DSGVO-Verstoß führt nicht immer zum Schadensersatzanspruch nach Art. 82 DSGVO
Artikel zu passenden Rechtsgebieten
Authors
Die Frage, ob der bloße Verstoß gegen die Bestimmungen des Art. 82 Datenschutzgrundverordnung ausreicht, um einen Schadensersatzanspruch zu begründen, blieb lange ungeklärt. Der EuGH äußerte sich nun zu dieser umstrittenen Rechtsfrage mit Urteil vom 4.5.2023 (C-300/21) und stellte fest:
Der bloße Verstoß gegen Art. 82 Abs. 1 der Verordnung 2016/679 (Datenschutzgrundverordnung) ist nicht ausreichend, um einen Schadensersatzanspruch zu begründen. Den Betroffenen muss darüber hinaus ein Schaden entstanden sein.
Weiterhin ist der Art 82 Abs. 1 ist so auszulegen, dass er den Ersatz des immateriellen Schadens nicht davon abhängig macht, ob der betroffenen Person ein „erheblicher“ Schaden entstanden ist. Der Schaden muss also keinen bestimmten Grad an Erheblichkeit aufweisen, um Schadensersatzansprüche zu begründen.
Dirk Streifler – Streifler&Kollegen – Rechtsanwälte Berlin
Der Fall: Klage auf Unterlassung der Verarbeitung personenbezogener Daten
Das vorliegende Vorabentscheidungsverfahren betraf einen Rechtsstreit zwischen der Österreichischen Post und einem österreichischen Bürger. Letzterer prangerte die Verarbeitung seiner personenbezogenen Daten an sowie die daraus resultierende Zuschreibung einer hohen Affinität zu einer bestimmten (österreichischen) politischen Partei.
Die Österreichische Post sammelte Informationen über politische Affinitäten der österreichischen Bevölkerung. Dabei verwendete sie einen Algorithmus, der unter Berücksichtigung verschiedener sozialer und demographischer Merkmale, „Zielgruppenadressen“ definierte. Aus den Daten der Bürger konnte die österreichische Post sodann eine hohe Affinität des Klägers zu einer politischen Partei ableiten. Der Kläger sah es als eine Beleidigung an, dass ihm eine Affinität zu der fraglichen Partei zugeschrieben wurde. Er habe der Verarbeitung seiner personenbezogenen Daten nicht zugestimmt. Zwar wurden die Daten nicht an Dritte weitergegeben, er fühle sich aber, durch die Speicherung der Informationen zu seiner angeblichen politischen Präferenz, bloßgestellt und verärgert.
Kläger verlangt 1000 Euro Schadensersatz
Das mit diesem Ausgangsstreit befasste Landesgericht für Zivilrechtssachen Wien (Österreich) gab der Klage des Klägers gegen die Österreichische Post auf Unterlassung der Verarbeitung der personenbezogenen Daten statt, wies jedoch sein Schadensersatzbegehren ab.
Klage stattgegeben - Schadensersatzbegehren abgewiesen
Das nachfolgend mit der Berufung des Klägers befasste Oberlandesgericht Wien bestätigte das Urteil des Landesgerichts. Nach Ansicht des Gerichts seien hinsichtlich des Schadensersatzbegehrens die innerstaatlichen Rechtsvorschriften der Mitgliedsstaaten anwendbar. Zur Begründung verwies das Gericht auf die Erwägungsgründe 75, 85 und 14 der DSGVO. Danach ergänzen die innerstaatlichen Rechtsvorschriften der Mitgliedsstaaten im Bereich der zivilrechtlichen Haftung, die Bestimmungen der DSGVO, sofern diese keine Sonderreglungen beinhalte. Nach innerstaatlichen Österreichischem Recht führe ein Verstoß gegen die DSGVO Bestimmungen nur dann zu einem Schadensersatzanspruch, wenn der Schaden „erheblich“ ist. Hier seien die „negativen Gefühle“ des Klägers jedoch nicht ausreichend erheblich, um sein Schadensersatzbegehren zu rechtfertigen.
Der Kläger erhob gegen die Abweisung seines Schadensersatzanspruches Revision beim Obersten Gerichtshof, der sodann stattgegeben wurde. Auch der Oberste Gerichtshof zweifelte an dem Bestehen eines Schadensersatzanspruches und legte dem EuGH folgende (vereinfacht zusammengefasste) Vorlagefragen vor:
1. Ist der bloße Verstoß gegen die Datenschutzgrundverordnung ausreichend, um einen Schadensersatzanspruch des Betroffenen zu begründen oder muss dem Betroffenen darüber hinaus ein Schaden entstanden sein?
