DSGVO – Generalanwälte des EuGHs nehmen Stellung zu Auskunftsanspruch und Schadenersatz
Die Österreichische Post AG (Post) erhob als Adressverlag verschiedene personenbezogene Daten (u.a. Informationen zu den Parteiaffinitäten) der österreichischen Bevölkerung. Mehrere betroffene Personen verlangten von der Post Auskunft und/oder Schadenersatz nach der DSGVO. Zwei Gerichtsverfahren landeten beim Obersten Gerichtshof (OGH), der dem Europäischen Gerichtshof (EuGH) mehrere Fragen zur Vorabentscheidung vorlegte. Der jeweils zuständige Generalanwalt hat in seinen Schlussanträgen dazu wie folgt Stellung genommen:
Auskunftsrecht der betroffenen Person – Rechtssache C-154/21
Der Kläger ist eine natürliche Person, die von der Post Auskunft gemäß Art. 15 DSGVO über die ihn betreffenden Daten, insbesondere die Empfänger seiner Daten verlangte. Da die Post nur die Kategorien von Empfängern nannte und nicht die konkreten Empfänger, verlangte der Kläger eine verbesserte Auskunft über eine mögliche Weitergabe seiner Daten an Dritte sowie gegebenenfalls über den/die konkreten Empfänger.
Sowohl das Erst- als auch das Berufungsgericht wiesen das Klagebegehren mit der Begründung ab, dass Art. 15 Abs. 1 lit. c DSGVO dem Verantwortlichen eine Wahlmöglichkeit einräume, nämlich entweder die konkreten Empfänger oder bloß die Kategorien der Empfänger offenzulegen. Der OGH hatte Zweifel an der Auslegung von Art. 15 DSGVO durch die Vorinstanzen, weshalb er vom EuGH wissen wollte, ob tatsächlich eine solche Wahlmöglichkeit bestehe oder ob die Empfänger immer dann zwingend zu nennen sind, wenn Daten bereits an diese offengelegt wurden?
Der zuständige Generalanwalt Giovanni Pitruzzella hat in seinem Schlussantrag diese Frage analysiert und ist zu dem Ergebnis gekommen, dass die Bestimmung dahingehend auszulegen ist, dass vom Verantwortlichen zwingend Auskunft über die konkreten Empfänger von Offenlegungen der personenbezogenen Daten der betroffenen Person gegeben werden muss. Begründet hat er das unter anderen wie folgt:
Nach dem 63. Erwägungsgrund der DSGVO ist es Ziel des Auskunftsrechts, die betroffene Person in eine Lage zu versetzen, in der sie sich der Verarbeitung bewusst ist und deren Rechtmäßigkeit überprüfen kann. Die Ausübung dieses Rechts muss es der betroffenen Person insbesondere ermöglichen, sich nicht nur zu vergewissern, dass ihre personenbezogenen Daten fehlerfrei verarbeitet werden, sondern auch, dass diese an Empfänger gerichtet sind, die zu ihrer Verarbeitung befugt sind. Das setzt jedoch voraus, dass die Mitteilung von Informationen so präzise wie möglich erfolgt. Das Auskunftsrecht dient vor allem dazu, die ihr durch die Art. 16, 17 und 18 DSGVO eingeräumten Rechte auf Berichtigung, Löschung und Einschränkung der Verarbeitung weiteren Rechte des Betroffenen vorzubereiten und auszuüben. Würde man Art. 15 DSGVO anders auslegen, würde man der betroffenen Person die Möglichkeit nehmen, Informationen über die konkreten Empfänger zu erhalten, wodurch sie die ihr oben genannten Rechte gegenüber diesen Empfängern entweder gar nicht oder nur mit unverhältnismäßigem Aufwand ausüben könnte.
Zumindest in zwei Fällen stößt diese betroffenenfreundliche Auslegung laut Generalanwalt an ihre Grenzen. Erstens, wenn aus tatsächlichen Gründen die Erteilung einer Auskunft über konkrete Empfänger nicht möglich ist, z.B. wenn diese noch nicht identifiziert wurden, kann vom Verantwortlichen nicht verlangt werden, dass er Informationen mitteilt, die noch nicht vorliegen. Ferner ist die Ausübung des Auskunftsrechts und deren Erfüllung anhand der Grundsätze der Rechtmäßigkeit und der Verhältnismäßigkeit zu beurteilen. Dementsprechend können Anträge eines Betroffenen abgelehnt werden, die offensichtlich einen unbegründeten oder exzessiven Charakter haben.
Auch wenn die Ansicht des Generalanwalts für das Gericht nicht bindend ist, folgt der EuGH in der Regel seinen Empfehlungen. Verantwortlichen ist es somit zu empfehlen, die Liste der Empfänger nicht nur im internen Verzeichnis gemäß Art. 30 DSGVO zu führen, sondern auch in der Datenschutzerklärung gemäß Art. 13 Abs. 1 bzw. Art. 14 Abs. 1 DSGVO anzugeben.
