EuGH: Immaterieller Schaden i. S. d. Art. 82 Abs. 1 DSGVO bei Kontrollverlust

EuGH, Urteil vom 4.9.2025 – C-655/23, IP gegen Quirin Privatbank AG

ECLI:EU:C:2025:655

Volltext: BB-Online BBL2025-2113-2

unter www.betriebs-berater.de

Tenor

1.Die Bestimmungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind dahin auszulegen, dass sie zugunsten der von der unrechtmäßigen Verarbeitung personenbezogener Daten betroffenen Person für den Fall, dass diese Person nicht die Löschung ihrer Daten beantragt, keinen gerichtlichen Rechtsbehelf vorsehen, der es ihr ermöglicht, präventiv zu erwirken, dass dem Verantwortlichen auferlegt wird, künftig eine erneute unrechtmäßige Verarbeitung zu unterlassen. Allerdings hindern sie die Mitgliedstaaten nicht daran, einen solchen Rechtsbehelf in ihren jeweiligen Rechtsordnungen vorzusehen.

2. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass der Begriff „immaterieller Schaden“ in dieser Bestimmung negative Gefühle umfasst, die die betroffene Person infolge einer unbefugten Übermittlung ihrer personenbezogenen Daten an einen Dritten empfindet, wie z. B. Sorge oder Ärger, und die durch einen Verlust der Kontrolle über diese Daten, ihre mögliche missbräuchliche Verwendung oder eine Rufschädigung hervorgerufen werden, sofern die betroffene Person nachweist, dass sie solche Gefühle samt ihrer negativen Folgen aufgrund des in Rede stehenden Verstoßes gegen diese Verordnung empfindet.

3. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass er dem entgegensteht, dass der Grad des Verschuldens des Verantwortlichen bei der Bemessung der Höhe des nach dieser Bestimmung geschuldeten Ersatzes eines immateriellen Schadens berücksichtigt wird.

4. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass er dem entgegensteht, dass der Umstand, dass die betroffene Person nach dem anwendbaren nationalen Recht eine Anordnung – die dem Verantwortlichen entgegengehalten werden kann – erwirkt hat, die Wiederholung eines Verstoßes gegen diese Verordnung zu unterlassen, in der Form berücksichtigt wird, dass dadurch der Umfang der nach dieser Bestimmung geschuldeten finanziellen Entschädigung für einen immateriellen Schaden gemindert wird oder diese Entschädigung sogar ersetzt wird.

 

Aus den Gründen

1          Das Vorabentscheidungsersuchen betrifft die Auslegung der Art. 17, 18, 79, 82 und 84 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, im Folgenden: DSGVO).

 

2          Es ergeht im Rahmen eines Rechtsstreits zwischen IP, einer natürlichen Person, und der Quirin Privatbank AG, einer Gesellschaft, über den Antrag dieser Person, zum einen dieser Gesellschaft aufzuerlegen, eine erneute unbefugte Offenlegung ihrer personenbezogenen Daten an einen Dritten zu unterlassen, und zum anderen auf Ersatz des immateriellen Schadens, der ihr infolge der ursprünglichen Offenlegung dieser Daten entstanden sein soll.

 

Rechtlicher Rahmen

Unionsrecht

3          In den Erwägungsgründen 1, 10, 11, 75, 85 und 146 der DSGVO heißt es:

„(1) Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Gemäß Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union (im Folgenden ‚Charta‘) sowie Artikel 16 Absatz 1 [AEUV] hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten.

…

(10) Um ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und die Hemmnisse für den Verkehr personenbezogener Daten in der [Europäischen] Union zu beseitigen, sollte das Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten gleichwertig sein. Die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten von natürlichen Personen bei der Verarbeitung personenbezogener Daten sollten unionsweit gleichmäßig und einheitlich angewandt werden. … Diese Verordnung bietet den Mitgliedstaaten zudem einen Spielraum für die Spezifizierung ihrer Vorschriften, auch für die Verarbeitung besonderer Kategorien von personenbezogenen Daten (im Folgenden ‚sensible Daten‘). Diesbezüglich schließt diese Verordnung nicht Rechtsvorschriften der Mitgliedstaaten aus, in denen die Umstände besonderer Verarbeitungssituationen festgelegt werden, einschließlich einer genaueren Bestimmung der Voraussetzungen, unter denen die Verarbeitung personenbezogener Daten rechtmäßig ist.

(11) Ein unionsweiter wirksamer Schutz personenbezogener Daten erfordert die Stärkung und präzise Festlegung der Rechte der betroffenen Personen sowie eine Verschärfung der Verpflichtungen für diejenigen, die personenbezogene Daten verarbeiten und darüber entscheiden, ebenso wie – in den Mitgliedstaaten – gleiche Befugnisse bei der Überwachung und Gewährleistung der Einhaltung der Vorschriften zum Schutz personenbezogener Daten sowie gleiche Sanktionen im Falle ihrer Verletzung.

…

(75) Die Risiken für die Rechte und Freiheiten natürlicher Personen – mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere – können aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einem physischen, materiellen oder immateriellen Schaden führen könnte, insbesondere wenn die Verarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder ‑betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann, wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren …

…

(85) Eine Verletzung des Schutzes personenbezogener Daten kann – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder ‑betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person. …

…

(146) Der Verantwortliche oder der Auftragsverarbeiter sollte Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, ersetzen. Der Verantwortliche oder der Auftragsverarbeiter sollte von seiner Haftung befreit werden, wenn er nachweist, dass er in keiner Weise für den Schaden verantwortlich ist. Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht. Dies gilt unbeschadet von Schadenersatzforderungen aufgrund von Verstößen gegen andere Vorschriften des Unionsrechts oder des Rechts der Mitgliedstaaten. Zu einer Verarbeitung, die mit der vorliegenden Verordnung nicht im Einklang steht, zählt auch eine Verarbeitung, die nicht mit den nach Maßgabe der vorliegenden Verordnung erlassenen delegierten Rechtsakten und Durchführungsrechtsakten und Rechtsvorschriften der Mitgliedstaaten zur Präzisierung von Bestimmungen der vorliegenden Verordnung im Einklang steht. Die betroffenen Personen sollten einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. …“

 

4          Art. 1 („Gegenstand und Ziele“) Abs. 2 DSGVO bestimmt:

„Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.“

 

5          Art. 4 („Begriffsbestimmungen“) DSGVO sieht vor:

„Im Sinne dieser Verordnung bezeichnet der Ausdruck:

1. ‚personenbezogene Daten‘ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ‚betroffene Person‘) beziehen …

2. ‚Verarbeitung‘ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie … die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

…

7. ‚Verantwortlicher‘ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet …

…

10. ‚Dritter‘ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;

…

12. ‚Verletzung des Schutzes personenbezogener Daten‘ eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung … oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;

…“

 

6          Kapitel II („Grundsätze“) DSGVO umfasst deren Art. 5 bis 11.

 

7          Art. 5 („Grundsätze für die Verarbeitung personenbezogener Daten“) DSGVO bestimmt:

„(1) Personenbezogene Daten müssen

a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (‚Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz‘);

b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden … (‚Zweckbindung‘);

c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (‚Datenminimierung‘);

…

f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen (‚Integrität und Vertraulichkeit‘)[.]

