DSGVO-Verstoß führt nicht immer zum Schadensersatzanspruch nach Art. 82 DSGVO

erstmalig veröffentlicht: 06.10.2023, letzte Fassung: 06.10.2023

Autoren

Rechtsanwalt Dirk Streifler - Partner

EnglischDeutsch
Zusammenfassung des Autors

Der bloße Verstoß gegen die Vorschriften der Datenschutzgrundverordnung ist nicht ausreichend, um einen Schadensersatzanspruch gem. Art. 82 Abs. 1 DSGVO zu begründen. Den Betroffenen muss darüber hinaus ein Schaden entstanden sein. Auf die Erheblichkeit des Schadens kommt es hingegen nicht an (vgl. EuGH, Urt. v. 4.5.2023 - C-300/21).

Dirk Streifler - Streifler&Kollegen

Die Frage, ob der bloße Verstoß gegen die Bestimmungen des Art. 82 Datenschutzgrundverordnung ausreicht, um einen Schadensersatzanspruch zu begründen, blieb lange ungeklärt. Der EuGH äußerte sich nun zu dieser umstrittenen Rechtsfrage mit Urteil vom 4.5.2023 (C-300/21) und stellte fest:

Der bloße Verstoß gegen Art. 82 Abs. 1 der Verordnung 2016/679 (Datenschutzgrundverordnung) ist nicht ausreichend, um einen Schadensersatzanspruch zu begründen. Den Betroffenen muss darüber hinaus ein Schaden entstanden sein.

Weiterhin ist der Art 82 Abs. 1 ist so auszulegen, dass er den Ersatz des immateriellen Schadens nicht davon abhängig macht, ob der betroffenen Person ein „erheblicher“ Schaden entstanden ist. Der Schaden muss also keinen bestimmten Grad an Erheblichkeit aufweisen, um Schadensersatzansprüche zu begründen.

Dirk Streifler – Streifler&Kollegen – Rechtsanwälte Berlin

 

Der Fall: Klage auf Unterlassung der Verarbeitung personenbezogener Daten

Das vorliegende Vorabentscheidungsverfahren betraf einen Rechtsstreit zwischen der Österreichischen Post und einem österreichischen Bürger. Letzterer prangerte die Verarbeitung seiner personenbezogenen Daten an sowie die daraus resultierende Zuschreibung einer hohen Affinität zu einer bestimmten (österreichischen) politischen Partei.

Die Österreichische Post sammelte Informationen über politische Affinitäten der österreichischen Bevölkerung. Dabei verwendete sie einen Algorithmus, der unter Berücksichtigung verschiedener sozialer und demographischer Merkmale, „Zielgruppenadressen“ definierte. Aus den Daten der Bürger konnte die österreichische Post sodann eine hohe Affinität des Klägers zu einer politischen Partei ableiten. Der Kläger sah es als eine Beleidigung an, dass ihm eine Affinität zu der fraglichen Partei zugeschrieben wurde. Er habe der Verarbeitung seiner personenbezogenen Daten nicht zugestimmt. Zwar wurden die Daten nicht an Dritte weitergegeben, er fühle sich aber, durch die Speicherung der Informationen zu seiner angeblichen politischen Präferenz, bloßgestellt und verärgert.

 

Kläger verlangt 1000 Euro Schadensersatz

Das mit diesem Ausgangsstreit befasste Landesgericht für Zivilrechtssachen Wien (Österreich) gab der Klage des Klägers gegen die Österreichische Post auf Unterlassung der Verarbeitung der personenbezogenen Daten statt, wies jedoch sein Schadensersatzbegehren ab.

 

Klage stattgegeben - Schadensersatzbegehren abgewiesen

Das nachfolgend mit der Berufung des Klägers befasste Oberlandesgericht Wien bestätigte das Urteil des Landesgerichts. Nach Ansicht des Gerichts seien hinsichtlich des Schadensersatzbegehrens die innerstaatlichen Rechtsvorschriften der Mitgliedsstaaten anwendbar. Zur Begründung verwies das Gericht auf die Erwägungsgründe 75, 85 und 14 der DSGVO. Danach ergänzen die innerstaatlichen Rechtsvorschriften der Mitgliedsstaaten im Bereich der zivilrechtlichen Haftung, die Bestimmungen der DSGVO, sofern diese keine Sonderreglungen beinhalte. Nach innerstaatlichen Österreichischem Recht führe ein Verstoß gegen die DSGVO Bestimmungen nur dann zu einem Schadensersatzanspruch, wenn der Schaden „erheblich“ ist. Hier seien die „negativen Gefühle“ des Klägers jedoch nicht ausreichend erheblich, um sein Schadensersatzbegehren zu rechtfertigen.

