是预防工具还是无力的威胁？——数据保护法规定下的损害赔偿请求权

2022-06-14 01:38:04

在德国法院对违反数据保护的行为进行诉讼时，DS-GVO第82条第1款规定的损害赔偿请求权究竟是一把失去锋芒的武器，还是一个可靠的选项？本文讨论了德国法院中目前分别支持和反对预防性损害赔偿的立场，并将其与GDPR的表述进行了比较。此外，欧盟法院也有可能会推翻迄今为止德国对于损害赔偿法律的观点。

A.

在德国民法中，损害赔偿责任在原则上只起到弥补损失的作用。德国民法典第249条及以下的规定明确表示，损害赔偿的目的是为了将事态恢复到损害未发生时的样子，侵权行为所造成的财产损失应该要得到补偿。但是除了补偿功能外，它并没有任何预防功能。(参见：Oetker, in Münchener Kommentar zum BGB, § 253 Rn. 8f.) 因此，损害赔偿的范围只包括受害方遭受的实际损害，侵权人的身份、其过错程度或动机都不在考虑之列。此外，德国民法典中也没有对侵权人进行惩罚或威慑的规定。

根据GDPR第82条第1款，任何因为数据保护法所规定的不法侵害而受到损害的人都有权要求赔偿。其中也明确提到了物质的和非物质的损害，但是对于非物质损害的具体判断要求并没有在其中体现。借助GDPR附录中（Recital）第148条第2句的描述，对于损害的判断和评估应当根据欧盟法院的判例，并结合DGPR的立法目标进行扩大解释。

以欧盟判例法作为参考可以看出，GDPR规定下的损害陪产请求权不仅包括了补偿功能，还提供了预防功能。（参见：Boehm, in Simitis/Hornung/Spiecker, Datenschutzrecht, 2019, Art. 82 DS-GVO Rn. 26; Moos/Schefzig, in Taeger/Gabel, Art. 82 DS-GVO Rn. 5, 26.）依照“有效性原则”，欧盟各成员国在将欧盟法转化为国内法时，也应当扩大损害赔偿的范围，不能将其局限于纯粹的象征性损害。相反的，各国规定的损害赔偿应当具有威慑力，为防止进一步的侵权行为而做出努力。此外，作为欧盟法概念下的法律术语，对于“损害赔偿”的解释应当遵循自主解释的原则，而不能依靠国内法进行解释。 （参见: Bergt, in Kühling/Buchner, DS-GVO BDSG, Art. 82 Rn. 17; EuGH Urt. v. 10.4.1984 – Rs 14/83, NJW 1984, 2021 (2022); EuGH Urt. v. 17.12.2015 – C-407/14, EuZW 2016, 183 (184 f.)）     

对于该法律术语的解释也应当符合GDPR的立法目的。GDPR附录（Recital）第75和78条专门罗列了一些可能造成损害的情况，其中包括歧视、身份盗窃、经济损失、名誉损害，以及泄密或其他经济上的、社会上的不利影响。此外，GDPR附录（Recital）第75条中还特别强调了涉及大量个人资料和大量资料主体数据处理在评估损害时的重要性。       

如果数据主体根据GDPR第82条第1款提出损害赔偿请求，一般应由他对引起该请求权的事实承担举证责任。但是GDPR第24条第1款第1项中所规定的“问责原则”，控制者有义务确保其所进行的数据处理符合数据保护法的要求，并且提供相关证明。（参见：Bergt, in Kühling/Buchner, DS-GVO BDSG, Art. 82 Rn. 46.）违法的数据处理必然是应当受到处罚的， GDPR第82条第3款对此规定了举证责任的倒置，在存在损害的情况下推定侵权人（控制者）存在违法行为，但是侵权人可以为自己进行举证、辩护。 

B.