(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (‚Rechenschaftspflicht‘).“

 

8          In Art. 6 („Rechtmäßigkeit der Verarbeitung“) Abs. 1 DSGVO heißt es:

„Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

…“

 

9          Kapitel III („Rechte der betroffenen Person“) DSGVO umfasst deren Art. 12 bis 23.

 

10        Art. 17 („Recht auf Löschung [‚Recht auf Vergessenwerden‘])“ Abs. 1 DSGVO in Abschnitt 3 („Berichtigung und Löschung“) dieses Kapitels III sieht vor:

„Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:

…

c) Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch gegen die Verarbeitung ein.

d) Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.

…“

 

11        Art. 18 („Recht auf Einschränkung der Verarbeitung“) Abs. 1 DSGVO, der ebenfalls in diesem Abschnitt 3 steht, bestimmt:

„Die betroffene Person hat das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:

…

b) die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung der personenbezogenen Daten ablehnt und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt;

c) der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt …

…“

 

12        Kapitel VIII („Rechtsbehelfe, Haftung und Sanktionen“) DSGVO enthält deren Art. 77 bis 84.

 

13        Art. 77 DSGVO trägt die Überschrift „Recht auf Beschwerde bei einer Aufsichtsbehörde“ und Art. 78 DSGVO ist mit „Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde“ überschrieben.

 

14        Art. 79 („Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter“) Abs. 1 DSGVO sieht vor:

„Jede betroffene Person hat unbeschadet eines verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs einschließlich des Rechts auf Beschwerde bei einer Aufsichtsbehörde gemäß Artikel 77 das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden.“

 

15        In Art. 82 („Haftung und Recht auf Schadenersatz“) DSGVO heißt es:

„(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

…

(3) Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.

…“

 

16        Art. 83 („Allgemeine Bedingungen für die Verhängung von Geldbußen“) Abs. 2 DSGVO sieht vor:

„… Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt:

a) Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens;

b) Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;

c) jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;

…

k) jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.“

 

17        Art. 84 („Sanktionen“) Abs. 1 DSGVO lautet:

„Die Mitgliedstaaten legen die Vorschriften über andere Sanktionen für Verstöße gegen diese Verordnung – insbesondere für Verstöße, die keiner Geldbuße gemäß Artikel 83 unterliegen – fest und treffen alle zu deren Anwendung erforderlichen Maßnahmen. Diese Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein.“

 

Deutsches Recht

18        Art. 2 Abs. 1 des Grundgesetzes für die Bundesrepublik Deutschland vom 23. Mai 1949 (BGBl. 1949 I S. 1) in der auf den Ausgangsrechtsstreit anwendbaren Fassung bestimmt:

„Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit, soweit er nicht die Rechte anderer verletzt und nicht gegen die verfassungsmäßige Ordnung oder das Sittengesetz verstößt.“

 

19        § 253 („Immaterieller Schaden“) des Bürgerlichen Gesetzbuchs in der auf den Ausgangsrechtsstreit anwendbaren Fassung (im Folgenden: BGB) sieht vor:

„(1) Wegen eines Schadens, der nicht Vermögensschaden ist, kann Entschädigung in Geld nur in den durch das Gesetz bestimmten Fällen gefordert werden.

(2) Ist wegen einer Verletzung des Körpers, der Gesundheit, der Freiheit oder der sexuellen Selbstbestimmung Schadensersatz zu leisten, kann auch wegen des Schadens, der nicht Vermögensschaden ist, eine billige Entschädigung in Geld gefordert werden.“

 

20        In § 823 („Schadensersatzpflicht“) BGB heißt es:

„(1) Wer vorsätzlich oder fahrlässig das Leben, den Körper, die Gesundheit, die Freiheit, das Eigentum oder ein sonstiges Recht eines anderen widerrechtlich verletzt, ist dem anderen zum Ersatz des daraus entstehenden Schadens verpflichtet.

(2) Die gleiche Verpflichtung trifft denjenigen, welcher gegen ein den Schutz eines anderen bezweckendes Gesetz verstößt. Ist nach dem Inhalt des Gesetzes ein Verstoß gegen dieses auch ohne Verschulden möglich, so tritt die Ersatzpflicht nur im Falle des Verschuldens ein.“

 

21        § 1004 („Beseitigungs- und Unterlassungsanspruch“) Abs. 1 BGB lautet:

„Wird das Eigentum in anderer Weise als durch Entziehung oder Vorenthaltung des Besitzes beeinträchtigt, so kann der Eigentümer von dem Störer die Beseitigung der Beeinträchtigung verlangen. Sind weitere Beeinträchtigungen zu besorgen, so kann der Eigentümer auf Unterlassung klagen.“

 

22        Nach dem Vorlagebeschluss ist § 1004 BGB im Ausgangsverfahren analog auf die Verletzung absoluter Rechte oder die Verletzung eines Schutzgesetzes im Sinne von § 823 Abs. 1 bzw. Abs. 2 BGB anwendbar.

 

Ausgangsrechtsstreit und Vorlagefragen

23        Der Kläger des Ausgangsverfahrens befand sich bei der Quirin Privatbank, einer Gesellschaft deutschen Rechts, in einem Bewerbungsprozess, der über ein Online-Karrierenetzwerk stattfand. Im Zuge dessen versandte eine Mitarbeiterin dieser Gesellschaft über den Messenger-Dienst des Netzwerks eine nur für den Kläger des Ausgangsverfahrens bestimmte Nachricht, in der sie ihn von der Ablehnung seiner Gehaltsvorstellungen in Kenntnis setzte und ihm eine andere Vergütung anbot (im Folgenden: in Rede stehende Nachricht), an eine dritte, nicht am Bewerbungsprozess beteiligte Person. Dieser Dritte, der zuvor mit dem Kläger des Ausgangsverfahrens gearbeitet hatte und ihn deshalb kannte, leitete die Nachricht an den Kläger weiter und fragte, ob er auf Stellensuche sei.

 

24        Der Kläger des Ausgangsverfahrens erhob Klage vor dem Landgericht Darmstadt (Deutschland), mit der er beantragte, die Quirin Privatbank zu verurteilen, zum einen jede Verarbeitung personenbezogener Daten über ihn, die im Zusammenhang mit seiner Bewerbung stehen, zu unterlassen, wenn dadurch die unbefugte Offenlegung dieser Daten infolge des Versendens der in Rede stehenden Nachricht wiederholt wird, und ihm zum anderen Schadensersatz für den immateriellen Schaden zu zahlen, der durch dieses Ereignis entstanden sei. Im Wesentlichen machte er geltend, dieser Schaden liege in seinen Sorgen, die dadurch entstanden seien, dass mindestens eine dritte Person, die ihn kenne und in der gleichen Branche tätig sei wie er, in die Lage versetzt worden sei, diese vertraulichen Daten an ehemalige oder potenzielle Arbeitgeber weiterzugeben, ihm gegenüber einen Vorteil in einer etwaigen Konkurrenzsituation bei einer Bewerbung zu haben und die von ihm beim Unterliegen in seinen Gehaltsverhandlungen empfundene Schmach wahrzunehmen.

 

25        Mit Urteil vom 26. Mai 2020 verurteilte das erstinstanzliche Gericht die Quirin Privatbank antragsgemäß zur Unterlassung und zur Zahlung von Schadensersatz in Höhe von 1 000 Euro nebst Zinsen an den Kläger des Ausgangsverfahrens. Die Quirin Privatbank legte Berufung gegen dieses Urteil ein.