Der Kläger erhob gegen die Abweisung seines Schadensersatzanspruches Revision beim Obersten Gerichtshof, der sodann stattgegeben wurde. Auch der Oberste Gerichtshof zweifelte an dem Bestehen eines Schadensersatzanspruches und legte dem EuGH folgende (vereinfacht zusammengefasste) Vorlagefragen vor:

 

1. Ist der bloße Verstoß gegen die Datenschutzgrundverordnung ausreichend, um einen Schadensersatzanspruch des Betroffenen zu begründen oder muss dem Betroffenen darüber hinaus ein Schaden entstanden sein?

 

2. Welche Unionsrechtlichen Vorgaben existieren für die Festsetzung der Höhe des Schadensersatzes?

 

3. Muss der entstandene immaterielle Schaden einen bestimmten Grad an Erheblichkeit aufweisen, der über den, durch die Rechtsverletzung hervorgerufenen Ärger, hinausgeht?

 

1.

Hinsichtlich der ersten Frage, ob der bloße Verstoß gegen die DSGVO ausreichend ist, um einen Schadensersatzanspruch des Betroffenen zu begründen, argumentiert der EuGH mit dem Wortlaut des Art. 82 Abs. 1 DSGVO. Dafür stellte das Gericht fest, dass für die Erfüllung des Tatbestandes des Art 82 DSGVO drei Voraussetzungen kumulativ vorliegen müssen. So müsse, erstens, ein Verstoß gegen die Datenschutzgrundverordnung vorliegen, zweitens, dem Betroffenen ein Schaden entstanden sein sowie, drittens, ein Kausalzusammenhang zwischen Schaden und Verstoß vorliegen. Daraus ergebe sich, dass nicht jeder Verstoß gegen die Datenschutzgrundverordnung zu einem Schadensersatzanspruch führen könne. Die gesonderte Erwähnung eines Schadens und eines Verstoßes wäre sinnfrei, wenn jeder Verstoß gegen die Bestimmungen der DSGVO ein berechtigtes Schadensbegehren des Betroffenen auslösen würde.

2.

Anschließend befasste sich das Gericht mit der Frage, ob Schadensersatzansprüche nach der Datenschutzgrundverordnung nur auf solche immateriellen Schäden beschränkt sind, die eine bestimmte Erheblichkeit aufweisen. Der Gerichtshof verneinte diese Frage: So fehle es bereits an einer entsprechenden Normierung dieses Erfordernisses in der Datenschutzgrundverordnung. Der Gerichtshof betont jedoch, dass die Tatsache, dass eine gewisse Erheblichkeit des Schadens zwar nicht nachgewiesen werden müsse, nicht bedeutet, dass der Betroffene von jeder Pflicht befreit ist, nachzuweisen, dass der Verstoß gegen die Datenschutzgrundverordnung einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellt. Dieser Nachweis müsse in jedem Fall gelingen um einen Schadensersatzanspruch zu begründen.

3.

In Hinblick auf die Bemessung des Schadensersatzes, stellte der EuGH fest, dass die Datenschutzgrundverordnung keine entsprechenden Regelungen bereithält. Ausgestaltung der Klageverfahren sowie die Festlegung von Kriterien für die Ermittlung des Umfangs des geschuldeten Schadensersatzes, seien somit Aufgabe der Mitgliedsstaaten. Diese sind verpflichtet bei der Anwendung der innerstaatlichen Vorschriften über den Umfang der finanziellen Entschädigung, die unionsrechtlichen Grundsätze der Äquivalenz- und Effektivität zu beachten.