到目前为止，德国法院对非物质的损害赔偿请求有不同的判决。在一些案件中，受害方获得了索赔，法院有时也明确提到了威慑作用，并判决赔偿300欧元至5000欧元。（相关判例：LG Lüneburg Urt. v. 14.7.2020 - 9 O 145/19, BeckRS 2020, 36932; AG Pforzheim ZD 2021, 50 Rn. 28; ArbG Dresden ZD 2021, 54 Rn. 17; ArbG Köln Urt. v. 12.3.2020 - 5 Ca 4806/19, BeckRS 2020, 31544; ArbG Düsseldorf NZA-RR 2020, 409 Rn. 85 et seq.）。

在其他情况下，由于不存在非物质损害，受害人的损害赔偿请求都被法院拒绝。这些判决的理由是，这只是一种没有严重损害的轻微侵权行为。这样的侵权行为，如果不超过一定的实质性门槛，就不应该足以成为非实质性损害赔偿请求的依据。另一方面，需要有一个客观上可理解的、具有一定分量的损害，例如对某个人进行了公开曝光。不能因为仅仅是个人感受到的不便而给予赔偿。 (相关判例：LG Landshut ZD 2021, 161 Rn. 18; AG Hannover Urt. v. 9.3.2020 – 531 C 10952/19, BeckRS 2019, 43221 Rn. 20; AG Frankfurt a. M. ZD 2021, 47 Rn. 29f; LG Köln ZD 2021, 47 Rn. 14)

另一个被给出的理由是，单纯只是违反GDPR的行为并不足以构成损害。并非每一个因数据处理不符合GDPR而导致的违规行为都自动导致可以赔偿的损害。控制者没有义务因一般出于预防的理由进行赔偿。原则上，侵犯个人权利的非物质损害是可以得到赔偿的，但需要有具体的、可感知的、客观上可理解的损害。即使这种情况不一定很严重，但也必须有理由给出赔偿。 (相关判例：LG Frankfurt a. M. ZD 2020, 639 Rn. 45; LG Karlsruhe ZD 2019, 511 Rn. 17; LG Landshut ZD 2021, 161 Rn. 18; AG Hannover Urt. v. 9.3.2020 – 531 C 10952/19, BeckRS 2019, 43221 Rn. 18; AG Frankfurt a. M. ZD 2021, 47 Rn. 29f).

C.

然而，GDPR第82条和附录都没有规定实质性的门槛。相反，回顾附录第146条第3句，其中说明的是一个广义的损害概念。过去，德国的判例法只在严重侵犯人格权的情况下，根据BDSG旧版第8条第2款的规定，判给非物质损失。然而，对严重违法行为的限制已不再适用。对严重侵犯人格权的限制根据欧盟法院的判例法并不符合第146条第3款所要求的解释。特别是不符合损害赔偿的预防作用。

此外，GDPR第82条应被自主解释，而不是根据国内法的损害概念。不得用德国法中保守的损害概念来替换GDPR第82条第1款的欧洲法律概念，对其应适用其他标准。为排除单纯的轻微侵权行为而设立的实质性门槛的行为，例如要求有特殊的非物质利益或客观损害，不符合损害概念的自主解释和明确的广义解释。参考GDPR第83条的制裁措施，也说明了对设立实质性门槛的反对。如果对侵权行为规定了罚款，那么假设数据主体没有受到损害似乎是荒谬的。此外，附录第148条第2句指出，在轻微侵权的情况下，可以免除罚款。然而，在GDPR第82条第1款中却没有与之相对应的条款（参见：Bergt, in Kühling/Buchner, DS-GVO BDSG, Art. 82 Rn. 18b, 18c）。

