Die bloße Verletzung der DSGVO begründet keinen
Schadenersatzanspruch, wie der EUGH (C-300/21) nun klarstellen konnte! Der Schadenersatzanspruch ist aber nicht davon abhängig, dass der entstandene immaterielle Schaden eine gewisse Erheblichkeit erreicht. Die Entscheidung ist ein wichtiger Schritt, leider aber nur der erste, vieles bleibt ungeklärt und offen.
Sachverhalt
Die Österreichische Post AG sammelte ab 2017 Informationen über die politische Affinität der österreichischen Bevölkerung. Mit Hilfe eines Algorithmus definierte sie anhand sozialer und demografischer Merkmale Merkmalen „Zielgruppenadressen“.
Aus den so gesammelten Daten leitete die Österreichische Post ab, dass ein bestimmter Bürger eine hohe Affinität zu einer bestimmten österreichischen politischen Partei hat. Die verarbeiteten Daten wurden jedoch nicht an Dritte weitergegeben. Der betroffene Bürger, der in die Verarbeitung seiner personenbezogenen Daten nicht eingewilligt hatte, machte geltend, dass die Tatsache, dass ihm eine besondere Affinität zu der betreffenden politischen Partei zugeschrieben worden sei, zu einer erheblichen Verärgerung, einem Vertrauensverlust und einem Gefühl der Bloßstellung geführt habe. Als Ersatz des ihm angeblich entstandenen immateriellen Schadens verlangte er vor den österreichischen Gerichten die Zahlung von 1 000 Euro.
Vorabentscheidungsersuchen
Der österreichische Oberste Gerichtshof äußerte Zweifel an dem Schadenersatzanspruch, den die Datenschutz-Grundverordnung (DSGVO) für den Fall vorsieht, dass aufgrund eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist.
Dieses Gericht möchte vom Gerichtshof wissen, ob der bloße Verstoß gegen die DSGVO ausreicht, um einen Schadensersatzanspruch zu begründen, und ob für den Ersatz des immateriellen Schadens der erlittene immaterielle Schaden eine gewisse Erheblichkeit erreichen muss. Außerdem, welche Anforderungen das Unionsrecht an die Festsetzung der Höhe des Schadensersatzes stellt.
Entscheidung des EUGH
In seinem heutigen Urteil stellt der Gerichtshof zunächst fest, dass der in der DSGVO vorgesehene Schadensersatzanspruch eindeutig an drei kumulative Voraussetzungen geknüpft ist: einen Verstoß gegen die DSGVO, einen durch diesen Verstoß entstandenen materiellen oder immateriellen Schaden und einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß.
Daraus folgt, dass nicht jeder Verstoß gegen die DSGVO für sich genommen einen Schadensersatzanspruch begründet. Eine andere Auslegung würde nach Auffassung des EuGH dem klaren Wortlaut der DSGVO widersprechen.
Hinzu kommt, dass nach dem Wortlaut der Erwägungsgründe der DSGVO, die sich speziell mit dem Schadenersatzanspruch befassen, ein Verstoß gegen die DSGVO nicht zwangsläufig zu einem Schaden führt und für einen Schadenersatzanspruch ein Kausalzusammenhang zwischen dem jeweiligen Verstoß und dem eingetretenen Schaden bestehen muss. Damit unterscheidet sich die Schadensersatzklage von den anderen in der DSGVO vorgesehenen Rechtsbehelfen – insbesondere denjenigen, die die Verhängung von Geldbußen ermöglichen -, bei denen das Vorliegen eines individuellen Schadens nicht nachgewiesen werden muss.
Zweitens stellt der Gerichtshof fest, dass der Anspruch auf Schadensersatz nicht auf immaterielle Schäden beschränkt ist, die eine gewisse Schwere erreichen. Ein solches Erfordernis ist in der DSGVO nicht vorgesehen und eine solche Beschränkung stünde im Widerspruch zu dem vom Unionsgesetzgeber gewählten weiten Verständnis des Begriffs „Schaden“. Würde der Ersatz eines immateriellen Schadens von einer Erheblichkeitsschwelle abhängig gemacht, könnte dies zudem die Kohärenz des mit der DSGVO eingeführten Systems beeinträchtigen. Die graduelle Abstufung, von der die Möglichkeit der Erlangung einer Entschädigung abhängt, könnte nämlich je nach Beurteilung durch die angerufenen Gerichte unterschiedlich ausfallen.
