EuGH: Keine Erheblichkeitsschwelle für ersatzfähige Schäden
EuGH-Urteil (Az.: C-300/21) vom 4. Mai 2023: Keine Erheblichkeitsschwelle für ersatzfähige Schäden
Wer als Betroffener eines Datenlecks mit Hilfe seiner Rechtsschutzversicherung gegen den Verantwortlichen vorgehen und seine Ansprüche (unter anderem Schadensersatz nach Art. 82 DSGVO) geltend machen möchte, wurde zuletzt häufig mit einer inhaltsgleichen Ablehnung seines Versicherers konfrontiert.
Dabei stützen sich die Versicherer in Ihren Ablehnungen vermehrt auf die Begründung, ein bloßer Verstoß gegen die DSGVO würde den Schadensersatzanspruch nach Art. 82 DSGVO nicht begründen. Vielmehr bedürfe es eines nicht nur unerheblichen ersatzfähigen Schadens. Häufig von Versicherungsnehmern genannte Beeinträchtigungen wie Spam E-Mails oder Anrufe sowie mentale Beeinträchtigungen wie ein gesteigertes Unwohlsein oder die Sorge vor Missbrauch der veröffentlichten Daten für kriminelle Zwecke, würden als Bagatellschäden zum allgemeinen Lebensrisiko gehören und den Schadensersatzanspruch gemäß Art. 82 DSGVO nicht begründen.
Mit einem richtungsweisenden Urteil hat der Europäische Gerichtshof (EuGH) am 4. Mai 2023 diese zwischen Versicherungsnehmern und Versicherern bestehenden Streitfragen endgültig geklärt und die Voraussetzungen für Schadensersatzansprüche nach Art. 82 der Datenschutzgrundverordnung (DSGVO) konkretisiert. Danach bedarf es für einen Anspruch die folgenden drei Voraussetzungen:
1. Ein Verstoß gegen Vorschriften der DSGVO,
2. Der Eintritt eines materiellen oder immateriellen Schadens und
3. Eine Kausalität zwischen dem Verstoß und dem Schaden.
Übereinstimmend mit der Rechtsauffassung vieler Versicherer stellt der EuGH in seiner Entscheidung klar, „dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen.“ (vgl. EuGH Az.: C-300/21, Rn. 42). Damit wird endgültig entschieden, dass ein tatsächlicher Schaden aufgrund des Verstoßes gegen die DSGVO eingetreten sein muss.
Interessanterweise hat der EuGH jedoch bei den Ausführungen zur zweiten Vorlagefrage festgestellt, dass für diesen Schaden keine Erheblichkeitsschwelle gilt - jeder festgestellte Schaden ist demnach ersatzfähig. Das folgt daraus, dass Art. 82 DSGVO nur die explizite Feststellung enthält, sowohl materielle als auch immaterielle Schäden zu umfassen. Eine potenzielle Signifikanzschwelle ist nicht erwähnt und ist auch nicht mit Blick auf den Zusammenhang, in den sich die Bestimmung einfügt, erkennbar. Vielmehr würde der Ersatz eines, von einer Erheblichkeitsschwelle abhängigen, immateriellen Schadens die Regelung beeinträchtigen. Vielmehr sollen nationale Gerichte den Anspruch durch die Festsetzung unterschiedlicher Schadensersatzbeträge für Einzelfall auslegen.
Diese Klarstellung hat erhebliche Auswirkungen nicht nur auf Hauptsacheverfahren, sondern auch auf die Deckungsverfahren der Rechtsschutzversicherer. Die häufig angeführte Ansicht, dass allein der Verstoß den Schadensersatzanspruch nicht begründet, wurde durch die Entscheidung bekräftigt. Es ist jedoch zu beachten, dass in den seltensten Fällen die Versicherungsnehmer tatsächlich nur auf Grund des Verstoßes Schadensersatz forderten. Vielmehr liegt der Fokus in der Ablehnung der Versicherer auf dem zweiten Teil der Entscheidung des EuGH, nämlich der Argumentation zur Erheblichkeitsschwelle.
In konsequenter Anwendung der rechtlichen Beurteilung des EuGH können sich die Versicherer nicht länger darauf berufen, dass die vorgetragenen Beeinträchtigungen der Versicherungsnehmer als Bagatellschäden dem allgemeinen Lebensrisiko zuzuordnen und somit nicht kompensationsberechtigt sind – denn jeder entstandene Schaden ist grundsätzlich ersatzfähig.
Es ist daher im Lichte der Rechtsprechung des EuGH zu erwarten, dass die Versicherer für künftige Anfragen ihrer Versicherungsnehmer bereitwilliger Deckungsschutz für Schadensersatzansprüche nach Art. 82 DSGVO gewähren werden – vorausgesetzt die Versicherungsnehmer können tatsächliche Beeinträchtigungen vorbringen.
Zusammenfassend lässt sich festhalten, dass der EuGH mit seiner Entscheidung die (wohl herrschende) Auffassung zum Eintritt eines Schadens nunmehr endgültig bestätigt hat. Jedoch mit der für den Deckungsschutz nicht unerheblichen Maßgabe, dass jeglicher tatsächlich eingetretene Schaden auch einen ersatzfähigen Schaden darstellt. Nach dieser Entscheidung scheint sich die Waage für eine positive Deckungszusage in Richtung der Versicherungsnehmer geneigt zu haben. Sie unterstreicht jedoch auch die Notwendigkeit einer sorgfältigen Einzelfallprüfung bei der Geltendmachung von Schadensersatzansprüchen im Falle eines DSGVO-Verstoßes – denn auch nach Ansicht des EuGH gibt es ohne Schaden keinen Schadensersatz.