Schadenersatzanspruch wegen Verstoß gegen DS-GVO?
Österreichische Post ermittelt politische Gesinnung der Bürger
Genügt ein bloßer Verstoß gegen Regelungen der Datenschutzgrundverordnung (DSGVO), um einen Schadensersatzanspruch zu begründen?
Begründet jeder Verstoß gegen die Datenschutzgrundverordnung (DSGVO) bereits einen Anspruch auf immateriellen Schadensersatz? Der Österreichische Oberste Gerichtshof war sich dabei nicht ganz so sicher und hat die Frage zur Vorabentscheidung an den Europäischen Gerichtshof weitergegeben. Dieser hat nun geurteilt (EuGH, Urteil vom 04.05.2023 – C-300/21). Zu welchem Ergebnis die Luxemburger Richter gekommen sind, dazu mehr in diesem Beitrag.
Bloßer Verstoß gegen Datenschutzrecht = Schadensersatz?
Hintergrund des Urteils waren Ermittlungen der österreichischen Post AG zur politischen Affinität der österreichischen Bürger, um Werbung für Parteien und Wahlprogramme auf den einzelnen Bürger individuell abzustimmen. Im Zuge dessen wurden anhand eines Algorithmus Informationen gesammelt, die es ermöglichten, „Zielgruppenadressen“ zu bilden. Die gesammelten personenbezogenen Daten sind dabei nicht an Dritte übermittelt worden, sondern lediglich unternehmensintern verarbeitet worden.
Ein betroffener Österreicher erhob Klage gegen die Österreichische Post, da er einer derartigen Verarbeitung seiner personenbezogenen Daten überhaupt nicht zugestimmt hatte. Er verlangte gemäß Art. 82 DSGVO 1.000 EUR Schadensersatz dafür, dass er großes Ärgernis, einen Vertrauensverlust und ein Gefühl der Bloßstellung verspürt hatte, als man ihm die besondere Affinität zu einer bestimmten Partei zusprach.
EuGH: Schadensersatz erst, wenn ein Schaden vorliegt
Im Laufe des Verfahrens hat der Österreichische Oberste Gerichtshof die Frage, ob eine bloße Verletzung von DS-GVO-Vorschriften bereits einen Schadenersatzanspruch auslöse, zur Vorabentscheidung an den Europäischen Gerichtshof abgegeben. Die Richter erklärten zunächst, dass nicht jeder Verstoß gegen Regelungen der DS-GVO automatisch einen Schadensersatzanspruch eröffne. Voraussetzung für einen Schadensersatzanspruch sei vielmehr ein
- Verstoß gegen eine DS-GVO-Vorschrift,
- ein materieller oder immaterieller Schaden sowie
- ein Kausalzusammenhang zwischen Verstoß und Schaden.
Eine Erheblichkeitsschwelle für den entstandenen Schaden fordern die Richter jedoch nicht. Sie berufen sich darauf, dass innerhalb der DS-GVO keinerlei Anhaltspunkte für eine derartige Grenze zu finden sind und eine solche Voraussetzung dem bewusst weit gewählten Verständnis des Schadensbegriffs widersprechen würde. Außerdem könnte es zu divergierenden Auslegungen der Erheblichkeitsschwelle, von der dann die Möglichkeit des Schadensersatzes abhinge, bei den Gerichten der verschiedenen Mitgliedsstaaten kommen.
Schaden wegen DSGVO-Verstoß muss nicht erheblich sein
Im Urteil ist man sich in Luxemburg einig: Ein Verstoß gegen die Datenschutzgrundverordnung (DS-GVO) begründet noch keinen Schadensersatzanspruch, wenn kein immaterieller Schaden sowie ein Kausalzusammenhang zwischen Verstoß und Schaden vorliegt. Ein entstandener immaterieller Schaden müsse zumindest nachgewiesen werden, auf die Erheblichkeit dessen komme es dabei jedoch nicht an – wichtig sei nur, dass überhaupt ein Schaden entstanden ist.
Woran wird der Schadensersatz aus der DSGVO bemessen?
Die DS-GVO regelt die Bemessung des Schadensersatzes nicht. Laut den Richtern sei die Bemessung daher Sache der EU-Mitgliedstaaten. Im Rahmen der Ausgestaltung müsse jedoch stets der Äquivalenz- und der Effektivitätsgrundsatz beachtet werden. Speziell von den Richtern hervorgehoben wurde außerdem die Ausgleichsfunktion des in der DS-GVO geregelten Schadenersatzanspruchs, der einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden sicherstellen solle.