Datenschutzrecht-Praxis

 


Neues zum Datenschutzrecht


10.5.2023

EuGH: Keine Erheblichkeitsschwelle für immateriellen Schadensersatz

Der EuGH hat mit Urteil vom 4.5.2023 (Rechtssache C-300/21) entschieden, dass der bloße Verstoß gegen die DSGVO nicht ausreicht, um einen Schadenersatzanspruch zu begründen. Weiter setzt ein Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO nicht voraus, dass ein immaterieller Schaden einen bestimmten Grad an Erheblichkeit erreicht hat. Schließlich können die nationalen Gerichte bei der Festsetzung der Höhe des Schadenersatzes die innerstaatlichen Vorschriften über den Umfang der finanziellen Entschädigung anwenden, müssen dabei aber die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachten.

Sachverhalt und Ausgangsverfahren

Gegenstand des Ausgangsverfahren ist eine Klage auf Ersatz immateriellen Schadens, der folgender Sachverhalt zugrunde liegt. Die Österreichische Post sammelte Informationen über die politischen Affinitäten der betroffenen und anderer Personen, ohne dass diese eingewilligt hatten. Mit Hilfe eines Algorithmus definierte die Österreichische Post anhand sozialer und demografischer Merkmale sog. Zielgruppenadressen und leitete aus den erhobenen Daten der betroffenen Person eine hohe Affinität zu einer bestimmten politischen Partei ab. Die Daten wurden nicht an Dritte übermittelt. Die betroffene Person behauptet, sie habe durch die Zuschreibung einer besonderen Affinität zu der fraglichen Partei ein großes Ärgernis und einen Vertrauensverlust sowie ein Gefühl der Bloßstellung verspürt. Es sei ihr ein immaterieller Schaden entstanden, für den sie vor Gericht als Ersatz die Zahlung von 1.000 Euro begehrt.

Der österreichische Oberste Gerichtshof (Az. 6 Ob 35/21x) war sich hinsichtlich des Schadensersatzanspruchs nach der DSGVO im Fall eines Verstoßes gegen die DSGVO-Regelungen nicht sicher und wollte vom EuGH im Wege eines Vorabentscheidungsersuchen wissen,

  • ob der bloße Verstoß gegen die DSGVO ausreicht, um einen Schadenersatzanspruch zu begründen,
  • ob für den Ersatz der entstandene immaterielle Schaden einen bestimmten Grad an Erheblichkeit erreichen muss, und
  • welche unionsrechtlichen Vorgaben für die Festsetzung der Höhe des Schadenersatzes bestehen.

Entscheidung

Der EuGH hat in seinem Urteil (Rechtssache C-300/21) festgestellt, dass ein Schadenersatzanspruch nach Art. 82 DSGVO drei Voraussetzungen hat:

  • ein Verstoß gegen die DSGVO,
  • ein materieller oder immaterieller Schaden, der aus diesem Verstoß resultiert, und
  • ein Kausalzusammenhang zwischen dem Schaden und dem Verstoß.

Daraus folgt, dass nicht jeder DSGVO-Verstoß für sich genommen einen Schadenersatzanspruch begründen kann. Das ergibt bereits aus dem Wortlaut, aber auch aus den Erwägungsgründen und der systematischen Auslegung. Es muss – anders als bei anderen Rechtsbehelfen wie insbesondere solche, die eine Verhängung von Geldbußen erlauben –, das Vorliegen eines individuellen – materiellen oder immateriellen – Schadens nachgewiesen werden.

Der EuGH sieht – anders als der Generalanwalt zuvor in seinen Schlussanträgen – den Schadenersatzanspruch nach Art. 82 DSGVO nicht auf immaterielle Schäden beschränkt, die eine gewisse Erheblichkeit erreichen. Der DSGVO liegt ein weites Begriffsverständnis in Bezug auf „Schaden“ zugrunde. Die in Art. 82 enthaltenen Begriffe, insbesondere „materieller oder immaterieller Schaden“ und „Schadenersatz“ sind für die Anwendung der DSGVO als autonome Begriffe des Unionsrechts anzusehen und in allen Mitgliedstaaten einheitlich auszulegen. Das Erfordernis einer Erheblichkeitsschwelle würde die Kohärenz der Schadensersatzregelung beeinträchtigen. Denn eine graduelle Abstufung hinsichtlich des Vorliegens eines Schadenersatzes könnte je nach Beurteilung durch die angerufenen Gerichte unterschiedlich hoch ausfallen.