 

26        Mit Urteil vom 2. März 2022 änderte das Oberlandesgericht Frankfurt (Deutschland) dieses Urteil teilweise ab. Es war der Auffassung, dem Kläger des Ausgangsverfahrens stehe gegen die Quirin Privatbank nach Art. 17 Abs. 1 DSGVO ein Anspruch auf Unterlassung der künftigen Verarbeitung seiner personenbezogenen Daten in einer mit der in Rede stehenden Nachricht vergleichbaren Form zu, und es bestehe insofern Wiederholungsgefahr. Den Antrag auf Schadensersatz gemäß Art. 82 DSGVO wies es dagegen mit der Begründung ab, dass zwar durch die Übermittlung personenbezogener Daten an einen unbeteiligten Dritten gegen die Vorschriften zum Schutz solcher Daten verstoßen worden sei, dass aber der Kläger des Ausgangsverfahrens den Nachweis eines konkreten Schadens nicht erbracht habe und dass selbst bei Unterstellung einer von ihm erlebten Schmach diese nicht als immaterieller Schaden zu bewerten sei.

 

27        Der Kläger des Ausgangsverfahrens und die Quirin Privatbank legten beim Bundesgerichtshof (Deutschland), dem vorlegenden Gericht, jeweils Revision gegen dieses Urteil ein. Vor diesem Gericht erhält Ersterer seine ursprünglichen Ansprüche aufrecht, während Letztere deren vollständige Abweisung begehrt.

 

28        Nach Auffassung des vorlegenden Gerichts fallen die vom Kläger des Ausgangsverfahrens beanstandeten Vorgänge in den Anwendungsbereich der DSGVO. Bei diesen Vorgängen handele es sich um eine „Verarbeitung“ „personenbezogener Daten“ der „betroffenen Person“ und die Quirin Privatbank sei „Verantwortliche“ im Sinne von Art. 4 Nrn. 1, 2 und 7 DSGVO. Es sei unstreitig, dass diese Vorgänge in Form einer unbefugten Übermittlung dieser Daten an einen „Dritten“ im Sinne von Art. 4 Nr. 10 DSGVO gegen die Bestimmungen dieser Verordnung verstoßen hätten und gemäß Art. 6 Abs. 1 DSGVO unrechtmäßig seien, insbesondere weil sie nicht durch eine Einwilligung des Klägers des Ausgangsverfahrens gedeckt gewesen seien.

 

29        Das vorlegende Gericht fragt sich erstens, ob die DSGVO einer Person, deren personenbezogene Daten unrechtmäßig verarbeitet wurden, einen Anspruch darauf verleiht, dass der Verantwortliche eine Wiederholung dieser Verarbeitung unterlässt, und zwar auch dann, wenn diese Person nicht die Löschung ihrer Daten begehrt. Unter Berücksichtigung der nationalen Rechtsprechung und der Diskussionen in der Literatur zu dieser Thematik möchte das vorlegende Gericht wissen, ob sich ein solcher Anspruch – der nach seinen Ausführungen allein präventiv geltend gemacht wird – aus Art. 17 DSGVO über das Recht auf Löschung, aus Art. 18 DSGVO über das Recht auf Einschränkung der Verarbeitung, aus Art. 79 DSGVO über das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter oder aus einer anderen Bestimmung der DSGVO ergeben könnte.

 

30        Zweitens möchte das vorlegende Gericht für den Fall, dass dies bejaht wird, in Anbetracht seiner eigenen auf Art. 2 des Grundgesetzes und eine Anwendung von § 823 in Verbindung mit § 1004 BGB gestützten Rechtsprechung zum einen wissen, ob ein solcher Anspruch darauf, dass der Verantwortliche einen erneuten Verstoß gegen die DSGVO unterlässt, vom Bestehen einer Wiederholungsgefahr abhängt, und zum anderen, ob eine solche gegebenenfalls aufgrund des ursprünglichen Verstoßes zu vermuten ist.

 

31        Drittens möchte das vorlegende Gericht für den umgekehrten Fall einer Verneinung der beiden Teile seiner ersten Frage wissen, ob sich aus Art. 79 DSGVO über das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche in Verbindung mit Art. 84 DSGVO über Sanktionen für Verstöße gegen diese Verordnung ergibt, dass ein Gericht eines Mitgliedstaats befugt ist, dem Verantwortlichen nach nationalen Bestimmungen eine solche Unterlassung aufzuerlegen, wenn es gleichzeitig der betroffenen Person die in den Art. 17, 18 und 82 DSGVO vorgesehenen Rechte gewährt.

 

32        Viertens möchte das vorlegende Gericht wissen, von welchen Voraussetzungen der Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DSGVO im Licht ihrer Erwägungsgründe 75 und 85 abhängt. Es fragt sich insbesondere, anhand welcher Merkmale ein „immaterieller Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO festgestellt werden kann, wenn sich die betroffene Person nur auf negative Gefühle beruft, die nach Ansicht des vorlegenden Gerichts Teil des allgemeinen Lebensrisikos sind.

 

33        Fünftens wirft das vorlegende Gericht die Frage auf, ob der Grad des Verschuldens des Verantwortlichen bei der Bemessung der Höhe des nach Art. 82 Abs. 1 DSGVO geschuldeten Ersatzes des immateriellen Schadens zu berücksichtigen ist. Nach deutschem Recht müsse bei der finanziellen Entschädigung für einen immateriellen Schaden u. a. der Grad des Verschuldens des Schädigers berücksichtigt werden, da diese Entschädigung gemäß der Rechtsprechung zu § 253 BGB sowohl eine Funktion des Ausgleichs für den dem Geschädigten entstandenen Schaden als auch eine Funktion der Genugtuung, die der Schädiger dem Geschädigten schulde, erfülle.

 

34        Sechstens möchte das vorlegende Gericht für den Fall der Bejahung eines der beiden Teile seiner ersten Frage oder seiner dritten Frage wissen, ob der Anspruch einer betroffenen Person darauf, dass der Verantwortliche einen erneuten Verstoß gegen die DSGVO unterlässt, ein relevanter Faktor ist, um den Ersatz eines immateriellen Schadens nach Art. 82 Abs. 1 DSGVO zu mindern oder sogar auszuschließen, wie dies nach deutschem Recht möglich wäre.

 

35        Vor diesem Hintergrund hat der Bundesgerichtshof beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:

1. a) Ist Art. 17 DSGVO dahin gehend auszulegen, dass der betroffenen Person, deren personenbezogene Daten von dem Verantwortlichen unrechtmäßig durch Weiterleitung offengelegt wurden, ein Anspruch gegen den Verantwortlichen auf Unterlassung einer erneuten unrechtmäßigen Weiterleitung dieser Daten zusteht, wenn sie vom Verantwortlichen keine Löschung der Daten verlangt?

b) Kann sich ein solcher Unterlassungsanspruch (auch) aus Art. 18 DSGVO oder einer sonstigen Bestimmung der DSGVO ergeben?

2. Falls Fragen 1a) und/oder 1b) bejaht werden:

a) Besteht der unionsrechtliche Unterlassungsanspruch nur dann, wenn künftig weitere Beeinträchtigungen der sich aus der DSGVO ergebenden Rechte der betroffenen Person zu besorgen sind (Wiederholungsgefahr)?

b) Wird das Bestehen der Wiederholungsgefahr gegebenenfalls aufgrund des bereits vorliegenden Verstoßes gegen die DSGVO vermutet?

