Prof. Dr. Boris P. Paal, M.Jur. (Oxford)
Robert Faußner, Der datenschutzrechtliche Schadenersatzanspruch nach Art. 82 DS-GVO. Analyse der Forschung und Rechtsprechung in der Bundesrepublik Deutschland und der Republik Österreich, Berlin (Duncker & Humblot) 2025, ISBN 978-3-428-19637-1, 99,90 EUR
ZD-Aktuell 2026, 01138 Der datenschutzrechtliche Schadensersatzanspruch auf der Grundlage und am Maßstab von Art. 82 DS-GVO gehört seit mehreren Jahren zu den sich besonders dynamisch entwickelnden Feldern iRd insgesamt zunehmend an Bedeutung gewinnenden privaten Rechtsdurchsetzung (private enforcement). Zahlreiche Art. 267 AEUV-Vorabentscheidungverfahren, eine schnell wachsende Instanzrechtsprechung in den Mitgliedstaaten und zahlreiche Leitentscheidungen des EuGH (und nationaler Gerichte) haben ein heterogenes, zum Teil schwer überschaubares Bild entstehen lassen. Hier setzt die von Robert Faußner vorgelegte und von Matthias C. Kettemann an der Rechtswissenschaftlichen Fakultät der Universität Innsbruck betreute Dissertation an – und kommt somit zur rechten Zeit.
Bereits in der Einleitung verortet der Verfasser seine Untersuchung gelungen im Kontext hoher Bußgelder, massenhafter Datenpannen und prominenter Verfahren – etwa zum sog. „Facebook-Scraping“-Sachverhalt – und begründet hierdurch überzeugend die praktische Relevanz eines eigenständigen, systematisch durchdrungenen Verständnisses des Schadenersatzanspruchs nach Art. 82 DS-GVO (Kap. 1, S. 21–29). Als Ziel und Aufgabe der Arbeit wird benannt (Kap. 1, S. 24): „Diese Arbeit soll anhand der Forschung und der umfassenden Rechtsprechung sämtliche Fragestellungen des Art. 82 DS-GVO bewerten, rechtlich einordnen und somit einen entscheidenden Beitrag zur Rechtsfortbildung leisten.“
Ausgangspunkt der Arbeit sind klar strukturierte sechs Forschungsfragen, die in der Einleitung vorgestellt werden (Kap. 1 B, S. 29–31). Die erste Forschungsfrage gilt der Europarechtskonformität des österreichischen § 29 DSG; fünf weitere Fragen betreffen unmittelbar Art. 82 DS-GVO: die Anspruchsberechtigung, den Begriff des „Verstoßes gegen diese Verordnung“, den Schadensbegriff (unter Einschluss von immateriellen Schäden), die Zuordnung typischer Verstoßszenarien zu immateriellen Schäden sowie die Berücksichtigung eines etwaigen Mitverschuldens des Anspruchsberechtigten. Die Methodik wird durch den Verfasser ebenso knapp wie nachvollziehbar vorgestellt: In die Untersuchung einbezogen werden über 300 Entscheidungen deutscher und österreichischer Gerichte sowie die einschlägige EuGH-Rechtsprechung, ergänzt um eine ebenso sorgfältige wie umfassende Auswertung des einschlägigen Schrifttums (Kap. 1 C, S. 31–32).
Die Arbeit gliedert sich in insgesamt zehn Kapitel, die von der Einleitung über Forschungsstand und nationales Schadenersatzrecht (Kap. 2–3) zur Entstehungsgeschichte des Art. 82 DS-GVO (Kap. 4), zur dogmatischen Durchdringung der Anspruchsvoraussetzungen und -gegner (Kap. 5–6) sowie zur Schadenshöhe und zur prozessualen Durchsetzung (Kap. 7–8) führen. Ein Fazit (Kap. 9) und ein Ausblick (Kap. 10) sowie ausführliche Literatur-, Judikatur- und Sachwortverzeichnisse runden das Werk ab.
Ein erstes wichtiges dogmatisches Ergebnis liefert der rechtsvergleichend angelegte dritte Teil der Arbeit. Dort präsentiert Faußner eine belastbare Herausarbeitung des datenschutzrechtlichen Schadenersatzrechts vor und nach Geltung der DS-GVO in Deutschland und Österreich (Kap. 3, insb. S. 58–63, 62–63, 71). Im Zentrum der Betrachtung steht insoweit die Analyse von § 29 DSG: Unter Auswertung von Rspr. und Lit. gelangt der Verfasser zu dem pointierten, argumentativ gelungen abgestützten Ergebnis, dass § 29 DSG – verstanden als Umsetzung des Art. 82 DS-GVO – europarechtswidrig sei, da Art. 82 DS-GVO unmittelbar gelte und für eine „Transformation“ in nationales Recht kein Raum bleibe (Kap. 3 B, S. 71). Die Argumentation trägt belastbar, da sie sowohl systematische Erwägungen (Vorrang und unmittelbare Geltung des Unionsrechts) als auch die EuGH-Rspr. zur Auslegung des Art. 82 DS-GVO überzeugend einbezieht.
