EuGH zur DSGVO – kein Schadenersatz ohne tatsächlichen Schaden
Mit Spannung wurde das Urteil des Gerichtshofs der Europäischen Union (EuGH), zur Frage unter welchen Voraussetzungen Schadenersatz bei Datenschutzverstößen geleistet werden muss, erwartet (Rechtssache C‑300/21). Jetzt wo es vorliegt, konnten zwar einige wesentliche Fragen beantwortet werden, gleichzeitig bleiben allerdings einige Fragen offen.
Hintergrund des Falles ist, dass die Österreichische Post ab dem Jahr 2017 Informationen über die politischen Affinitäten der österreichischen Bevölkerung sammelte. Ein Anwalt, der dieser Verarbeitung seiner personenbezogenen Daten nicht zugestimmt hatte, fühlte sich dadurch beleidigt, dass ihm eine Affinität zu einer politischen Partei zugeschrieben wurde, und klagte auf Unterlassung und immateriellen Schadenersatz. Begründet wurde der immaterielle Schaden mit einem großen Ärgernis, einem Vertrauensverlust, sowie einem Gefühl der Bloßstellung.
Während dem Anspruch auf Unterlassung in den ersten beiden Instanzen stattgegeben wurde, wurde das Schadenersatzbegehren abgewiesen. Begründet wurde die Abweisung damit, dass ein Datenschutzverstoß nicht automatisch zum einem immateriellen Schaden führe und nur dann ein Schadenersatzanspruch bestehe, wenn ein solcher Schaden eine „Erheblichkeitsschwelle“ erreiche. Der Oberste Gerichtshof (OGH) setzte das Verfahren zum Schadenersatzbegehren aus und legte dem EuGH drei Fragen zum Schadenersatz gemäß Art. 82 DSGVO zur Vorabentscheidung vor.
Mit seiner ersten Frage wollte der OGH wissen, ob der bloße Verstoß gegen die Bestimmungen der DSGVO ausreicht, um einen Schadenersatzanspruch zu begründen. Dies hat der EuGH ganz klar verneint. Bereits dem Wortlaut des Art. 82 DSGVO ist zu entnehmen, dass das Vorliegen eines „Schadens“ eine Voraussetzung für einen Schadenersatzanspruch ist. Außerdem muss ein Verstoß gegen die DSGVO vorliegen, sowie ein Kausalzusammenhang zwischen dem Schaden und dem Verstoß bestehen. Diese drei zuvor genannten Voraussetzungen müssen alle gemeinsam vorliegen.
Diese Auslegung wird durch die Erläuterungen in den Erwägungsgründen zur DSGVO bestätigt, wo es unter anderem heißt „Schäden, die einer Person aufgrund einer Verarbeitung entstehen, …“ (Erwägungsgrund 146) oder „Die Risiken … aus einer Verarbeitung personenbezogener Daten hervorgehen [können], die zu einem … Schaden führen könnte.“ (Erwägungsgrund 75).
Ferner musste die Frage beantwortet werden, ob der entstandene Schaden einen bestimmten Grad an Erheblichkeit erreichen muss, um ersatzfähig zu sein. Auch das hat der EuGH verneint. Begründet wurde das damit, dass der Schaden in der DSGVO zwar nicht definiert wird, dass in Art. 82 DSGVO neben der Nennung eines „materiellen“ bzw. „immateriellen Schaden“ keine wie auch immer geartete Erheblichkeitsschwelle genannt wird. Nach dem 3.Satz des 146. Erwägungsgrundes der DSGVO ist es notwendig, den „Begriff des Schadens … im Lichte der Rechtsprechung des Gerichtshofs weit …“ auszulegen.
Zuletzt verweist der EuGH darauf, dass die DSGVO selbst keine Regeln für die Bemessung des Schadenersatzes enthält und überlässt daher die Festlegung der Kriterien für die Ermittlung des Umfangs den einzelnen Mitgliedstaaten. Dabei ist vor allem auf den Äquivalenz- und den Effektivitätsgrundsatz Bedacht zu nehmen (vgl. entsprechend Urteil vom 13. Juli 2006, Manfredi u. a., C‑295/04 bis C‑298/04, EU:C:2006:461, Rn. 92 und 98).
Damit bleibt allerdings die Frage offen, ob beispielsweise ein Ärgernis, ein Vertrauensverlust, oder das Gefühl der Bloßstellung bereits ein immaterieller Schaden sind. Dies haben zukünftig die nationalen Gerichte zu beantworten, was wiederrum zu unterschiedlichen Beurteilungen in den EU-Mitgliedsstaaten führen kann. Auch die konkrete Bemessung des Schadenersatzanspruchs bleibt den nationalen Gerichten vorbehalten. Hier muss sich erst eine entsprechende Rechtsprechung entwickeln. Es bleibt somit auch in Zukunft spannend, ob und in welcher Höhe ein Schadenersatzanspruch bei Datenschutzverstößen zusteht.
DISCLAIMER
Dieser Blog stellt lediglich eine allgemeine Information und keine rechtsanwaltliche Beratung dar. Schindler Rechtsanwälte GmbH übernimmt keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität des Blogs. Der Blog kann eine individuelle Rechtsberatung nicht ersetzen.