3. Falls Fragen 1a) und 1b) verneint werden:

Ist Art. 84 in Verbindung mit Art. 79 DSGVO dahin gehend auszulegen, dass sie es dem nationalen Richter erlauben, der betroffenen Person, deren personenbezogene Daten von dem Verantwortlichen unrechtmäßig durch Weiterleitung offengelegt wurden, neben dem Ersatz des materiellen oder immateriellen Schadens nach Art. 82 DSGVO und den sich aus Art. 17 und Art. 18 DSGVO ergebenden Ansprüchen einen Anspruch gegen den Verantwortlichen auf Unterlassung einer erneuten unrechtmäßigen Weiterleitung dieser Daten nach den Bestimmungen des nationalen Rechts zuzusprechen?

4. Ist Art. 82 Abs. 1 DSGVO dahin gehend auszulegen, dass für die Annahme eines immateriellen Schadens im Sinne dieser Bestimmung bloße negative Gefühle wie z. B. Ärger, Unmut, Unzufriedenheit, Sorge und Angst, die an sich Teil des allgemeinen Lebensrisikos und oft des täglichen Erlebens sind, genügen? Oder ist für die Annahme eines Schadens ein über diese Gefühle hinausgehender Nachteil für die betroffene natürliche Person erforderlich?

5. Ist Art. 82 Abs. 1 DSGVO dahin gehend auszulegen, dass bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens der Grad des Verschuldens des Verantwortlichen oder Auftragsverarbeiters bzw. seiner Mitarbeiter ein relevantes Kriterium darstellt?

6. Falls Fragen 1a), 1b) oder 3 bejaht werden:

Ist Art. 82 Abs. 1 DSGVO dahin gehend auszulegen, dass bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens als anspruchsmindernd berücksichtigt werden kann, dass der betroffenen Person neben dem Anspruch auf Schadensersatz ein Unterlassungsanspruch zusteht?

 

Zu den Vorlagefragen

Zu den Fragen 1 bis 3

36        Mit seinen Fragen 1 bis 3, die zusammen zu prüfen sind, möchte das vorlegende Gericht im Wesentlichen wissen, ob die Bestimmungen der DSGVO dahin auszulegen sind, dass sie zugunsten der von der unrechtmäßigen Verarbeitung personenbezogener Daten betroffenen Person für den Fall, dass diese Person nicht die Löschung ihrer Daten beantragt, einen gerichtlichen Rechtsbehelf vorsehen, der es ihr ermöglicht, präventiv zu erwirken, dass dem Verantwortlichen auferlegt wird, künftig eine erneute unrechtmäßige Verarbeitung zu unterlassen, und ob sie, sollte dies verneint werden, die Mitgliedstaaten daran hindern, einen solchen Rechtsbehelf in ihren jeweiligen Rechtsordnungen vorzusehen.

 

37        Zunächst ist darauf hinzuweisen, dass bei der Auslegung einer unionsrechtlichen Vorschrift nicht nur ihr Wortlaut, sondern auch ihr Kontext und die Ziele zu berücksichtigen sind, die mit der Regelung, zu der sie gehört, verfolgt werden (Urteil vom 4. Oktober 2024, Lindenapotheke, C‑21/23, EU:C:2024:846, Rn. 52 und die dort angeführte Rechtsprechung).

 

38        Insoweit ist als Erstes anzumerken, dass die DSGVO auf dem Bestehen eines jeder natürlichen Person zuerkannten Rechts auf Schutz bei der Verarbeitung der sie betreffenden personenbezogenen Daten beruht. Dieser Schutz ist ein Grundrecht, das in Art. 8 Abs. 1 der Charta, auf den der erste Erwägungsgrund dieser Verordnung verweist, verankert ist. Das Ziel, die Wirksamkeit dieses Grundrechts zu gewährleisten, indem in allen Mitgliedstaaten ein hohes und gleichwertiges Schutzniveau gewährleistet wird, liegt, wie sich aus Art. 1 und dem zehnten Erwägungsgrund der DSGVO ergibt, der Anwendung dieser Verordnung zugrunde (vgl. in diesem Sinne Urteile vom 5. Oktober 2023, Ministerstvo zdravotnictví [Mobile App Covid-19], C‑659/22, EU:C:2023:745, Rn. 28, vom 4. Oktober 2024, Patērētāju tiesību aizsardzības centrs, C‑507/23, EU:C:2024:854, Rn. 28, und vom 3. April 2025, Ministerstvo zdravotnictví [Daten über den Vertreter einer juristischen Person], C‑710/23, EU:C:2025:231, Rn. 29).

 

39        Nach ständiger Rechtsprechung des Gerichtshofs müssen bei jeder Verarbeitung personenbezogener Daten die in Kapitel II DSGVO aufgestellten Grundsätze für die Verarbeitung solcher Daten sowie die in Kapitel III DSGVO geregelten Rechte der „betroffenen Person“ im Sinne von Art. 4 Nr. 1 DSGVO beachtet werden. Insbesondere muss die Verarbeitung mit den in Art. 5 DSGVO aufgestellten Grundsätzen für die Verarbeitung solcher Daten im Einklang stehen und die in Art. 6 der Verordnung aufgezählten Voraussetzungen für die Rechtmäßigkeit der Verarbeitung erfüllen (vgl. in diesem Sinne Urteile vom 19. Dezember 2024, K GmbH [Verarbeitung personenbezogener Beschäftigtendaten], C‑65/23, EU:C:2024:1051, Rn. 46, und vom 3. April 2025, Ministerstvo zdravotnictví [Daten über den Vertreter einer juristischen Person], C‑710/23, EU:C:2025:231, Rn. 33).

 

40        Wie der Generalanwalt in den Nrn. 32, 34 und 38 seiner Schlussanträge im Wesentlichen ausgeführt hat, proklamiert Art. 8 der Charta in seinem Abs. 1 das Recht auf Schutz personenbezogener Daten, verlangt aber in seinem Abs. 2 auch, dass diese Daten unter Einhaltung bestimmter Bedingungen verarbeitet werden, von denen die Rechtmäßigkeit der betreffenden Verarbeitung abhängt. Ebenso stehen den in Kapitel II DSGVO genannten Pflichten, die dem Verantwortlichen obliegen, bestimmte in dieser Verordnung vorgesehene Rechte, die den betroffenen Personen gewährt werden, als Pendant gegenüber. Diese Personen haben somit ein Recht auf rechtmäßige Verarbeitung ihrer personenbezogenen Daten, das die logische Folge der dem Verantwortlichen auferlegten allgemeinen Pflicht ist, solche Daten nicht in einer Weise zu verarbeiten, die nicht den Anforderungen dieser Verordnung entspricht.

 

41        Als Zweites hat der Gerichtshof wiederholt festgestellt, dass das Unionsrecht, einschließlich der Bestimmungen der Charta, die Mitgliedstaaten nicht dazu zwingt, neben den nach innerstaatlichem Recht bereits bestehenden Rechtsbehelfen neue zu schaffen, es sei denn, es gibt nach dem System der betreffenden nationalen Rechtsordnung keinen Rechtsbehelf, mit dem wenigstens inzident die Wahrung der den Einzelnen aus dem Unionsrecht erwachsenden Rechte gewährleistet werden könnte (Urteil vom 8. Mai 2025, Barało, C‑530/23, EU:C:2025:322, Rn. 99 und die dort angeführte Rechtsprechung).