Schließlich ist es Sache der nationalen Gerichte, die Höhe des Schadenersatzes bei einem Anspruch nach Art. 82 DSGVO festzusetzen, indem sie die innerstaatlichen Vorschriften über den Umfang der finanziellen Entschädigung anwenden. Dabei müssen aber die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden. Da die DSGVO keine Bestimmung enthält, die sich den Regeln für die Bemessung des Schadenersatzes gem. Art. 82 DSGVO widmet, sind die Ausgestaltung von Klageverfahren und insbesondere die Festlegung der Kriterien für die Ermittlung des Umfangs des in diesem Rahmen geschuldeten Schadenersatzes in Ermangelung einschlägiger unionsrechtlicher Vorschriften Aufgabe des Rechts der Mitgliedstaaten.

In Bezug auf den Effektivitätsgrundsatz ist es laut EuGH Sache des vorlegenden Gerichts, festzustellen, ob die im österreichischen Recht vorgesehenen Modalitäten für die gerichtliche Festsetzung des Schadenersatzes die Ausübung der durch das Unionsrecht und insbesondere durch die DSGVO verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren. Insoweit betont der EuGH unter Verweis auf den Erwägungsgrund 146 DSGVO, dass das Instrument nach Art. 82 DSGVO einen „vollständigen und wirksamen Schadenersatz für den erlittenen Schaden“ sicherstellen soll. In Anbetracht der Ausgleichsfunktion des in Art. 82 DSGVO vorgesehenen Schadenersatzanspruchs ist eine auf diese Bestimmung gestützte finanzielle Entschädigung als „vollständig und wirksam“ anzusehen, wenn sie es ermöglicht, den aufgrund des Verstoßes gegen die DSGVO konkret erlittenen Schaden in vollem Umfang auszugleichen, ohne dass ein solcher vollumfänglicher Ausgleich die Verhängung von Strafschadenersatz erfordert.

Fazit

Die EuGH-Entscheidung enthält zum einen die klaren Aussagen, dass

  • ein Schadensersatzanspruch nach Art. 82 DSGVO einen Verstoß gegen die DSGVO, das Vorliegen eines materiellen oder immateriellen Schadens und einen Kausalzusammenhang zwischen Verstoß und Schaden voraussetzt, und
  • es im Fall eines immateriellen Schadens keine Erheblichkeitsschwelle gibt.

Die Feststellung des EuGH, dass es für den Ersatz eines immateriellen Schadensersatzanspruchs keine Erheblichkeitsschwelle gibt, befreit also nicht von dem Erfordernis, dass von der betroffenen Person das Vorliegen eines – gerade auch immateriellen – Schadens nachgewiesen werden muss.

Zum anderen liefert der EuGH keine konkreten Kriterien für die Feststellung eines immateriellen Schadens und für die Bemessung des Ersatzes eines solchen Schadens. Das sei Sache der nationalen Gerichte in Anwendung des entsprechenden nationalen Rechts.

Es bleibt also bei den nationalen Gerichten, herauszuarbeiten, wann das subjektive Unmutsgefühl – Stichwort „Kontrollverlust über die eigenen Daten“ – im Einzelfall als immaterieller Schaden angesehen werden kann. Dabei werden sie der Ausgleichs- und Genugtuungsfunktion einerseits und der generalpräventiven Funktion des immateriellen Schadensersatzes andererseits hinreichend Rechnung tragen müssen. Daher bleibt abzuwarten, in welche Richtung sich die deutsche Rechtsprechung weiter entwickelt.

Sollten Sie Fragen zu Schadensersatzforderungen wegen Datenschutzverletzungen oder zu sonstigen datenschutzrechtlichen Themen haben oder insoweit Unterstützung benötigen, können Sie mich gerne kontaktieren.


Zurück zur Übersicht