Zusammenfassung und Ausblick

Die seit langem heiß diskutierte Frage, wann ein Verstoß gegen die Vorschriften der Datenschutzgrundverordnung einen Schaden darstellt, der Schadensersatzansprüche auslöst, ist nun geklärt. Auch in der Vergangenheit hat eine nicht unbedeutende Anzahl Deutscher Gerichte im Sinne des wiedergegebenen Urteils, dh. für das Vorliegen einer bestimmten Erheblichkeit als Voraussetzung für einen Schadensersatzanspruch entschieden. Andere Gerichte wiederrum haben bereits bei kleineren Verstößen gegen die Vorschriften der DSGVO einen Schadensersatzanspruch bejaht. Zumindest in Hinblick auf diese Frage sollte nun Klarheit herrschen. Fraglich bleibt, wie sich das Urteil auf das zukünftige Verhalten von Betroffenen - oder denen die zum Zwecke der Geltendmachung von Schadensersatzansprüchen gerne betroffen wären -  auswirken wird. Viele hoffen, dass das Urteil dazu führen wird, dass Personen in Zukunft vermehrt auf die Geltendmachung datenschutzrechtlicher Auskünfte verzichten werden. Immerhin muss den Betroffenen durch die Verarbeitung ihrer personenbezogener Daten ein Schaden entstanden sein, was durchaus schwieriger nachzuweisen ist, als der bloße Verstoß gegen die Datenschutzgrundverordnung. Doch das bleibt insbesondere in Hinblick auf die Möglichkeit der Geltendmachung von Auskunftsansprüchen ohne den Nachweis eines berechtigten Interesses, zweifelhaft.

Haben Sie noch Fragen zum Thema DSGVO, Schaden oder Schadensersatz? Dann nehmen Sie Kontakt zu Streifler&Kollegen auf und lassen Sie sich fachkundig beraten.

Show what you know!
Artikel schreiben

Artikel zu passenden Rechtsgebieten

Artikel zu Datenschutzrecht

Datenschutz und Bonitätsprüfung: EuGH urteilt gegen SCHUFA-Praxis

17.12.2023

Am 7. Dezember 2023 hat der Europäische Gerichtshof (EuGH) entschieden, dass -Scores nicht mehr alleinige Grundlage für Kreditentscheidungen sein dürfen. Dieses bahnbrechende Urteil hat erhebliche Auswirkungen auf die Kreditwirtschaft und den Verbraucherschutz in Deutschland.  Streifler&Kollegen - Rechtsanwälte Berlin 

EuGH: Geldbußen nach Datenschutz-Grundverordnung

06.12.2023

Der Europäische Gerichtshof entschied, dass Geldbußen nach der Datenschutz-Grundverordnung (DSGVO) nur bei schuldhaftem Verstoß gegen die Verordnung verhängt werden können, sei es vorsätzlich oder fahrlässig. Die Schuldhaftigkeit gilt auch für juristische Personen, und die Höhe der Geldbuße für Unternehmen richtet sich nach dem weltweiten Jahresumsatz. Die Entscheidung schafft Klarheit in Bezug auf die Verantwortlichkeit, gemeinsame Verantwortlichkeit und die Berechnung von Geldbußen im Rahmen der DSGVO. Dirk Streifler – Streifler&Kollegen – Rechtsanwälte Berlin

Datenschutz und Patientenrechte im Fokus - EuGH-Urteil zu unentgeltlichen Kopien von Patientenakten

26.11.2023

Der vorliegende Fachartikel thematisiert die Verbindung von Datenschutz und Patientenrechten im Lichte eines EuGH-Urteils (C-307/22). Im Fokus stehen das Recht der Patienten auf kostenlose Kopien ihrer Patientenakten und die Auslegung der DSGVO. Der Artikel beleuchtet zudem rechtliche Aspekte, wie die Frage der Kostenfreiheit bei der Einsichtnahme in die Patientenakte gemäß §§ 630f, 630g BGB. Die Entscheidung des EuGH wird als Meilenstein für die Datenschutzpraxis im Gesundheitssektor betrachtet, da sie einen Ausgleich zwischen Patientenrechten und den Interessen der Behandelnden herstellt und die Bedeutung von Datenschutz und Transparenz im Gesundheitswesen betont. Dirk Streifler – Streifler&Kollegen – Rechtsanwälte Berlin

10 000 Euro Schadensersatz wegen Veröffentlichung von Aufnahmen eines Arbeitnehmers nach Ende des Arbeitsverhältnisses

