/21, EU:C:2024:288, Rn. 61).

43      Angesichts der Unterschiede im Wortlaut und in der Zielsetzung, die zwischen Art. 82 DSGVO im Licht des 146. Erwägungsgrundes dieser Verordnung und ihrem Art. 83 im Licht ihres 148. Erwägungsgrundes bestehen, kann daher ungeachtet der Tatsache, dass die in den beiden Bestimmungen vorgesehenen Rechtsbehelfe einander ergänzen, um die Einhaltung dieser Verordnung sicherzustellen, nicht davon ausgegangen werden, dass die in Art. 83 DSGVO speziell angegebenen Bemessungskriterien im Rahmen von Art. 82 DSGVO entsprechend anwendbar sind (Urteil vom 11. April 2024, juris, C‑741/21, EU:C:2024:288, Rn. 62).

44      Nach alledem ist auf die vierte und die fünfte Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass bei der Bemessung des Betrags des auf diese Bestimmung gestützten Anspruchs auf Schadenersatz zum einen die in Art. 83 dieser Verordnung vorgesehenen Kriterien für die Festsetzung des Betrags von Geldbußen nicht entsprechend anzuwenden sind und zum anderen diesem Anspruch auf Schadenersatz keine Abschreckungsfunktion beizumessen ist.

 Zur sechsten Frage

45      Mit seiner sechsten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass bei der Bemessung des Betrags des auf diese Bestimmung gestützten Anspruchs auf Schadenersatz zugleich verwirklichte Verstöße gegen nationale Vorschriften, die sich auf den Schutz personenbezogener Daten beziehen, aber nicht bezwecken, die Bestimmungen der DSGVO zu präzisieren, zu berücksichtigen sind.

46      Diese Frage wird in Anbetracht dessen gestellt, dass die Kläger des Ausgangsverfahrens der Ansicht sind, dass der gleichzeitige Verstoß gegen Bestimmungen der DSGVO und gegen auf Steuerberater anwendbare Bestimmungen des deutschen Rechts, die vor dem Inkrafttreten dieser Verordnung erlassen worden seien und daher nicht auf eine Präzisierung dieser Verordnung abzielten, zu einer Erhöhung des Schadenersatzes führen müsse, den sie nach Art. 82 Abs. 1 DSGVO als Ausgleich für den immateriellen Schaden verlangen, der ihnen entstanden sein soll.

47      Insoweit geht zwar aus dem fünften Satz des 146. Erwägungsgrundes der DSGVO hervor, dass zu einer Verarbeitung personenbezogener Daten, die mit der vorliegenden Verordnung nicht im Einklang steht, „auch eine Verarbeitung [zählt], die nicht mit den nach Maßgabe der vorliegenden Verordnung erlassenen delegierten Rechtsakten und Durchführungsrechtsakten und Rechtsvorschriften der Mitgliedstaaten zur Präzisierung von Bestimmungen der vorliegenden Verordnung im Einklang steht“.

48      Jedoch stellt der Umstand, dass eine solche Datenverarbeitung auch unter Verstoß gegen Vorschriften des nationalen Rechts erfolgt ist, die sich auf den Schutz personenbezogener Daten beziehen, aber nicht bezwecken, die Bestimmungen der DSGVO zu präzisieren, keinen relevanten Faktor für die Bemessung des auf der Grundlage von Art. 82 Abs. 1 DSGVO gewährten Schadenersatzes dar. Ein Verstoß gegen solche nationalen Vorschriften ist nämlich von Art. 82 Abs. 1 DSGVO in Verbindung mit dem 146. Erwägungsgrund der DSGVO nicht erfasst.

49      Dies gilt unbeschadet dessen, dass das nationale Gericht, wenn das nationale Recht ihm dies gestattet, der betroffenen Person eine Entschädigung zusprechen kann, die höher ist als der in Art. 82 Abs. 1 DSGVO vorgesehene vollständige und wirksame Schadenersatz, wenn dieser Schadenersatz in Anbetracht dessen, dass der Schaden auch durch den Verstoß gegen Vorschriften des nationalen Rechts wie die in der vorstehenden Randnummer genannten verursacht wurde, nicht als ausreichend oder angemessen angesehen würde.

50      Nach alledem ist auf die sechste Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass bei der Bemessung des Betrags des auf diese Bestimmung gestützten Anspruchs auf Schadenersatz zugleich verwirklichte Verstöße gegen nationale Vorschriften, die sich auf den Schutz personenbezogener Daten beziehen, aber nicht bezwecken, die Bestimmungen der DSGVO zu präzisieren, nicht zu berücksichtigen sind.

 Kosten

51      Für die Beteiligten des Ausgangsverfahrens ist das Verfahren Teil des beim vorlegenden Gericht anhängigen Verfahrens; die Kostenentscheidung ist daher Sache dieses Gerichts. Die Auslagen anderer Beteiligter für die Abgabe von Erklärungen vor dem Gerichtshof sind nicht erstattungsfähig.

Aus diesen Gründen hat der Gerichtshof (Dritte Kammer) für Recht erkannt:

1.      Art. 82 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

ist dahin auszulegen, dass

ein Verstoß gegen diese Verordnung für sich genommen nicht ausreicht, um einen Anspruch auf Schadenersatz nach dieser Bestimmung zu begründen. Die betroffene Person muss auch das Vorliegen eines durch diesen Verstoß verursachten Schadens nachweisen, ohne dass dieser Schaden jedoch einen gewissen Schweregrad erreichen müsste.

2.      Art. 82 Abs. 1 der Verordnung 2016/679

ist dahin auszulegen, dass

die Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen diese Verordnung an Dritte weitergegeben wurden, ohne dass nachgewiesen werden kann, dass dies tatsächlich der Fall war, ausreicht, um einen Schadenersatzanspruch zu begründen, sofern diese Befürchtung samt ihrer negativen Folgen ordnungsgemäß nachgewiesen ist.

3.      Art. 82 Abs. 1 der Verordnung 2016/679

ist dahin auszulegen, dass

bei der Bemessung des Betrags des auf diese Bestimmung gestützten Anspruchs auf Schadenersatz zum einen die in Art. 83 dieser Verordnung vorgesehenen Kriterien für die Festsetzung des Betrags von Geldbußen nicht entsprechend anzuwenden sind und zum anderen diesem Anspruch auf Schadenersatz keine Abschreckungsfunktion beizumessen ist.

4.      Art. 82 Abs. 1 der Verordnung 2016/679

ist dahin auszulegen, dass

bei der Bemessung des Betrags des auf diese Bestimmung gestützten Anspruchs auf Schadenersatz zugleich verwirklichte Verstöße gegen nationale Vorschriften, die sich auf den Schutz personenbezogener Daten beziehen, aber nicht bezwecken, die Bestimmungen dieser Verordnung zu präzisieren, nicht zu berücksichtigen sind.

Jürimäe

Lenaerts

Piçarra

Jääskinen

 

Gavalec

Verkündet in öffentlicher Sitzung in Luxemburg am 20. Juni 2024.

Der Kanzler

 

Die Kammerpräsidentin

A. Calot Escobar

 

K. Jürimäe

*      Verfahrenssprache: Deutsch.