In einem neuen Urteil des EuGH wurde festgestellt, dass lediglich der bloße Verstoß gegen die DSGVO keinen Schadenersatzanspruch an sich begründet. Neben dem Verstoß müsse zudem der Schaden nachweisbar sein, ein immaterieller Schaden vorliegen und ein kausaler Zusammenhang zwischen dem Verstoß und dem Schaden. Das stellte der EuGH nun umfassend fest (Urt. v. 4.5.2023, Az.: C-300/21). Wir fassen zusammen.
Schadensersatz auch für immateriellen Schaden
Neben dem Schadensersatzanspruch für den materiellen Schaden können bei einem etwaigen Datenschutzverstoß auch die immateriellen Schäden ersetzt werden. Voraussetzung für den Ersatzanspruch eines immateriellen Schaden ist dabei laut dem EuGH die Überschreitung des rein “subjektiven Unmutsgefühl”. Es bedarf somit einer höheren Beeinträchtigung als die bloße Verletzung des subjektiven Unmutsgefühles. Dazu kommt, dass in solchen Konstellationen zudem ein Schaden vorliegen muss, der nachweisbar ist. Eine Erheblichkeit, wie später noch erörtert, muss der Schaden jedoch nicht aufweisen.
Hintergrund des Urteils: Österreicher verlangt Schadensersatz wegen illegaler Datenverarbeitung der österreichischen Post
Der Hintergrund des Ausgangsverfahrens, welches sich in Österreich abspielte, beläuft sich auf die Klage eines Mannes, der einen immateriellen Schadensersatzanspruch gegen die österreichische Post begehrte. Grund dafür war, dass die Post in Österreich mittels eines Algorithmus Informationen über die politischen Interessen der Bürger sammelte, um diese Daten für politische Zwecke und der damit verbundenen Werbung für die politischen Wahlen zu verwenden. Zwar wurden die erhobenen Daten nicht an Dritte weitergegeben, der Kläger hatte der Verarbeitung seiner personenbezogenen Daten aber nicht zugestimmt. Dieser führte in dem zugrunde liegenden Ausgangsverfahren an, dass ihm aufgrund der ihm aufgeführten Präferenz einer politischen Partei, große Wut und ein Verlust des Vertrauens sowie ein Gefühl der Bloßstellung widerfahren sei. Aufgrund dessen verlangte der Betroffene einen Schadensersatz des immateriellen Schaden gem. Art. 82 DSGVO in Höhe von 1.000 Euro. Zunächst wiesen jedoch die zuständigen Gerichte erster und zweiter Instanz seine Klage ab. Der Oberste Gerichtshof rief anschließend den EuGH an und legte diesem die Sache zur Vorabentscheidung vor.
Entscheidung des EuGH: bloßer DS-GVO-Verstoß begründet nicht direkt Schadensersatzanspruch
Daraufhin entschied der EuGH, nach dem ihm die Frage zur Vorabentscheidung vorgelegt wurde. Entscheidend ist dabei, dass der bloße Verstoß gegen die DSGVO an sich per se keinen Schadensersatzanspruch begründet. Voraussetzungen, die einen Schadensersatzanspruch begründen, sind zum einen der Verstoß gegen die DSGVO, das Vorliegen eines materiellen oder immateriellen Schadens und einen Kausalzusammenhang zwischen Schaden und Verstoß. Somit unterscheidet sich die Klage des Schadensersatzes von anderen Rechtsbehelfen in der DSGVO, da für etwaige Schadensersatzansprüche vor allem das Vorliegen eines individuellen Schadens nachgewiesen werden müsse. Des Weiteren ist noch zu beachten, dass der Schadensersatzanspruch, der auf immaterielle Schäden gerichtet ist, keinen Schaden von Erheblichkeit beinhalten muss. Die Erheblichkeit der immateriellen Beeinträchtigung, wie man sie wohl aus dem alten deutschen Schuldrecht (vor der Schuldrechtsreform 2002) kennt, sieht die DSGVO nicht vor und ist auf unionsrechtlicher Ebene so auch nicht vorgesehen.
Zuständigkeit der Mitgliedstaaten für Bemessung des Schadensersatzes
Die Bemessung des Schadensersatzes fällt in die Zuständigkeit der jeweiligen Mitgliedstaaten, da eine etwaige Regelung die DSGVO nicht enthält. Der Äquivalenz- und der Effektivitätsgrundsatz ist dahingehend jedoch zu wahren. Von den Mitgliedstaaten ist in der Hinsicht jedoch auch die Ausgleichsfunktion des in der DSGVO vorgesehenen Schadenersatzanspruchs zu beachten, welche einen vollständigen und angemessenen Schadenersatz für die Beeinträchtigung in Form eines Schaden gewährleisten soll.
Bildquelle: Bild 3958460 von pixabay.com