Das Herzstück der Dissertation bilden – nach einem konzisen historischen Abriss in Kapitel 4 – die Kapitel 5 bis 7: In Kapitel 5 werden die Anspruchsvoraussetzungen des Art. 82 DS-GVO – dh Verstoß, Schaden, Kausalität und Verschulden – in einer Breite und Tiefe aufgearbeitet, die dem hohen dogmatischen Anspruch des Werks entspricht (Kap. 5, S. 143 ff.). Der Verfasser rekonstruiert zunächst das Tatbestandsmerkmal „Verstoß gegen diese Verordnung“ unter Auswertung der divergierenden Literaturlinien, wobei sauber unterschieden wird zwischen formellen und materiellen DS-GVO-Verstößen. Zudem erfolgt eine vertiefte Auseinandersetzung mit der Frage, ob und inwieweit auch reine Informations-, Dokumentations- und Auskunftspflichtverletzungen eine Schadensersatzhaftung nach Art. 82 DS-GVO auslösen können; in diesem Zusammenhang befürwortet der Verfasser – mit Blick auf Wortlaut, Systematik und Schutzzweck der Betroffenenrechte – mit überzeugender Argumentation einen weiten Verstoßbegriff, der auch bestimmte formelle Verletzungen umfassen soll.
In Kapitel 5 E (S. 168–241) entfaltet Faußner sodann eine umfassende Typologie immaterieller Schäden, ausgehend von den Erwägungsgründen 75 und 85 DS-GVO und der jüngsten EuGH-Rspr. Er unterscheidet insoweit iRe Stellungnahme – unter anderem – die Konstellationen Bloßstellung, Diskriminierung, Rufschädigung und Identitätsdiebstahl einerseits sowie Angst-, Stress- und Kontrollverlustkonstellationen andererseits, wobei diese Konstellationen den relevanten Fallgruppen zugeordnet werden (Kap. 5 E 3, S. 229–241). Zentrale Bedeutung kommt der These des Verfassers zu, wonach bereits der bloße – auch kurzfristige – Verlust der Kontrolle über personenbezogene Daten einen selbständigen immateriellen Schaden iSv Art. 82 DS-GVO darstellen kann. Diese Auffassung begründet er nachvollziehbar unter Rekurs auf die EuGH-Entscheidungen in den Rs. „Gemeinde Ummendorf“ (EuGH ZD 2024, 208), „MediaMarktSaturn“ (EuGH ZD 2024, 334), „PS GbR“ (EuGH ZD 2024, 519 mAnm Pauly/Kienle) und „Agentsia po vpisvaniyata“ (EuGH ZD 2025, 87) sowie in einer kritischen Auseinandersetzung mit Gegenauffassungen in Lit. und nationaler Rspr. (und hier vor allem auch BGH ZD 2025, 162 mAnm Horn) (Kap. 5 E c, S. 238–239).
Nach Kapitel 6 zur Haftungsbefreiung (S. 244–259) befasst sich sodann Kapitel 7 mit der Höhe des Schadenersatzes (S. 260–280). Auf Grundlage der EuGH-Entscheidung „Österreichische Post“ (ZD 2023, 446 mAnm Mekat/Logocki) und der nachfolgenden Rspr. arbeitet Faußner sorgfältig heraus, dass die Bemessung des Schadenersatzes nach nationalem Recht zu erfolgen hat, wobei zugleich die unionsrechtlichen Grundsätze der Äquivalenz und Effektivität zu wahren sind. Überzeugend wird dargelegt, dass die in Art. 83 Abs. 2 DS-GVO für Geldbußen genannten Kriterien wegen der unterschiedlichen Zielrichtung von Art. 82 und 83 DS-GVO nicht auf die Schadenersatzbemessung übertragen werden dürfen. Vor diesem Hintergrund entwickelt der Verfasser seine Antwort auf die sechste Forschungsfrage: Ein Mitverschulden des Anspruchsberechtigten soll die Höhe des Schadensersatzes nach Art. 82 DS-GVO nicht mindern (Kap. 7 B, S. 278–280). Ausgangspunkt für diesen Befund ist die Überlegung, dass der EuGH in der Rs. „Krankenversicherung Nordrhein“ (ZD 2024, 146) den Verschuldensgrad des Verantwortlichen für die Bemessung des Schadenersatzes ausdrücklich für irrelevant erklärt und damit ein „Alles-oder-nichts“-Prinzip für die Haftung konturiert habe. Diese Argumentation überträgt Faußner konsequent auf das Mitverschulden des Betroffenen: Wenn der Verschuldensgrad des Verantwortlichen nicht berücksichtigt werden dürfe, müsse dies erst recht für ein (typischerweise schwer zu operationalisierendes) Betroffenenmitverschulden gelten.
