EUGH Urteil: Nicht jeder DSGVO Verstoß löst automatisch Schadensersatzansprüche aus Art. 82 DSGVO

Das Urteil des EUGH vom 04. Mai 2023 zu Art. 82 DSGVO

Das Urteil des Europäischen Gerichtshofs vom 4. Mai 2023 im Vorabentscheidungsverfahren „Österreichische Post“ (Rs. C-300/21) wurde mit großer Spannung erwartet und hat wichtige Erkenntnisse zur Klärung von Schadensersatzansprüchen gemäß Artikel 82 der Datenschutz-Grundverordnung (DSGVO) gebracht. Dieses Urteil hat bedeutende Auswirkungen auf Unternehmen und Einzelpersonen, die mit Datenschutzverstößen konfrontiert sind.

Hintergrund des Falls

Der Fall, der zu diesem EuGH-Urteil geführt hat, drehte sich um einen österreichischen Staatsbürger und die Österreichische Post AG. Das Unternehmen hatte Informationen über die politischen Vorlieben der österreichischen Bevölkerung ohne deren Einwilligung gesammelt und verwendet, um politische Zugehörigkeiten festzulegen. Der Kläger wurde irrtümlich einer politischen Gruppe zugeordnet und fühlte sich dadurch in seiner Ehre verletzt. Trotz dieses Vorfalls wurden die gesammelten Daten nicht an Dritte weitergegeben. Der Kläger verlangte eine Entschädigung in Höhe von 1.000 € und berief sich auf Artikel 82 der DSGVO.

Kein automatischer Schadensersatz: DSGVO-Verstoß und österreichisches Schadensrecht

Die erstinstanzlichen und zweitinstanzlichen Gerichte wiesen die Klage ab, da sie der Ansicht waren, dass trotz eines möglichen Verstoßes gegen die DSGVO kein tatsächlicher Schaden entstanden sei. Diese Gerichte argumentierten, dass nicht jeder Verstoß gegen die DSGVO automatisch einen Schadensersatzanspruch gemäß Artikel 82 der DSGVO auslöse. Das österreichische Schadensrecht, ähnlich wie das deutsche Recht, verlangt einen gewissen Schweregrad des Schadens für eine Entschädigung.

EuGH beantwortet Vorlagefragen des OGH

Die Revision des Falls beim Obersten Gerichtshof in Österreich (OGH) führte dazu, dass der OGH entscheidungsrelevante Fragen zur Auslegung der DSGVO dem EuGH vorlegte. Infolgedessen stellte der EuGH in seinem Urteil wichtige Klarstellungen und Antworten auf die vom OGH gestellten Fragen bereit.

Darlegung des Schadens erforderlich

Der EuGH betonte, dass nicht jeder DSGVO-Verstoß automatisch einen Schadensersatzanspruch gemäß Artikel 82 der DSGVO auslöse. Vielmehr muss die betroffene Person einen konkreten materiellen oder immateriellen Schaden nachweisen können. Diese Anforderung an die Schadensdarlegung wurde bereits von einigen Gerichten unterstützt. Artikel 82 der DSGVO erwähnt ausdrücklich einen Schaden als Voraussetzung für einen Schadensersatzanspruch, und eine andere Auslegung wäre mit dem Wortlaut der Norm unvereinbar.

Bemessung des Schadensersatzes

In Bezug auf die Höhe des Schadensersatzes stellte der EuGH fest, dass die Bemessung gemäß den nationalen Vorschriften erfolgen sollte, sofern die unionsrechtlichen Grundsätze der Effektivität und Äquivalenz berücksichtigt werden.

Keine Bagatellgrenze für DSGVO-Schadensersatz

Eine der kontroversen Fragen war, ob nationale Gerichte einen Schadensersatzanspruch gemäß der DSGVO von einer gewissen Schwere des Schadens abhängig machen dürfen. Der EuGH lehnte eine solche Erheblichkeitsschwelle ab und betonte die Notwendigkeit, den Schaden nachzuweisen. Das bedeutet, dass auch geringfügige Beeinträchtigungen einen Schadensersatzanspruch begründen können, sofern sie konkret dargelegt werden.

