Der Europäische Gerichtshof urteilte am 04.05.2023 (C-300/21), dass ein bloßer Verstoß gegen die DSGVO keinen Schadensersatz begründet. 

Wir fassen für Sie das Wichtigste auf unserem Blog zusammen!

Der Rechtsstreit 

Seit 2017 sammelte die Österreichische Post Informationen über die politischen Affinitäten der österreichischen Bevölkerung. Mit Hilfe eines Algorithmus definierte sie anhand sozialer und demografischer Merkmale „Zielgruppenadressen“. Aus den so gesammelten Daten leitete die Österreichische Post ab, dass ein bestimmter Bürger eine hohe Affinität zu einer bestimmten österreichischen politischen Partei habe. Die verarbeiteten Daten wurden dabei nicht an Dritte übermittelt. Ein betroffener Bürger, der der Verarbeitung seiner personenbezogenen Daten nicht zugestimmt hatte, trug vor Gericht vor, er sei verärgert und habe einen Vertrauensverlust sowie ein Gefühl der Bloßstellung verspürt, da ihm eine besondere Affinität zu der fraglichen Partei zugeschrieben worden sei. Doch begründet das einen Schadensersatzanspruch?

Zweifel an Schadenseintritt 

Der österreichische Oberste Gerichtshof äußerte selbst Zweifel in Bezug auf den Schadensersatzanspruch, den die Datenschutz-Grundverordnung (DSGVO) für den Fall vorsieht, dass wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist. Daher legte es diese Rechtsfrage dem Europäischen Gerichtshof (EuGH) in einem Vorabentscheidungsverfahren vor.

Frage zur Vorlage im Vorabentscheidungsverfahren 

Die zuständigen österreichischen Richter möchten vom Gerichtshof wissen, ob der bloße Verstoß gegen die DSGVO ausreicht, um einen Schadensersatzanspruch zu begründen, und ob für den Ersatz der entstandene immaterielle Schaden einen bestimmten Grad an Erheblichkeit erreichen muss. Des Weiteren möchte es wissen, welche unionsrechtlichen Vorgaben für die Festsetzung der Höhe des Schadenersatzes bestehen.

EuGH: Drei Voraussetzungen für Schadensersatzanspruch 

Der EuGH stellte in seinem Urteil fest, dass der in der DSGVO vorgesehene Schadensersatzanspruch eindeutig an drei kumulative Voraussetzungen geknüpft ist: einen Verstoß gegen die DSGVO, einen materiellen oder immateriellen Schaden, der aus diesem Verstoß resultiert, und einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß.  

Kausalität zwischen Verstoß und Schaden 

Der Anspruch aus Art. 82 DSGVO setzt außerdem voraus, dass ein Verstoß gegen die DSGVO für den Schaden des Betroffenen ursächlich geworden ist. Die Norm macht dabei vom Kausalitätserfordernis keine Ausnahme, sondern setzt als selbstverständlich voraus, dass es sich um Schäden handeln muss, die auf eine DSGVO-widrige Verarbeitung von personenbezogenen Daten zurückzuführen sind. 

Daran ändert die Zielsetzung der Vorschrift der betroffenen Person einen „vollständigen und wirksamen Schadenersatz“ gewährleisten zu wollen, nichts. Damit ist kein Aufweichen des Kausalitätserfordernisses, auch keine Beweiserleichterung gemeint.

Rechtstipp: Es genügt also nicht, dass ein etwaiger Schaden auf eine Verarbeitung personenbezogener Daten zurückzuführen ist, in deren Rahmen es zu einem Rechtsverstoß gekommen ist. Das ergibt sich schon klar aus dem Wortlaut des Art. 82. Abs. 1 DSGVO, wonach der Schaden „wegen“ eines Verstoßes eingetreten sein muss. 

Kein Anspruch bei Bagatellschäden

Art. 82 DSGVO ist nicht so auszulegen, dass die Norm einen Schadensersatzanspruch bereits bei jeder individuell empfundenen Unannehmlichkeit oder bei Bagatellverstößen ohne ernsthafte Beeinträchtigung für das Selbstbild oder Ansehen einer Person begründet. Daher sind wird in Anbetracht der Rechtsprechung der Ansicht, dass die Verbreitung des Namens, Geburtsdatums, Geschlechts, der E-Mail-Adresse und der Telefonnummer nur einen Bagatellschaden darstellen. 

Dennoch, eine „Erheblichkeitsschwelle“ gibt es so nicht. Grundsätzlich wären nach der DSGVO also auch unerhebliche Schäden zu ersetzen.

Rechtstipp: Fehlt es beim Vorbringen nach Art. 82 DSGVO bereits an einem durch die Rechtsverletzung geltend gemachten Schaden, so bedarf es keiner Überprüfung der Erheblichkeit des Schadensbegriffs. 

Fazit 

Aus unserer Sicht ist das neue Urteil des EuGH keine Neuerung und praktisch daher unbrauchbar. Jedenfalls ist ihm keine große Relevanz zuzusprechen, schließlich bleibt in Bezug auf den Schadensersatzanspruch für die Gerichte so gut wie alles ungeklärt. Dringend notwendig wären hingegen brauchbare Hinweise, bzw. Leitsätze gewesen, an denen sich die Gerichte halten können. Weiterhin bleibt der Schadensersatzanspruch bei einem Verstoß gegen die DSGVO daher sehr flexibel. 

Sie haben Fragen zum Thema Schadensersatz und DSGVO? Melden Sie sich bei uns! Unser im Datenschutzrecht spezialisiertes Team steht Ihnen gerne schnell und unkompliziert zur Seite und berät Sie gern.