 

42        Im vorliegenden Fall ist zunächst festzustellen, dass die im Ausgangsverfahren in Rede stehende Situation nicht die Möglichkeit für ein nationales Gericht betrifft, einstweilige Anordnungen zu erlassen, sondern die etwaige Möglichkeit für die betroffene Person, in der Hauptsache im Wege einer präventiven Klage eine Anordnung zu erwirken, mit der dem Verantwortlichen untersagt wird, diese Rechte erneut zu verletzen.

 

43        Insoweit enthält die DSGVO keine Bestimmungen, die ausdrücklich oder implizit vorsehen, dass die betroffene Person, wie das vorlegende Gericht in Betracht zieht, über ein Recht verfügt, präventiv im Wege einer Klage zu verlangen, dass der für die Verarbeitung personenbezogener Daten Verantwortliche verpflichtet wird, einen künftigen Verstoß gegen die Bestimmungen dieser Verordnung, insbesondere in Form der Wiederholung einer rechtswidrigen Verarbeitung, zu unterlassen. Insbesondere kann, wie der Generalanwalt in den Nrn. 54 bis 69 seiner Schlussanträge ausgeführt hat, ein solches Recht weder aus Art. 17 noch aus Art. 18 DSGVO abgeleitet werden.

 

44        Was Kapitel VIII DSGVO anbelangt, so regelt dieses Kapitel u. a. die Rechtsbehelfe, mit denen die Rechte der betroffenen Person geschützt werden können, wenn die sie betreffenden personenbezogenen Daten Gegenstand einer Verarbeitung gewesen sind, die mutmaßlich gegen die Bestimmungen dieser Verordnung verstößt. Der Schutz dieser Rechte kann u. a. unmittelbar von der betroffenen Person gemäß den Art. 77 bis 79 DSGVO beansprucht werden, die verschiedene Rechtsbehelfe vorsehen, die von dieser Person nebeneinander und unabhängig voneinander eingelegt werden können (vgl. in diesem Sinne Urteile vom 4. Oktober 2024, Lindenapotheke, C‑21/23, EU:C:2024:846, Rn. 47 und die dort angeführte Rechtsprechung, sowie vom 30. April 2025, Inspektorat kam Visshia sadeben savet, C‑313/23, C‑316/23 und C‑332/23, EU:C:2025:303, Rn. 128 und die dort angeführte Rechtsprechung).

 

45        Nach dem Wortlaut der Bestimmungen von Kapitel VIII DSGVO verpflichtet keine dieser Bestimmungen die Mitgliedstaaten, einen präventiven Rechtsbehelf wie den in Rn. 42 des vorliegenden Urteils beschriebenen vorzusehen. Insbesondere sieht Art. 79 Abs. 1 DSGVO lediglich vor, dass jede betroffene Person unbeschadet eines verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf hat, wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden. Der Wortlaut dieser Bestimmung verpflichtet die Mitgliedstaaten nicht, einen speziellen Rechtsbehelf vorzusehen, der es ermöglicht, mittels einer präventiven Klage eine Unterlassungsanordnung wie die vom vorlegenden Gericht in Betracht gezogene zu erwirken.

 

46        In Anbetracht des Wortlauts der Bestimmungen von Kapitel VIII DSGVO und insbesondere des Umstands, dass in Art. 79 Abs. 1 DSGVO das Recht jeder betroffenen Person auf einen wirksamen gerichtlichen Rechtsbehelf – wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden – „unbeschadet“ jeglichen anderen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs anerkannt wird, ist jedoch davon auszugehen, dass die Mitgliedstaaten nicht daran gehindert sind, einen solchen präventiven Rechtsbehelf mit dem Ziel vorzusehen, dem Verantwortlichen aufzuerlegen, jede weitere Verletzung dieser Rechte zu unterlassen (vgl. in diesem Sinne Urteil vom 4. Oktober 2024, Lindenapotheke, C‑21/23, EU:C:2024:846, Rn. 53).

 

47        Insoweit ist darauf hinzuweisen, dass die DSGVO zwar eine grundsätzlich vollständige Harmonisierung der nationalen Rechtsvorschriften zum Schutz personenbezogener Daten sicherstellen soll, mehrere ihrer Bestimmungen den Mitgliedstaaten aber ausdrücklich die Möglichkeit eröffnen, zusätzliche – strengere oder einschränkende – nationale Vorschriften vorzusehen, die ihnen ein Ermessen hinsichtlich der Art und Weise der Durchführung dieser Bestimmungen lassen („Öffnungsklauseln“) (Urteil vom 4. Oktober 2024, Lindenapotheke, C‑21/23, EU:C:2024:846, Rn. 57 und die dort angeführte Rechtsprechung).

 

48        Zwar enthalten die Bestimmungen von Kapitel VIII DSGVO keine solche spezielle Öffnungsklausel, die es den Mitgliedstaaten ausdrücklich erlaubt, der betroffenen Person, die den Verantwortlichen von einem Verstoß gegen die materiellen Bestimmungen dieser Verordnung abhalten möchte, die Möglichkeit einzuräumen, einen Rechtsbehelf einzulegen, um gegenüber dem Verantwortlichen eine entsprechende Unterlassungsanordnung zu erwirken. Der Unionsgesetzgeber wollte jedoch keine umfassende Harmonisierung der bei einem Verstoß gegen die Bestimmungen dieser Verordnung zur Verfügung stehenden Rechtsbehelfe vornehmen und hat insbesondere eine solche Rechtsbehelfsmöglichkeit nicht ausgeschlossen (vgl. in diesem Sinne Urteil vom 4. Oktober 2024, Lindenapotheke, C‑21/23, EU:C:2024:846, Rn. 59 und 60).

 

49        Diese Auslegung wird durch die mit der DSGVO verfolgten Ziele bestätigt. Diese Verordnung zielt nämlich, wie aus ihrem zehnten Erwägungsgrund hervorgeht, u. a. darauf ab, ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen bei der Verarbeitung ihrer personenbezogenen Daten zu gewährleisten. Außerdem heißt es im elften Erwägungsgrund dieser Verordnung insbesondere, dass ein wirksamer Schutz dieser Daten die Stärkung der Rechte der betroffenen Personen sowie eine Verschärfung der Verpflichtungen für diejenigen erfordert, die personenbezogene Daten verarbeiten und darüber entscheiden (vgl. in diesem Sinne Urteil vom 4. Oktober 2024, Lindenapotheke, C‑21/23, ECLI:EU:C:2024:846, Rn. 61).

 

50        Die Möglichkeit für die betroffene Person, Klage gegen den Verantwortlichen auf künftige Unterlassung eines Verstoßes gegen die materiellen Bestimmungen der DSGVO zu erheben, beeinträchtigt diese Ziele nicht, sondern kann vielmehr die praktische Wirksamkeit dieser Bestimmungen verstärken und damit das mit dieser Verordnung angestrebte hohe Schutzniveau für die betroffenen Personen in Bezug auf die Verarbeitung ihrer personenbezogenen Daten verbessern. Somit stehen die Bestimmungen von Kapitel VIII DSGVO einer nationalen Regelung, die der betroffenen Person eine solche Möglichkeit eines präventiven Rechtsbehelfs einräumt, nicht entgegen (vgl. in diesem Sinne Urteil vom 4. Oktober 2024, Lindenapotheke, C‑21/23, EU:C:2024:846, Rn. 62 und 73).