2. Welche Unionsrechtlichen Vorgaben existieren für die Festsetzung der Höhe des Schadensersatzes?
3. Muss der entstandene immaterielle Schaden einen bestimmten Grad an Erheblichkeit aufweisen, der über den, durch die Rechtsverletzung hervorgerufenen Ärger, hinausgeht?
1.
Hinsichtlich der ersten Frage, ob der bloße Verstoß gegen die DSGVO ausreichend ist, um einen Schadensersatzanspruch des Betroffenen zu begründen, argumentiert der EuGH mit dem Wortlaut des Art. 82 Abs. 1 DSGVO. Dafür stellte das Gericht fest, dass für die Erfüllung des Tatbestandes des Art 82 DSGVO drei Voraussetzungen kumulativ vorliegen müssen. So müsse, erstens, ein Verstoß gegen die Datenschutzgrundverordnung vorliegen, zweitens, dem Betroffenen ein Schaden entstanden sein sowie, drittens, ein Kausalzusammenhang zwischen Schaden und Verstoß vorliegen. Daraus ergebe sich, dass nicht jeder Verstoß gegen die Datenschutzgrundverordnung zu einem Schadensersatzanspruch führen könne. Die gesonderte Erwähnung eines Schadens und eines Verstoßes wäre sinnfrei, wenn jeder Verstoß gegen die Bestimmungen der DSGVO ein berechtigtes Schadensbegehren des Betroffenen auslösen würde.
2.
Anschließend befasste sich das Gericht mit der Frage, ob Schadensersatzansprüche nach der Datenschutzgrundverordnung nur auf solche immateriellen Schäden beschränkt sind, die eine bestimmte Erheblichkeit aufweisen. Der Gerichtshof verneinte diese Frage: So fehle es bereits an einer entsprechenden Normierung dieses Erfordernisses in der Datenschutzgrundverordnung. Der Gerichtshof betont jedoch, dass die Tatsache, dass eine gewisse Erheblichkeit des Schadens zwar nicht nachgewiesen werden müsse, nicht bedeutet, dass der Betroffene von jeder Pflicht befreit ist, nachzuweisen, dass der Verstoß gegen die Datenschutzgrundverordnung einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellt. Dieser Nachweis müsse in jedem Fall gelingen um einen Schadensersatzanspruch zu begründen.
3.
In Hinblick auf die Bemessung des Schadensersatzes, stellte der EuGH fest, dass die Datenschutzgrundverordnung keine entsprechenden Regelungen bereithält. Ausgestaltung der Klageverfahren sowie die Festlegung von Kriterien für die Ermittlung des Umfangs des geschuldeten Schadensersatzes, seien somit Aufgabe der Mitgliedsstaaten. Diese sind verpflichtet bei der Anwendung der innerstaatlichen Vorschriften über den Umfang der finanziellen Entschädigung, die unionsrechtlichen Grundsätze der Äquivalenz- und Effektivität zu beachten.
Zusammenfassung und Ausblick
Die seit langem heiß diskutierte Frage, wann ein Verstoß gegen die Vorschriften der Datenschutzgrundverordnung einen Schaden darstellt, der Schadensersatzansprüche auslöst, ist nun geklärt. Auch in der Vergangenheit hat eine nicht unbedeutende Anzahl Deutscher Gerichte im Sinne des wiedergegebenen Urteils, dh. für das Vorliegen einer bestimmten Erheblichkeit als Voraussetzung für einen Schadensersatzanspruch entschieden. Andere Gerichte wiederrum haben bereits bei kleineren Verstößen gegen die Vorschriften der DSGVO einen Schadensersatzanspruch bejaht. Zumindest in Hinblick auf diese Frage sollte nun Klarheit herrschen. Fraglich bleibt, wie sich das Urteil auf das zukünftige Verhalten von Betroffenen - oder denen die zum Zwecke der Geltendmachung von Schadensersatzansprüchen gerne betroffen wären - auswirken wird. Viele hoffen, dass das Urteil dazu führen wird, dass Personen in Zukunft vermehrt auf die Geltendmachung datenschutzrechtlicher Auskünfte verzichten werden. Immerhin muss den Betroffenen durch die Verarbeitung ihrer personenbezogener Daten ein Schaden entstanden sein, was durchaus schwieriger nachzuweisen ist, als der bloße Verstoß gegen die Datenschutzgrundverordnung. Doch das bleibt insbesondere in Hinblick auf die Möglichkeit der Geltendmachung von Auskunftsansprüchen ohne den Nachweis eines berechtigten Interesses, zweifelhaft.
Haben Sie noch Fragen zum Thema DSGVO, Schaden oder Schadensersatz? Dann nehmen Sie Kontakt zu Streifler&Kollegen auf und lassen Sie sich fachkundig beraten.
moreResultsText