Kapitel 8 der Arbeit ist der gerichtlichen Zuständigkeit und der prozessualen Durchsetzung gewidmet (S. 281–312). Der Verfasser stellt hier zunächst gelungen die internationale und innerstaatliche Zuständigkeit in Deutschland und Österreich dar, bevor sodann ausführlich auf Darlegungs- und Beweislast, Verjährung sowie Übertragbarkeit und Vererblichkeit des Anspruchs eingegangen wird (Kap. 8 A–C, S. 281–296). Besonders praxisrelevant ist der Abschnitt zur individuellen und kollektiven Rechtsdurchsetzung (Kap. 8 D, S. 296–312). Hier nimmt der Verfasser die Rolle von Verbänden nach Art. 80 DS-GVO und nationalen Umsetzungsakten in den Blick, bevor sodann die neuen Verbandsklageinstrumente analysiert werden, insb. das deutsche Verbandsklagenrichtlinienumsetzungsgesetz (VRUG) und Verbraucherrechtedurchsetzungsgesetz (VDuG) sowie das österreichische Qualitäts- und Ediktsdateiengesetz (QEG) (Kap. 8 D II 1, S. 304–312; Kap. 8 D II 1 a–c, S. 305–311). Die überzeugend aufbereitete Diskussion zur Gleichartigkeit der Ansprüche nach § 15 VDuG und den damit verbundenen Grenzen der Verbandsabhilfeklage für Art. 82 DS-GVO zeigt, dass der Verfasser die aktuelle Praxis und Lit. souverän durchdrungen hat (S. 306–307).
Im Fazit (Kap. 9, S. 313–317) zieht Faußner die Ergebnisse strukturiert entlang der sechs leitenden Forschungsfragen zusammen; im Ausblick (Kap. 10, S. 318–323) ordnet er die Entwicklung des Art. 82 DS-GVO überzeugend in die weitere Rechtsprechungsentwicklung ein und weist zutreffend darauf hin, dass im untersuchten Zeitraum weniger als ein Viertel der Klagen erfolgreich war, was die hohe Darlegungslast insb. beim immateriellen Schaden unterstreicht (S. 323).
Insgesamt handelt es sich um eine sehr sorgfältig gearbeitete, methodisch klar konturierte Dissertation. Die Konzentration auf sechs präzise definierte Forschungsfragen ermöglicht es, ein breites und dynamisches Themenfeld in eine gut handhabbare Struktur zu bringen. Besonders hervorzuheben sind die Aktualität sowie die enge Verzahnung von Normdogmatik und Rechtsprechungsauswertung, die die Arbeit gleichermaßen für Wissenschaft und Praxis wertvoll machen.
Es sei dem Rezensenten im Folgenden erlaubt, einige Wünsche zu Vertiefungen zu formulieren, für die der Verfasser aber jedenfalls eine wertvolle Grundlage gelegt hat: An einigen Stellen hätte man sich eine stärkere Verdichtung und zusätzliche systematisierende Zwischenfazits gewünscht, um die übergreifenden Linien der Arbeit schnell(er) erfassen zu können; hier würde etwa eine systematische, tabellarische oder statistische Aufbereitung der Rspr. (nach Streitwerten, Verstoßtypen oder Instanzenzug) den Zugriff erleichtern. In Ansehung der mittlerweile sehr diversifizierten Rspr. anderer Mitgliedstaaten hätte zudem ein – jedenfalls punktueller – Blick über diese beiden Rechtsordnungen hinaus den unionsrechtlichen Kontext des Art. 82 DS-GVO stärker beleuchten können. Hervorgehobene Aufmerksamkeit verdient überdies die wachsende Bedeutung der kollektiven Rechtsdurchsetzung (dh Verbandsklagen). Schließlich bedarf es einer systematischen Verortung von Art. 82 DS-GVO innerhalb des neuen europäischen Digitalrechts-Ökosystems. Die Arbeit fokussiert sich naturgemäß auf die DS-GVO, es unterbleiben deshalb (leider) Querbezüge zu datenschutznahen Sekundärrechtsakten wie dem Data Act, dem Data Governance Act und der KI-VO.
Diese Anmerkungen und Wunschentäußerungen schmälern den insgesamt sehr positiven Gesamteindruck keinesfalls, sondern belegen vielmehr die Breite und Weite des behandelten Themenfelds. Dass hierbei thematische Fokussierungen und Ausblendungen erfolgen müssen, liegt sowohl in der Natur der Sache als auch in der originären Hoheit jedes Autors. Die von Robert Faußner vorgelegte Dissertation liefert eine umfassende, dogmatisch anspruchsvolle und zugleich praxisnahe Aufarbeitung des datenschutzrechtlichen Schadenersatzanspruchs nach Art. 82 DS-GVO. Das hervorragend gelungene Werk wird sich als Referenzwerk für alle etablieren, die sich in Wissenschaft oder Praxis mit datenschutzrechtlichen Schadensersatzfragen im Kontext von Art. 82 DS-GVO befassen.
Prof. Dr. Boris P. Paal, M.Jur. (Oxford) ist Inhaber des Lehrstuhls für Law and Regulation of the Digital Transformation an der Technischen Universität München (TUM), School of Social Sciences and Technology, Department of Governance, und Of Counsel bei BAUMGARTNER BAUMANN.