 

51        Daraus folgt, dass die DSGVO dem nicht entgegensteht, dass ein Rechtsbehelf zur Erwirkung einer Anordnung, mit der eine etwaige Begehung eines Verstoßes gegen die materiellen Bestimmungen dieser Verordnung – insbesondere durch eine potenzielle Wiederholung einer unrechtmäßigen Verarbeitung – verhindert werden kann, nach den Bestimmungen des Rechts eines Mitgliedstaats, die vor dem angerufenen nationalen Gericht anwendbar wären, zur Verfügung steht.

 

52        Nach alledem ist auf die Fragen 1 bis 3 zu antworten, dass die Bestimmungen der DSGVO dahin auszulegen sind, dass sie zugunsten der von der unrechtmäßigen Verarbeitung personenbezogener Daten betroffenen Person für den Fall, dass diese Person nicht die Löschung ihrer Daten beantragt, keinen gerichtlichen Rechtsbehelf vorsehen, der es ihr ermöglicht, präventiv zu erwirken, dass dem Verantwortlichen auferlegt wird, künftig eine erneute unrechtmäßige Verarbeitung zu unterlassen. Allerdings hindern sie die Mitgliedstaaten nicht daran, einen solchen Rechtsbehelf in ihren jeweiligen Rechtsordnungen vorzusehen.

 

Zur vierten Frage

53        Mit seiner vierten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass der Begriff „immaterieller Schaden“ in dieser Bestimmung negative Gefühle umfasst, die die betroffene Person infolge einer unbefugten Übermittlung ihrer personenbezogenen Daten an einen Dritten empfindet, wie z. B. Sorge oder Ärger, und die durch einen Verlust der Kontrolle über diese Daten, ihre mögliche missbräuchliche Verwendung oder eine Rufschädigung hervorgerufen werden.

 

54        Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder den Auftragsverarbeiter.

 

55        Nach ständiger Rechtsprechung muss angesichts dessen, dass Art. 82 Abs. 1 DSGVO nicht auf das innerstaatliche Recht der Mitgliedstaaten verweist, der Begriff „immaterieller Schaden“ im Sinne dieser Bestimmung eine autonome und einheitliche unionsrechtliche Definition erhalten (vgl. in diesem Sinne Urteile vom 25. Januar 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, Rn. 64, und vom 4. Oktober 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, Rn. 139 und die dort angeführte Rechtsprechung).

 

56        Insoweit hat der Gerichtshof insbesondere im Licht der Erwägungsgründe 75, 85 und 146 der DSGVO wiederholt entschieden, dass der bloße Verstoß gegen diese Verordnung nicht ausreicht, um einen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO zu begründen. Das Vorliegen eines materiellen oder immateriellen „Schadens“, eines Verstoßes gegen Bestimmungen dieser Verordnung sowie eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß stellen die drei erforderlichen und ausreichenden kumulativen Voraussetzungen für diesen Schadensersatzanspruch dar. Somit muss die betroffene Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen diese Verordnung nachweisen, sondern auch, dass ihr durch diesen Verstoß tatsächlich ein solcher Schaden entstanden ist (vgl. in diesem Sinne Urteile vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C‑300/21, EU:C:2023:370, Rn. 32, 33, 37 und 42, vom 4. Oktober 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, Rn. 140 bis 142, und vom 4. Oktober 2024, Patērētāju tiesību aizsardzības centrs, C‑507/23, EU:C:2024:854, Rn. 24 und 25).

 

57        Im vorliegenden Fall führt das vorlegende Gericht aus, dass der Kläger des Ausgangsverfahrens im Hinblick auf den immateriellen Schaden, der ihm aufgrund des in Rede stehenden Verstoßes gegen die DSGVO entstanden sein soll, im Wesentlichen die „Befürchtung der Weitergabe der Daten an in der gleichen Branche tätige Dritte, [die] Kenntnis einer Person über Umstände, die der Diskretion unterliegen, [sowie die] Schmach wegen des Unterliegens in Gehaltsverhandlungen und der Kenntnis Dritter davon“ geltend mache. Das vorlegende Gericht möchte wissen, ob „negative Gefühle wie z. B. Ärger, Unmut, Unzufriedenheit, Sorge und Angst“, die es als „allgemeines Lebensrisiko“ einstuft, ausreichen, um das Vorliegen eines „immateriellen Schadens“ im Sinne von Art. 82 DSGVO nachzuweisen, oder ob der betroffenen Person ein über diese Gefühle hinausgehender Schaden entstanden sein muss.

 

58        Insoweit geht als Erstes aus der Rechtsprechung des Gerichtshofs hervor, dass Art. 82 Abs. 1 DSGVO einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat. Diese Bestimmung verlangt nicht, dass der von der betroffenen Person geltend gemachte immaterielle Schaden eine „Bagatellgrenze“ überschreiten muss, damit dieser Schaden ersatzfähig ist (vgl. in diesem Sinne Urteile vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C‑300/21, EU:C:2023:370, Rn. 51, und vom 4. Oktober 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, Rn. 147 und 149).

 

59        Als Zweites sind, wie die Europäische Kommission in ihren schriftlichen Erklärungen ausgeführt hat, Situationen wie die im Ausgangsverfahren geltend gemachten, die in einer „Rufschädigung“ infolge einer Verletzung personenbezogener Daten oder in einem „Verlust der Kontrolle“ über solche Daten bestehen, ausdrücklich unter den in den Erwägungsgründen 75 und 85 der DSGVO aufgezählten Beispielen für mögliche Schäden aufgeführt.

 

60        Insbesondere hat der Gerichtshof darauf hingewiesen, dass aus der im ersten Satz des 85. Erwägungsgrundes der DSGVO enthaltenen beispielhaften Aufzählung der „Schäden“, die den betroffenen Personen entstehen können, hervorgeht, dass der Unionsgesetzgeber unter diesen Begriff insbesondere auch den bloßen „Verlust der Kontrolle“ über die eigenen personenbezogenen Daten dieser Personen infolge eines Verstoßes gegen die DSGVO fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten erfolgt sein sollte. Ein solcher Verlust der Kontrolle kann ausreichen, um einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO zu verursachen, sofern die betroffene Person nachweist, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat, ohne dass dieser Begriff des „immateriellen Schadens“ den Nachweis zusätzlicher spürbarer negativer Folgen erfordert (vgl. in diesem Sinne Urteil vom 4. Oktober 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, Rn. 145, 150 und 156 sowie die dort angeführte Rechtsprechung).

 

61        Als Drittes hat der Gerichtshof bereits entschieden, dass die von der betroffenen Person empfundene Befürchtung, ihre personenbezogenen Daten würden infolge eines Verstoßes gegen die DSGVO in Zukunft missbräuchlich verwendet, für sich genommen einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO darstellen kann, sofern diese Befürchtung samt ihrer negativen Folgen ordnungsgemäß nachgewiesen ist, was zu prüfen Sache des angerufenen nationalen Gerichts ist (vgl. in diesem Sinne Urteile vom 20. Juni 2024, PS [Fehlerhafte Anschrift], C‑590/22, EU:C:2024:536, Rn. 32, 35 und 36, sowie vom 4. Oktober 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, Rn. 143, 144 und 155 sowie die dort angeführte Rechtsprechung).