还应注意的是，如果对损害的严重程度和表现形式要求过高，就不能再充分实现损害赔偿的预防功能。对于典型的数据保护侵权，即使是在严重侵权的情况下，数据主体也很难证明具体和客观上可理解的损害，。通常，他们不会知道他们的数据是否以及如何被滥用或处理（参见：Korch, NJW 2021, 978 (980). 附录第75条提到，失去对个人数据的控制正是可能的非物质损失。即使不确定个人数据是否被传递给未经授权的人，特别是在不能排除这种可能性的情况下，也会导致一种被监视或无助的感觉。这可能伴随着焦虑和压力，以及为采取补救行动而损失的时间。此外，这种不确定性阻碍了数据主体维护他们的权利，例如，知情权、删除权或反对权，这反过来又构成了附录第75条提到的伤害（参见：Bergt, in Kühling/Buchner, DS-GVO BDSG, Art. 82 Rn. 18b, 18c）。

关于侵权行为与损害的因果关系的证明，必须考虑到数据主体通常不了解处理操作和责任的情况，因此，在有效性原则的背景下，这可能将支持证明的便利化，甚至是不利于侵权方的举证责任倒置的产生（参见：Bergt, in Kühling/Buchner, DS-GVO BDSG, Art. 82 Rn. 47）。

D.

对欧盟法律规定的损害概念的限制性解释只能由欧盟法院作出。这首先需要根据《欧盟运行条约》（AEUV） 第267条第1款b项的规定，将初步裁决提交给欧盟法院。根据《欧盟运行条约》第267条第2款，在未决诉讼中的判决取决于欧盟法院对该问题的答复的成员国国家法院有权提出申请。如果该法院是终审法院，它就有义务根据《欧盟运行条约》第267条第3款的规定进行提交。如果欧盟法院已经对有关的欧盟法律条款进行了解释，或者没有合理怀疑的余地，则不进行提交。

联邦宪法法院在其2021年1月14日的判决中（BVerfG NJW 2021, 1005）明确了这一点，它裁定Goslar地方法院的判决（AG Goslar Urt. v. 27.9.2019 - 28 C 7/19）违反了德国基本法第101条第1款第2项规定的法定法官的权利，作为终审法院，未按照初步裁决程序将案件提交欧盟法院。在诉讼中，出现了根据GDPR第82条第1款提出的现金赔偿请求应在什么条件下批准的问题。特别是在考虑到附录第146条第3句中规定的广泛解释的情况下，应当如何理解损害的概念。地方法院在一个欧盟法院尚未澄清的法律问题上超出了其判断范围，因为它武断地假定了GDPR中没有规定的实质性门槛。

奥地利最高法院于2021年4月15日就有关DS-GVO第82条第1条的问题作出了初步裁决（OHG Beschl. v. 15.04.21 - 6Ob35/21x; EuGH C-300/21）。有三个问题被提交给欧盟法院进行裁决。

1. 根据第82条的规定，为了获得认可损害赔偿的判决，除了违反GDPR的规定外，是否还要求原告遭受损害，或者违反GDPR的规定本身就足以获得赔偿？

2. 除了有效性和等同性原则外，欧盟法律对损害评估是否有其他要求？

3. 以下观点是否符合欧盟法律的规定：判决非物质损害赔偿的先决条件是，侵权行为的后果或结果至少达到一定程度，且必须超过侵权行为造成的烦扰的程度。

BAG在21年8月26日提交的初稿中也提到了这一请求（BAG Beschl. v. 26.08.21 - 8 AZR 253/20 (A)），它将有关GDPR第82条第1款的其他问题提交给了欧盟法院：

4. GDPR第82条第1款是否具有特殊或一般的预防性质，在根据GDPR第82条第1款评估由控制者或处理者承担的非物质损失的金额时，是否必须考虑到这一点？

5. 控制者或处理者的过错程度在GDPR第82条第1款确定应赔偿的非物质损失的数额时是否有影响？特别是，控制者或处理者方面不存在的或轻微的过失是否可以被考虑为对其有利？

目前，欧盟法院仍未对这些初步裁决请求做出裁定。

我们将随时与您分享最新消息。 

  蒂姆.斯奈德斯

  德国律师

  盈科德国律师事务所.杜塞尔多夫

  03.2022