Der EuGH hat am 4. Mai 2023 (Az.: C-300/21) entschieden, dass der bloße Verstoß gegen die Bestimmungen der DSGVO nicht ausreicht, um einen Schadenersatzanspruch zu begründen. Vielmehr muss der betroffenen Person durch den Verstoß auch tatsächlich ein Schaden entstanden sein. Gleichzeitig hat der EuGH klargestellt, dass jeder Schaden einen Schadensersatzanspruch begründen kann. Ein bestimmter Grad an Erheblichkeit ist gerade nicht erforderlich.
Im Arbeitsrechtlichen Beschäftigungsverhältnis kommt es zu einer Vielzahl von Verarbeitungsvorgängen. Insbesondere nachdem es zuletzt fraglich geworden ist, ob Betriebsvereinbarungen noch als Rechtsgrundlage für Verarbeitungsvorgänge herangezogen werden können (Betriebsvereinbarung als Grundlage für Datenverarbeitung?) besteht stets das Risiko, dass es zu vermeintlich überschießender Datenverarbeitung kommt.
In dem der Entscheidung des EuGH zugrundeliegenden Fall verklagte ein österreichischer Staatsbürger die österreichische Post auf Zahlung von Schadensersatz, weil diese mit Hilfe eines Algorithmus Informationen über die politischen Affinitäten des Klägers gesammelt hatte. Dafür berücksichtigte der Algorithmus verschiedene soziale und demografische Merkmale des Klägers. Der Kläger hatte der Verarbeitung seiner personenbezogenen Daten nicht zugestimmt. Die gesammelten Informationen wurden zwar nicht an Dritte übermittelt, der Kläger fühlte sich jedoch dadurch beleidigt, dass ihm eine Affinität zu der fraglichen Partei zugeschrieben wurde. Die Speicherung von Daten zu seinen mutmaßlichen politischen Meinungen durch die österreichische Post, habe bei ihm großes Ärgernis und einen Vertrauensverlust, sowie ein Gefühl der Bloßstellung ausgelöst. Außer einer vorübergehenden gefühlsmäßigen Beeinträchtigung konnte jedoch kein Schaden festgestellt werden. Der Kläger war der Auffassung, dass ihm aufgrund einer Verletzung der DSGVO ein immaterieller Schadensersatzanspruch in Höhe von EUR 1.000 aus Art. 82 DSGVO zustehe.
Der EuGH hat auf die Vorlagefrage des obersten österreichischen Gerichtshofs entschieden, dass der bloße Verstoß gegen die DSGVO noch nicht ausreiche, um einen Schadensersatzanspruch zu begründen. Für einen entsprechenden Anspruch müssten drei Voraussetzungen kumulativ vorliegen: (1.) Es muss ein Verstoß gegen die DSGVO vorliegen, (2.) bei der betroffenen Person muss tatsächlich ein Schaden entstanden sein und (3.) es muss ein Kausalzusammenhang zwischen dem fraglichen Verstoß und dem entstandenen Schaden bestehen. Diese Voraussetzungen waren im Ausgangsfall nicht gegeben.
Aus Arbeitgebersicht ist die Entscheidung des EuGH grundsätzlich zu begrüßen. Im Arbeitsverhältnis werden eine Vielzahl von Daten der Arbeitnehmer verarbeitet und auch häufig ins Ausland übermittelt. Die Gefahr, dass nicht jeder einzelne Verarbeitungsvorgang den Anforderungen der DSGVO entspricht hängt, bei aller Sorgfalt, stets wie ein Damoklesschwert über dem Arbeitgeber. Hatten Arbeitgeber nach Inkrafttreten der DSGVO häufig versucht, das Risiko durch den Abschluss von Betriebsvereinbarungen zu verringern, so scheint auch dies aufgrund der neuesten Rechtsprechung des EuGH keine Möglichkeit mehr zu sein, das Risiko wirksam einzuschränken.
Derzeit besteht noch erhebliche Unklarheit dahingehend, unter welchen Voraussetzungen und in welchem Umfang Schadenersatz an Arbeitnehmer zu leisten ist, die von unzulässiger Datenverarbeitung betroffen sind.
Die Entscheidung des EuGH schafft hier zumindest dahingehend Klarheit, dass es nicht mehr ausreichend ist, wenn der Arbeitnehmer lediglich einen Verstoß gegen die DSGVO darlegt. Vielmehr muss er auch einen konkreten individuellen Schaden nachweisen können.
Der EuGH hat jedoch ebenfalls klargestellt, dass der immaterielle Schaden der betroffenen Person keinen bestimmten Grad an Erheblichkeit erreichen muss. Eine solche Einschränkung des Schadenersatzanspruchs sehe die DSGVO nicht vor. Jeder auch immaterielle Schaden begründe – dem Grundsatz nach – einen Schadenersatzanspruch der betroffenen Person.
Nach der Rechtsprechung des EuGH können sich Arbeitgeber daher nicht mehr auf die Unerheblichkeit eines Schadens berufen. Diesem Einwand hat der EuGH einen klaren Riegel vorgeschoben.
Die Ermittlung, ob tatsächlich ein Schaden vorliegt, rückt damit ins Zentrum. Dies dürfte in der Praxis weiterhin eine große Herausforderung darstellen. Der EuGH hat in seinem Urteil klargestellt, dass die Feststellung, ob durch die Verletzung der DSGVO ein Schaden versursacht wurde, weiterhin den nationalen Gerichten obliegt. Diese hätten auch über die Festsetzung der Höhe des Schadensersatzes zu entscheiden. Insbesondere die Feststellung des Vorliegens immaterieller Schäden erweist sich in der Praxis häufig als problematisch.
Zusammenfassend lässt sich sagen, dass das Urteil des EuGH zwar einige Unklarheiten beseitigt, aber abzuwarten bleibt, ob und wie die nationalen Gerichte nun klare Vorgaben für das Vorliegen eines immateriellen Schadens schaffen werden. Für Arbeitgeber gilt weiterhin, dass beim Umgang mit Arbeitnehmerdaten große Sorgfalt an den Tag zu legen ist, da neben Schadenersatzforderungen schließlich auch weiterhin die Verhängung eines Bußgeldes nach Art. 83 DSGVO droht.