 

62        Auch wenn die vom vorlegenden Gericht erwähnten Gefühle, insbesondere Sorge oder Ärger, im Übrigen Teil des allgemeinen Lebensrisikos sein können, wie das vorlegende Gericht selbst feststellt, können solche negativen Gefühle somit einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO darstellen, sofern die betroffene Person gemäß dem in Rn. 56 des vorliegenden Urteils angeführten Erfordernis eines Kausalzusammenhangs nachweist, dass sie solche Gefühle samt ihrer negativen Folgen gerade aufgrund des in Rede stehenden Verstoßes gegen die DSGVO empfindet, wie etwa einer unbefugten Übermittlung ihrer personenbezogenen Daten an einen Dritten, die das Risiko einer missbräuchlichen Verwendung dieser Daten birgt; dies zu prüfen ist Sache der angerufenen nationalen Gerichte.

 

63        Als Viertes und Letztes steht diese Auslegung im Einklang mit dem Wortlaut von Art. 82 Abs. 1 DSGVO im Licht ihrer Erwägungsgründe 85 und 146, wonach der Begriff „immaterieller Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO weit zu verstehen ist. Außerdem wird sie durch das Ziel dieser Verordnung gestützt, das aus ihrem Art. 1 sowie ihren Erwägungsgründen 1 und 10 hervorgeht und darin besteht, ein hohes Schutzniveau für natürliche Personen bei der Verarbeitung personenbezogener Daten zu gewährleisten (vgl. entsprechend Urteile vom 14. Dezember 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, Rn. 19 und 20, sowie vom 4. Oktober 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, Rn. 144 und 146).

 

64        Nach alledem ist auf die vierte Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass der Begriff „immaterieller Schaden“ in dieser Bestimmung negative Gefühle umfasst, die die betroffene Person infolge einer unbefugten Übermittlung ihrer personenbezogenen Daten an einen Dritten empfindet, wie z. B. Sorge oder Ärger, und die durch einen Verlust der Kontrolle über diese Daten, ihre mögliche missbräuchliche Verwendung oder eine Rufschädigung hervorgerufen werden, sofern die betroffene Person nachweist, dass sie solche Gefühle samt ihrer negativen Folgen aufgrund des in Rede stehenden Verstoßes gegen die DSGVO empfindet.

 

Zur fünften Frage

65        Mit seiner fünften Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass er es erlaubt, den Grad des Verschuldens des Verantwortlichen bei der Bemessung der Höhe des nach Art. 82 Abs. 1 DSGVO geschuldeten Ersatzes eines immateriellen Schadens zu berücksichtigen.

 

66        Insoweit geht aus der Rechtsprechung des Gerichtshofs hervor, dass – da die DSGVO keine Bestimmungen enthält, die Regeln für die Bemessung des Schadensersatzes festlegen, der aufgrund des in Art. 82 DSGVO verankerten Schadensersatzanspruchs geschuldet wird – die nationalen Gerichte zu diesem Zweck die innerstaatlichen Vorschriften des jeweiligen Mitgliedstaats über den Umfang der finanziellen Entschädigung anzuwenden haben, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden (vgl. in diesem Sinne Urteile vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C‑300/21, EU:C:2023:370, Rn. 54 und 59, sowie vom 4. Oktober 2024, Patērētāju tiesību aizsardzības centrs, C‑507/23, EU:C:2024:854, Rn. 32).

 

67        Im vorliegenden Fall fragt sich das vorlegende Gericht, ob der Grad des Verschuldens des Schädigers, bei dem es sich um ein im deutschen Recht vorgesehenes Kriterium für die Bemessung der finanziellen Entschädigung für immaterielle Schäden handelt, auch auf den auf Art. 82 DSGVO gestützten Ersatz eines immateriellen Schadens Anwendung finden könnte.

 

68        Aus den Urteilen des Gerichtshofs, von denen einige nach Einreichung des vorliegenden Vorabentscheidungsersuchens ergangen sind, ergibt sich, dass diese fünfte Frage zu verneinen ist.

 

69        Der Gerichtshof hat nämlich entschieden, dass die nationalen Gerichte in Anbetracht der Ausgleichsfunktion des in Art. 82 DSGVO vorgesehenen Schadensersatzanspruchs verpflichtet sind, einen „vollständigen und wirksamen“ Schadensersatz für den erlittenen Schaden sicherzustellen, wie im 146. Erwägungsgrund dieser Verordnung ausgeführt, ohne dass ein solcher vollumfänglicher Ausgleich die Verhängung von Strafschadensersatz erfordert (vgl. in diesem Sinne Urteile vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C‑300/21, EU:C:2023:370, Rn. 57 und 58, sowie vom 4. Oktober 2024, Patērētāju tiesību aizsardzības centrs, C‑507/23, EU:C:2024:854, Rn. 34).

 

70        Im Unterschied zu dem, was Art. 83 DSGVO für Geldbußen vorsieht, wobei die betreffenden Kriterien im Rahmen von Art. 82 DSGVO nicht entsprechend anwendbar sind, erfüllt der in Art. 82 DSGVO vorgesehene Schadensersatzanspruch, insbesondere im Fall eines immateriellen Schadens, ausschließlich eine Ausgleichsfunktion, da eine auf Art. 82 DSGVO gestützte finanzielle Entschädigung es ermöglichen muss, den wegen eines Verstoßes gegen diese Verordnung konkret erlittenen Schaden in vollem Umfang auszugleichen, und keine Abschreckungs- oder Straffunktion (vgl. in diesem Sinne Urteile vom 4. Oktober 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, Rn. 153, und vom 4. Oktober 2024, Patērētāju tiesību aizsardzības centrs, C‑507/23, EU:C:2024:854, Rn. 39 bis 41).

 

71        Somit hängt zum einen die Haftung des Verantwortlichen nach Art. 82 DSGVO vom Vorliegen eines ihm anzulastenden Verschuldens ab, das vermutet wird, sofern er nicht nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist, und zum anderen verlangt Art. 82 DSGVO nicht, dass die Schwere dieses Verschuldens bei der Bemessung der Höhe des als Entschädigung für einen immateriellen Schaden auf der Grundlage dieser Bestimmung gewährten Schadensersatzes berücksichtigt wird (Urteil vom 4. Oktober 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, Rn. 154).

 

72        Genauer gesagt schließt die ausschließlich ausgleichende Funktion des in Art. 82 Abs. 1 DSGVO verankerten Schadensersatzanspruchs es aus, dass der Schweregrad und die etwaige Vorsätzlichkeit des Verstoßes gegen diese Verordnung, den der Verantwortliche begangen hat, für den Ersatz eines Schadens auf dieser Grundlage berücksichtigt werden. Daraus folgt, dass im Rahmen dieser Bestimmung die Haltung und die Beweggründe des Verantwortlichen nicht berücksichtigt werden dürfen, um der betroffenen Person gegebenenfalls einen Schadensersatz zu gewähren, der geringer ist als der Schaden, der ihr konkret entstanden ist – sei es hinsichtlich der Höhe oder der Form dieses Schadensersatzes (vgl. in diesem Sinne Urteil vom 4. Oktober 2024, Patērētāju tiesību aizsardzības centrs, C‑507/23, EU:C:2024:854, Rn. 42 bis 45 und die dort angeführte Rechtsprechung).

 

73        Nach alledem ist auf die fünfte Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass er dem entgegensteht, dass der Grad des Verschuldens des Verantwortlichen bei der Bemessung der Höhe des nach dieser Bestimmung geschuldeten Ersatzes eines immateriellen Schadens berücksichtigt wird.