Schadenersatz nach der DSGVO – Rechtssache C‑300/21
In diesem Fall erhob die Post als Adressenverlag Informationen zu den Parteiaffinitäten der österreichischen Bevölkerung. Dem Kläger wurde eine Parteiaffinität zugeschrieben, die dieser als Beleidigung empfand. Er begehrte daher einen Betrag in Höhe von 1.000 Euro zum Ersatz seines immateriellen Schadens (inneres Ungemach). Die ihm zugeschriebene politische Affinität sei eine Beleidigung und beschämend sowie kreditschädigend. Das Verhalten der Post habe bei ihm großes Ärgernis und einen Vertrauensverlust sowie ein Gefühl der Bloßstellung ausgelöst.
Sowohl das Erst- als auch das Berufungsgericht wiesen das Klagebegehren ab. Dagegen erhob der Kläger Revision an den OGH, der wiederum dem EuGH drei Fragen zur Vorabentscheidung vorlegte.
Zuerst ging es um die Frage, ob die bloße Verletzung der Bestimmungen der DSGVO einen Anspruch auf Schadenersatz begründet, und zwar unabhängig davon, ob tatsächlich ein Schaden entstanden ist. Dazu führte der Generalanwalt Manuel Campos Sánchez-Bordona aus, dass gemäß Art. 82 DSGVO der Schadenersatz gerade deshalb gewährt wird, weil zuvor ein Schaden entstanden ist. Eine Auslegung, die den Begriff „Verstoß“ automatisch, ohne Erfordernis eines Schadens, mit dem Begriff „Ausgleich“ in Verbindung bringt, steht daher nicht mit dem Wortlaut von Art. 82 der DSGVO im Einklang. Dies würde einem sogenannten Strafschadenersatz gleichkommen, der nicht den Ausgleich der nachteiligen Folgen des Verstoßes erfüllt, sondern eher einer Sanktion gleichkommt.
Auch der Ansicht des Klägers, die (bloße) Verletzung der Norm stelle eine unwiderlegbare Vermutung für einen Schaden dar, weil ein solcher Verstoß zwangsläufig zu einem Verlust der Kontrolle über die Daten führe und per se einen nach Art. 82 Abs. 1 der DSGVO ersatzfähigen Schaden darstelle, erteilte der Generalanwalt eine Absage. Dies vor allem deshalb, weil der Verlust der Kontrolle über die Daten nicht zwangsläufig einen Schaden verursachen muss.
Außerdem wollte der OGH wissen, ob nach der DSGVO der Zuspruch immateriellen Schadens davon abhängt, dass eine „Rechtsverletzung von zumindest einigem Gewicht vorliegt, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgeht“. Dazu hielt der Generalanwalt fest, dass Art. 82 der DSGVO keine unmittelbare Antwort auf diese Frage bietet. Auch dem 146. Erwägungsgrund der DSGVO (die Verantwortlichen sollten jegliche Schäden ersetzen) lassen sich keine Kriterien entnehmen, die es ermöglichen, diese Frage zu beantworten.
Laut Generalanwalt wird jeder Verstoß gegen eine Norm über den Schutz personenbezogener Daten zu einer negativen Reaktion der betroffenen Person führen. Ein Schadenersatz, der sich aus einem bloßen Unmutsgefühl wegen der Nichtbeachtung des Rechts durch einen anderen ergibt, kommt dem vom Generalanwalt bereits abgelehnten Schadenersatz ohne Schaden (siehe zuvor) recht nahe.
Am Ende ist es jedoch Sache der nationalen Gerichte, herauszuarbeiten, wann das subjektive Unmutsgefühl aufgrund seiner Merkmale im Einzelfall als immaterieller Schaden angesehen werden kann.
Auch für diesen Fall gilt, dass es sich bei der Beurteilung des Generalanwalts lediglich um eine Empfehlung handelt, der das Gericht nicht unbedingt folgen muss. Sollte sich jedoch der EuGH der Ansicht des Generalanwaltes anschließen, bleibt es spannend zu sehen, wie die nationalen Gerichte mit der Frage umgehen, welche Schwelle überschritten werden muss, damit überhaupt ein immaterieller Schadenersatz zugesprochen wird. Ein bloßer Ärger scheint dafür jedenfalls nicht ausreichend zu sein.
DISCLAIMER
Dieser Blog stellt lediglich eine allgemeine Information und keine rechtsanwaltliche Beratung dar. Schindler Rechtsanwälte GmbH übernimmt keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität des Blogs. Der Blog kann eine individuelle Rechtsberatung nicht ersetzen.