OGH 6Ob90/23p

Spruch:

Das Verfahren bleibt bis zur Entscheidung des Gerichtshofs der Europäischen Union über die Vorabentscheidungsersuchen des Bundesarbeitsgerichts vom 8. 11. 2021 zu C-667/21 und des Amtsgerichts München, eingereicht am 10. und 11. 3. 2022 zu C‑182/22 und C‑189/22 unterbrochen und wird von Amts wegen fortgesetzt.

Begründung:

[1] Die Klägerin bringt im Wesentlichen vor, sie habe an die Beklagte am 17. 5. 2019 einen auf Art 15 Abs 1 DSGVO gestützten Antrag auf Auskunft gestellt. Diese Auskunft sei entgegen Art 12 Abs 1 Satz 1 DSGVO ungenügend und nicht in verständlicher Form erteilt worden. Sie begehrt, gestützt auf Art 82 DSGVO, neben der Auskunft auch immateriellen Schadenersatz in Höhe von 2.500 EUR. Sie habe die Kontrolle über ihre Daten verloren und leide an dem „unguten“ Gefühl, dass die Beklagte über personenbezogene Informationen verfüge, die die Klägerin freiwillig nie offengelegt hätte.

[2] Die Beklagte meint, die Auskunft ausreichend und verständlich erteilt zu haben, und bestreitet, dass – sollte von einem Verstoß gegen die DSGVO ausgegangen werden – bei ihr kein Verschulden vorgelegen sei.

Rechtliche Beurteilung​

[3] Die Vorinstanzen wiesen das Klagebegehren ab.

[4] 1.1. Das Verfahren wurde bis zur Entscheidung des Gerichtshofs der Europäischen Union (EuGH) über die Vorabentscheidungsersuchen vom 18. 2. 2021, AZ 6 Ob 159/20f, und vom 15. 4. 2021, AZ 6 Ob 35/21x, unterbrochen.

[5] 1.2. In der Rechtssache zu 6 Ob 159/20f hatte der Senat mit Beschluss vom 18. 2. 2021 dem EuGH gemäß Art 267 AEUV folgende Frage zur Vorabentscheidung vorgelegt:

„Ist Art 15 Abs 1 lit c der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, ABl L 119/1 vom 4. Mai 2016, S 1; im Folgenden 'DSGVO') dahingehend auszulegen, dass sich der Anspruch auf die Auskunft über Empfängerkategorien beschränkt, wenn konkrete Empfänger bei geplanten Offenlegungen noch nicht feststehen, der Auskunftsanspruch sich aber zwingend auch auf Empfänger dieser Offenlegungen erstrecken muss, wenn Daten bereits offengelegt worden sind?“

[6] Der EuGH hat mit Urteil vom 12. 1. 2023, C‑154/21 , diese Frage wie folgt beantwortet:

„Art. 15 Abs. 1 Buchst. c der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass das in dieser Bestimmung vorgesehene Recht der betroffenen Person auf Auskunft über die sie betreffenden personenbezogenen Daten bedingt, dass der Verantwortliche, wenn diese Daten gegenüber Empfängern offengelegt worden sind oder noch offengelegt werden, verpflichtet ist, der betroffenen Person die Identität der Empfänger mitzuteilen, es sei denn, dass es nicht möglich ist, die Empfänger zu identifizieren, oder dass der Verantwortliche nachweist, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 der Verordnung 2016/679 sind; in diesem Fall kann der Verantwortliche der betroffenen Person lediglich die Kategorien der betreffenden Empfänger mitteilen.“

[7] 1.3. In der Rechtssache zu 6 Ob 35/21x hatte der erkennende Senat dem EuGH folgende Fragen zur Vorabentscheidung vorgelegt:

„1. Erfordert der Zuspruch von Schadenersatz nach Art 82 DSGVO neben einer Verletzung von Bestimmungen der DSGVO auch, dass der Kläger einen Schaden erlitten hat, oder reicht bereits die Verletzung von Bestimmungen der DSGVO als solche für die Zuerkennung von Schadenersatz aus?

2. Bestehen für die Bemessung des Schadenersatzes neben den Grundsätzen der Effektivität und Äquivalenz weitere Vorgaben des Unionsrechts?

3. Ist die Auffassung mit dem Unionsrecht vereinbar, das Voraussetzung für den Zuspruch immateriellen Schadens ist, dass eine Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht vorliegt, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinaus geht?“

[8] Der EuGH hat mit Urteil vom 4. 5. 2023, C‑300/21 , diese Fragen wie folgt beantwortet:

„1. Art. 82 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen.

2. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass er einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat.

3. Art. 82 der Verordnung 2016/679 ist dahin auszulegen, dass die nationalen Gerichte bei der Festsetzung der Höhe des Schadenersatzes, der aufgrund des in diesem Artikel verankerten Schadenersatzanspruchs geschuldet wird, die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden haben, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden.“

[9] 2. Aus diesen Antworten folgt, dass grundsätzlich die Empfänger der personenbezogenen Daten (und nicht bloß Kategorien von Empfängern) bekannt zu geben sind und dass Schadenersatz nach Art 82 Abs 1 DSGVO (zwar) den Eintritt eines durch den Verstoß entstandenen Schadens voraussetzt, nicht aber davon abhängig ist, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat.