 

Zur sechsten Frage

74        Die sechste Frage wird für den Fall gestellt, dass der Gerichtshof entweder einen der Teile der ersten Frage oder die dritte Frage bejaht, d. h., wenn im Wesentlichen davon auszugehen ist, dass die DSGVO unmittelbar nach ihren Bestimmungen oder durch die nach dieser Verordnung zulässige Anwendung nationaler Vorschriften einen Anspruch der betroffenen Person darauf anerkennt, dass der Verantwortliche künftig eine erneute Verletzung der personenbezogenen Daten unterlässt. In Anbetracht der in Rn. 52 des vorliegenden Urteils enthaltenen gemeinsamen Antwort auf die Fragen 1 bis 3 ist die sechste Frage zu beantworten.

 

75        Zur Klarstellung des Gegenstands der sechsten Frage weist das vorlegende Gericht darauf hin, dass nach deutschem Recht und seiner eigenen Rechtsprechung der Umstand, dass eine Person, die einen immateriellen Schaden erlitten habe, beantragt oder sogar erwirkt habe, dass der Verursacher dieses Schadens verpflichtet werde, weitere schädigende Handlungen zu unterlassen, berücksichtigt werden könne, um eine finanzielle Entschädigung für diesen Schaden zu mindern oder sogar auszuschließen. Es möchte wissen, ob dieses Kriterium für die Beurteilung des Schadensersatzes auch im Rahmen der DSGVO angewandt werden kann, insbesondere im Hinblick auf den unionsrechtlichen Effektivitätsgrundsatz, und, wenn ja, in welchem Umfang.

 

76        Somit möchte das vorlegende Gericht mit seiner Frage im Wesentlichen wissen, ob Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass der Umstand, dass die betroffene Person nach dem anwendbaren nationalen Recht eine Anordnung – die dem Verantwortlichen entgegengehalten werden kann – erwirkt hat, die Wiederholung eines Verstoßes gegen diese Verordnung zu unterlassen, in der Form berücksichtigt werden kann, dass dadurch der Umfang der nach Art. 82 Abs. 1 DSGVO geschuldeten finanziellen Entschädigung für einen immateriellen Schaden gemindert wird oder diese Entschädigung sogar ersetzt wird.

 

77        Insoweit ist darauf hinzuweisen, dass die DSGVO, wie in Rn. 66 des vorliegenden Urteils ausgeführt, keine Bestimmungen enthält, die Regeln für die Bemessung des nach ihrem Art. 82 geschuldeten Schadensersatzes festlegen, so dass die nationalen Gerichte zu diesem Zweck – vorbehaltlich der Beachtung der unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität – die innerstaatlichen Vorschriften des jeweiligen Mitgliedstaats über den Umfang der finanziellen Entschädigung anzuwenden haben.

 

78        Insbesondere müssen die in der Rechtsordnung eines jeden Mitgliedstaats festgelegten Kriterien für die Bemessung des Schadensersatzes, der im Rahmen von Klageverfahren geschuldet wird, die den Schutz der dem Einzelnen aus Art. 82 DSGVO erwachsenden Rechte gewährleisten sollen, es ermöglichen, einen vollständigen und wirksamen Schadensersatz für den von der betroffenen Person infolge eines Verstoßes gegen die DSGVO erlittenen Schaden zu gewährleisten (vgl. in diesem Sinne Urteile vom 4. Oktober 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, Rn. 152, und vom 4. Oktober 2024, Patērētāju tiesību aizsardzības centrs, C‑507/23, EU:C:2024:854, Rn. 34 und die dort angeführte Rechtsprechung).

 

79        Der Gerichtshof hat bereits anerkannt, dass in den sich aus dem Grundsatz der Effektivität ergebenden Grenzen bestimmte Umstände die Bemessung des nach Art. 82 DSGVO geschuldeten Schadensersatzes beeinflussen können, insbesondere dahin, dass dieser Schadensersatz beschränkt wird. Er hat festgestellt, dass ein nationales Gericht der betroffenen Person bei fehlender Schwere des ihr entstandenen Schadens einen geringfügigen Schadensersatz zusprechen kann, sofern die geringe Höhe des gewährten Schadensersatzes geeignet ist, den Schaden in vollem Umfang auszugleichen; es ist Sache des nationalen Gerichts, dies zu prüfen. Außerdem kann eine Entschuldigung einen angemessenen Ersatz eines immateriellen Schadens auf der Grundlage von Art. 82 DSGVO darstellen – insbesondere, wenn es nicht möglich ist, die Lage vor dem Eintritt des Schadens wiederherzustellen –, sofern diese Form des Schadensersatzes, soweit sie im nationalen Recht vorgesehen ist, einen solchen vollumfänglichen Ausgleich des Schadens ermöglicht (vgl. in diesem Sinne Urteil vom 4. Oktober 2024, Patērētāju tiesību aizsardzības centrs, C‑507/23, EU:C:2024:854, Rn. 35 bis 37 und die dort angeführte Rechtsprechung).

 

80        Im vorliegenden Fall soll mit der Vorlagefrage geklärt werden, ob ein nationales Gericht im Anwendungsbereich von Art. 82 DSGVO die Möglichkeit hat, den Umstand, dass der betroffenen Person eine Unterlassungsanordnung zugutekommt, zu berücksichtigen, um den Schadensersatz, der dieser Person für einen immateriellen Schaden zugesprochen werden kann, zu mindern, so dass dieses Gericht in der Praxis den Ersatz eines solchen Schadens teilweise in finanzieller Form und teilweise in Form dieser Anordnung oder sogar nur in der letztgenannten Form anordnen würde.

 

81        Aus der in den Rn. 78 und 79 des vorliegenden Urteils angeführten Rechtsprechung geht jedoch hervor, dass eine im anwendbaren nationalen Recht vorgesehene Form des Schadensersatzes nur dann als mit der DSGVO vereinbar angesehen werden kann, wenn diese Form die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet, was u. a. voraussetzt, dass sie geeignet ist, einen vollständigen und wirksamen Schadensersatz für den von der betroffenen Person erlittenen Schaden zu gewährleisten.

 

82        Insbesondere kann ein nach Art. 82 DSGVO geschuldeter Schadensersatz nicht ganz oder teilweise in Form einer Unterlassungsanordnung zugesprochen werden, da der in dieser Bestimmung vorgesehene Schadensersatzanspruch, wie in Rn. 70 des vorliegenden Urteils ausgeführt, eine ausschließlich ausgleichende Funktion erfüllt, während eine Unterlassungsanordnung gegenüber dem Schädiger eine rein präventive Zielsetzung hat. Wie der Generalanwalt in Nr. 86 seiner Schlussanträge im Wesentlichen ausgeführt hat, zielt eine solche Anordnung nämlich darauf ab, die Wiederholung von Handlungen, die Schäden verursacht haben, zu verhindern, damit keine weiteren Schäden entstehen, gleicht aber nicht die der betroffenen Person bereits entstandenen Schäden aus.

 

83        Nach alledem ist auf die sechste Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass er dem entgegensteht, dass der Umstand, dass die betroffene Person nach dem anwendbaren nationalen Recht eine Anordnung – die dem Verantwortlichen entgegengehalten werden kann – erwirkt hat, die Wiederholung eines Verstoßes gegen diese Verordnung zu unterlassen, in der Form berücksichtigt wird, dass dadurch der Umfang der nach dieser Bestimmung geschuldeten finanziellen Entschädigung für einen immateriellen Schaden gemindert wird oder diese Entschädigung sogar ersetzt wird.