Erwägungsgründe 75, 85 und 146 der DSGVO

Für den vorliegenden Rechtsstreit sind insbesondere die Erwägungsgründe 75, 85 und 146 der DSGVO relevant. Diese Erwägungsgründe betonen die Bedeutung des Schutzes personenbezogener Daten und die Möglichkeit, Schadensersatzansprüche geltend zu machen, wenn Datenschutzverstöße vorliegen. Sie verdeutlichen die Absicht des Gesetzgebers, Datenschutzverletzungen zu sanktionieren und den Betroffenen wirksame Rechtsbehelfe zur Verfügung zu stellen. Das EuGH-Urteil berücksichtigt diese Erwägungsgründe, indem es die Notwendigkeit eines tatsächlichen Schadens für einen Schadensersatzanspruch bestätigt.

Mehr Rechtssicherheit, aber noch offene Fragen

Dieses EuGH-Urteil schafft zweifellos mehr Klarheit bei der Klärung von Schadensersatzansprüchen gemäß Artikel 82 der DSGVO. Unternehmen und Einzelpersonen sollten jedoch beachten, dass es immer noch Fragen gibt, die nicht abschließend geklärt sind. Die genaue Definition eines „Schadens“ wurde nicht weiter erläutert, und die Gerichte der EU-Mitgliedstaaten werden weiterhin darüber entscheiden müssen, ob bestimmte Beeinträchtigungen einen Schadensersatzanspruch begründen.

Erfolgreiche Abwehr von Schadensersatzansprüchen

Unternehmen sollten weiterhin sorgfältig prüfen, ob Forderungen nach Schadensersatz gerechtfertigt sind. Es gibt nach wie vor Möglichkeiten, unbegründete Ansprüche erfolgreich abzuwehren. Viele Kläger können den behaupteten Verstoß und den geltend gemachten Schaden nicht ausreichend darlegen und beweisen. Unternehmen haben auch Argumentationsspielraum in Bezug auf die Ursächlichkeit des Datenschutzverstoßes für den behaupteten Schaden.

Ausblick auf DSGVO-Schadensersatz: Weitere Fragen und laufende Verfahren

Das EuGH-Urteil markiert einen wichtigen Meilenstein in Bezug auf Schadensersatzansprüche gemäß der DSGVO, aber es ist nicht das letzte Wort in dieser Angelegenheit. Es stellt vielmehr den Anfang einer fortschreitenden Klärung weiterer rechtlicher Fragen dar. Zum Beispiel sind derzeit weitere Verfahren anhängig, darunter Vorabentscheidungsverfahren des bulgarischen Obersten Verwaltungsgerichts (Rs. C-340/21) und des Landgerichts Saarbrücken (C-741/21).

Das bulgarische Oberste Verwaltungsgericht möchte klären lassen, ob Sorgen und Ängste vor möglichem Datenmissbrauch einen immateriellen Schaden darstellen und somit zu einem Schadensersatzanspruch berechtigen. Diese Frage könnte zu einer weiteren Erweiterung der Definition von Schaden führen und die Möglichkeiten für Betroffene erhöhen, Schadensersatz geltend zu machen.

Das Thema DSGVO-Schadensersatz bleibt sowohl für Unternehmen als auch für Einzelpersonen von hoher Relevanz und Aktualität. Unternehmen sollten weiterhin sicherstellen, dass sie die Datenschutzbestimmungen gemäß der DSGVO einhalten, um potenzielle Verstöße und damit verbundene Schadensersatzansprüche zu vermeiden. Betroffene sollten sich bewusst sein, dass sie nun einen konkreten Schaden nachweisen müssen, um Schadensersatz zu erhalten, und sollten bei Datenschutzverletzungen ihre Rechte aktiv verteidigen.

Fazit

Insgesamt bietet das EuGH-Urteil eine dringend benötigte Klarstellung in Bezug auf DSGVO-Schadensersatzansprüche, auch wenn einige Fragen noch offen sind. Es wird erwartet, dass weitere Gerichtsverfahren und Entscheidungen dazu beitragen werden, die Rechtslage in diesem Bereich weiter zu klären und die Anwendung der DSGVO in der Praxis zu präzisieren.

Weitere Beiträge zum Thema Schadensersatz aus Art. 82 DSGVO