Drittens und letztens stellt der Gerichtshof in Bezug auf die Regeln für die Berechnung des Schadensersatzes fest, dass die DSGVO keine Bestimmung enthält, die sich mit diesen Regeln befasst.
Daher ist die Ausgestaltung der Rechtsbehelfe, die den Schutz der dem Einzelnen aus der DSGVO erwachsenden Rechte insoweit gewährleisten sollen und insbesondere die Festlegung der Kriterien für die Bestimmung des Umfangs des in diesem Rahmen geschuldeten Schadensersatzes unter Beachtung des Äquivalenzprinzips und des Effektivitätsprinzips zu beachten. In diesem Zusammenhang hebt der Gerichtshof die Ausgleichsfunktion des in der DSGVO vorgesehenen Schadensersatzanspruchs hervor und weist darauf hin, dass dieses Instrument einen vollständigen und wirksamen Ersatz des erlittenen Schadens gewährleisten soll. (Quelle bis hierhin: Pressemitteilung des Gerichts)
Bedeutung der Entscheidung
Die Entscheidung hinterlässt gemischte Gefühle und steckt zumindest erstmal das grobe Spektrum ab: Alleine ein DSGVO-Verstoß für sich reicht auf der einen Seite nicht aus; auf der anderen Seite aber ist keine Erheblichkeit notwendig. DA der EUGH klarstellt, dass in der DSGVO der Begriff „Schaden“ nicht definiert ist.
Wenn der EUGH dann darauf verweist, dass eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie negative Folgen gehabt hat, gerade nicht vom Nachweis befreit ist, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 dieser Verordnung darstellen, macht dies deutlich, dass es hier nicht einfach ist. Zumal der EUGH dann seine Rechtsprechung zu den nationalen Gerichtsordnungen als Maßstab rekurriert:
Insoweit ist darauf hinzuweisen, dass es nach ständiger Rechtsprechung mangels einschlägiger Unionsregeln nach dem Grundsatz der Verfahrensautonomie Sache der innerstaatlichen Rechtsordnung jedes Mitgliedstaats ist, die verfahrensrechtlichen Modalitäten der Rechtsbehelfe, die zum Schutz der Rechte der Bürger bestimmt sind, festzulegen, vorausgesetzt allerdings, dass diese Modalitäten bei unter das Unionsrecht fallenden Sachverhalten nicht ungünstiger sind als diejenigen, die gleichartige Sachverhalte regeln, die dem innerstaatlichen Recht unterliegen (Äquivalenzgrundsatz), und dass sie die Ausübung der durch das Unionsrecht verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren (Effektivitätsgrundsatz) (…)
Im vorliegenden Fall ist festzustellen, dass die DSGVO keine Bestimmung enthält, die sich den Regeln für die Bemessung des Schadenersatzes widmet, auf den eine betroffene Person im Sinne von Art. 4 Nr. 1 dieser Verordnung nach deren Art. 82 Anspruch hat, wenn ihr durch einen Verstoß gegen diese Verordnung ein Schaden entstanden ist. Daher sind die Ausgestaltung von Klageverfahren, die den Schutz der dem Einzelnen aus Art. 82 DSGVO erwachsenden Rechte gewährleisten sollen, und insbesondere die Festlegung der Kriterien für die Ermittlung des Umfangs des in diesem Rahmen geschuldeten Schadenersatzes in Ermangelung einschlägiger unionsrechtlicher Vorschriften Aufgabe des Rechts des einzelnen Mitgliedstaats, wobei der Äquivalenz- und der Effektivitätsgrundsatz zu beachten sind (…)
Ich bin derzeit dazu geneigt, die Ausführungen so zu verstehen, dass dem Umfang nach das nationale Recht bestimmend ist, dem Grunde nach aber eine Zwitterstellung besteht: Mit der DSGVO ist festgesteckt, dass weder der DSGVO-Verstoß als solcher einen Schaden darstellt, noch dass es einer gewissen Erheblichkeit bedarf. Ob und wann nun aber ein immaterieller Schaden dem Grunde nach vorliegt, ist zwischen diesen beiden Polen dem nationalen Recht überlassen.
Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht, Arbeitsrecht und IT-Recht / Technologierecht.