[10] 3. Derzeit behängen weitere (zeitlich nach den vorgenannten gestellten) Vorabentscheidungsersuchen beim EuGH, die (zur Schadensbemessung und im Hinblick auf den Einwand der Beklagten, sie träfe kein Verschulden) für den Ausgang des vorliegenden Rechtsstreits von Bedeutung sind.

[11] In den Vorabentscheidungsersuchen des Amtsgerichts München, eingereicht am 10. und 11. 3. 2022, (C‑182/22 und C‑189/22 ) werden unter anderem Fragen zur Bemessung des Schadenersatzes nach Art 82 Abs 1 DSGVO und insbesondere auch zur Frage, ob Schadenersatz nach Art 82 Abs 1 DSGVO vom Verschulden unabhängig ist, wie folgt aufgeworfen:

„1. Ist Art. 82 DS-GVO dahin auszulegen, dass dem Schadensersatzanspruch auch iRd Bemessung seiner Höhe kein Sanktionscharakter, insb. keine generelle oder spezielle Abschreckungsfunktion zukommt, sondern der Anspruch auf Schadensersatz nur eine Ausgleichs- und uU Genugtuungsfunktion hat?

2.a Ist für die Bemessung des immateriellen Schadensersatzanspruchs als Verständnis davon auszugehen, dass der Schadensersatzanspruch auch eine individuelle Genugtuungsfunktion hat – hier verstanden als das im Privaten des Verletzten bleibende Interesse, das verursachende Verhalten geahndet zu sehen, oder kommt dem Schadensersatzanspruch nur eine Ausgleichsfunktion zu – hier verstanden als die Funktion, erlittene Beeinträchtigungen zu kompensieren?

2.b.1. Wenn davon auszugehen ist, dass dem immateriellen Schadensersatzanspruch sowohl Ausgleichs- als auch Genugtuungsfunktion zukommt: Ist bei seiner Bemessung davon auszugehen, dass die Ausgleichsfunktion einen strukturellen oder zumindest als Regel-Ausnahme-Verhältnis zu sehenden Vorrang vor der Genugtuungsfunktion hat? Führt dies dazu, dass eine Genugtuungsfunktion nur bei vorsätzlichen ober grob fahrlässigen Verletzungen in Betracht kommt?

2.b.2. Wenn dem immateriellen Schadensersatzanspruch keine Genugtuungsfunktion zukommt: Führen bei seiner Bemessung nur vorsätzliche oder grob fahrlässige Datenschutzverletzungen als Beurteilung von Verursachungsbeiträgen zu zusätzlichem Gewicht?

3. Ist für das Verständnis des immateriellen Schadensersatzes in seiner Bemessung von einem strukturellen Rangverhältnis oder zumindest Regel-Ausnahme-Rangverhältnis auszugehen, bei dem das von einer Datenverletzung ausgehende Beeinträchtigungserleben weniger Gewicht hat als das mit einer Körperverletzung verknüpfte Beeinträchtigungs- und Schmerzerleben?

4. Steht einem nationalen Gericht offen, wenn von einem Schaden auszugehen ist, angesichts fehlender Schwere einen materiell nur im Geringfügigen bleibenden und damit uU von Verletztenseite oder allgemein nur als symbolisch empfundenen Schadensersatz zuzusprechen?“

[12] Das deutsche Bundesarbeitsgericht ersuchte mit Beschluss vom 8. 11. 2021 (C‑667/21 ) unter anderem um Beantwortung folgender Fragen:

„4. Hat Art. 82 Abs. 1 DS-GVO spezial- bzw. generalpräventiven Charakter und muss dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DS‑GVO zulasten des Verantwortlichen bzw. Auftragsverarbeiters berücksichtigt werden?

5. Kommt es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DS‑GVO auf den Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters an? Insbesondere, darf ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen bzw. Auftragsverarbeiters zu dessen Gunsten berücksichtigt werden?“

[13] Zu dem zuletzt genannten Ersuchen liegen die Schlussanträge des Generalanwalts bereits vor (22. 5. 2023, ECLI:EU:C:2023:433). Der Generalanwalt sieht Schadenersatz nach Art 82 Abs 1 DSGVO nicht als vom Verschulden abhängig und dafür nicht einmal ein ganz geringfügiges Verschulden als notwendig an (Rn 96 f).

[14] 4. Da der Lösung der in diesen Vorabentscheidungsersuchen gestellten Fragen auch Bedeutung für die Entscheidung im vorliegenden Fall zukommt, zumal auch der Oberste Gerichtshof von einer allgemeinen Wirkung der Vorabentscheidung des EuGH auszugehen und diese auch für andere Fälle als den unmittelbaren Anlassfall anzuwenden hat, war das vorliegende Verfahren aus prozessökonomischen Gründen zu unterbrechen (RS0110583).