24.10.2023

Ein Arbeitnehmer erhält 10 000 Euro Schadensersatz von seinem ehemaligen Arbeitnehmer. Das beklagte Unternehmen hat nach Beendigung des Arbeitsverhältnisses mit dem Kläger, dessen Video- und Bildmaterial weiterhin zu Werbezwecken verwendet.  Streifler&Kollegen - Rechtsanwälte Berlin

Facebook-Datenleck: LG Paderborn spricht Nutzer 500 Euro Schadensersatz zu

23.02.2023

Tausende Facebook-Nutzer haben infolge des Facebook-Datenlecks im Jahr 2021 Anspruch auf immateriellen Schadensersatz in Höhe von 500-3000 Euro. Das soziale Netzwerk muss sich wegen mehrerer Verstöße gegen die Datenschutzgrundverordnung, unter anderen wegen unzureichender Sicherheitsvorkehrungen (Art. 32 DSGVO), verantworten. Dirk Streifler (Rechtsanwalt)
Artikel zu Europarecht

Datenschutz und Bonitätsprüfung: EuGH urteilt gegen SCHUFA-Praxis

17.12.2023

Am 7. Dezember 2023 hat der Europäische Gerichtshof (EuGH) entschieden, dass -Scores nicht mehr alleinige Grundlage für Kreditentscheidungen sein dürfen. Dieses bahnbrechende Urteil hat erhebliche Auswirkungen auf die Kreditwirtschaft und den Verbraucherschutz in Deutschland.  Streifler&Kollegen - Rechtsanwälte Berlin 

Datenschutz und Patientenrechte im Fokus - EuGH-Urteil zu unentgeltlichen Kopien von Patientenakten

26.11.2023

Der vorliegende Fachartikel thematisiert die Verbindung von Datenschutz und Patientenrechten im Lichte eines EuGH-Urteils (C-307/22). Im Fokus stehen das Recht der Patienten auf kostenlose Kopien ihrer Patientenakten und die Auslegung der DSGVO. Der Artikel beleuchtet zudem rechtliche Aspekte, wie die Frage der Kostenfreiheit bei der Einsichtnahme in die Patientenakte gemäß §§ 630f, 630g BGB. Die Entscheidung des EuGH wird als Meilenstein für die Datenschutzpraxis im Gesundheitssektor betrachtet, da sie einen Ausgleich zwischen Patientenrechten und den Interessen der Behandelnden herstellt und die Bedeutung von Datenschutz und Transparenz im Gesundheitswesen betont. Dirk Streifler – Streifler&Kollegen – Rechtsanwälte Berlin

10 000 Euro Schadensersatz wegen Veröffentlichung von Aufnahmen eines Arbeitnehmers nach Ende des Arbeitsverhältnisses

24.10.2023

Ein Arbeitnehmer erhält 10 000 Euro Schadensersatz von seinem ehemaligen Arbeitnehmer. Das beklagte Unternehmen hat nach Beendigung des Arbeitsverhältnisses mit dem Kläger, dessen Video- und Bildmaterial weiterhin zu Werbezwecken verwendet.  Streifler&Kollegen - Rechtsanwälte Berlin

Fluggastrechte: Freie kostenlose Wahl des Termines für Ersatzbeförderung nach Flugannullierung

27.07.2023

Gute Nachrichten für Verbraucher. Der BGH hat entschieden: Keine zusätzlichen Kosten für Flugumbuchung bei einer durch die Corona-Pandemie verursachten Flugannullierung. Anders als das LG Köln und OLG Köln bisher angenommen haben, können Verbraucher ihre Flüge völlig kostenlos umbuchen und müssen nicht darauf achten, dass der neue Flugtermin in einem zeitlichen Zusammenhang zum ursprünglichen Flug steht. Demnach dürfen Fluggesselschaften Reisenden keine zusätzlichen Gebühren berechnen, wenn diese ihren, im April 2021 annullierten Flug, auf einen Termin der einige Monate in der Zukunft liegt, umgebucht haben.  Dirk Streifler - Streifler&Kollegen - Rechtsanwälte Berlin

EuGH: Verbraucher muss nach Widerruf trotz Vertragserfüllung nicht zahlen

30.06.2023

Widerruft der Verbraucher, einen außerhalb von Geschäftsräumen abgeschlossenen Dienstleistungsvertrag, bei dem er nicht über sein Widerrufsrecht aufgeklärt wurde, muss er auch nach Erfüllung des Vertrages nicht bezahlen. So die Antwort des Europä