Klarheit bei Schadensersatzansprüchen aus der DSGVO dank EUGH Urteil

Das Urteil des EUGH zu Art. 82 DSGVO

Das Urteil des Europäischen Gerichtshofs vom 4. Mai 2023 im Vorabentscheidungsverfahren “Österreichische Post” (Rs. C-300/21) wurde mit großer Spannung erwartet und hat wichtige Erkenntnisse zur Klärung von Schadensersatzansprüchen gemäß Artikel 82 der Datenschutz-Grundverordnung (DSGVO) gebracht. Dieses Urteil hat bedeutende Auswirkungen auf Unternehmen und Einzelpersonen, die mit Datenschutzverstößen konfrontiert sind. In diesem Blogbeitrag werden wir die Hauptaspekte dieses Urteils beleuchten, ihre Bedeutung für die Datenschutzpraxis erläutern und dabei insbesondere die Relevanz der Erwägungsgründe 75, 85 und 146 der DSGVO für den vorliegenden Rechtsstreit hervorheben.

Hintergrund des Falls

Der Fall, der zu diesem EuGH-Urteil geführt hat, drehte sich um einen österreichischen Staatsbürger und die Österreichische Post AG. Das Unternehmen hatte Informationen über die politischen Vorlieben der österreichischen Bevölkerung ohne deren Einwilligung gesammelt und verwendet, um politische Zugehörigkeiten festzulegen. Der Kläger wurde irrtümlich einer politischen Gruppe zugeordnet und fühlte sich dadurch in seiner Ehre verletzt. Trotz dieses Vorfalls wurden die gesammelten Daten nicht an Dritte weitergegeben. Der Kläger verlangte eine Entschädigung in Höhe von 1.000 € und berief sich auf Artikel 82 der DSGVO.

Kein automatischer Schadensersatz: DSGVO-Verstoß und österreichisches Schadensrecht

Die erstinstanzlichen und zweitinstanzlichen Gerichte wiesen die Klage ab, da sie der Ansicht waren, dass trotz eines möglichen Verstoßes gegen die DSGVO kein tatsächlicher Schaden entstanden sei. Diese Gerichte argumentierten, dass nicht jeder Verstoß gegen die DSGVO automatisch einen Schadensersatzanspruch gemäßArtikel 82 der DSGVO auslöse. Das österreichische Schadensrecht, ähnlich wie das deutsche Recht, verlangt einen gewissen Schweregrad des Schadens für eine Entschädigung.

EuGH beantwortet Vorlagefragen des OGH

Die Revision des Falls beim Obersten Gerichtshof in Österreich (OGH)führte dazu, dass der OGH entschied, entscheidungsrelevante Fragen zur Auslegung der DSGVO dem EuGH vorzulegen. Infolgedessen stellte der EuGH in seinem Urteil wichtige Klarstellungen und Antworten auf die vom OGH gestellten Fragen bereit.

Darlegung des Schadens erforderlich

Der EuGH betonte, dass nicht jeder DSGVO-Verstoß automatisch einen Schadensersatzanspruch gemäß Artikel 82 der DSGVO auslöse. Vielmehr muss die betroffene Person einen konkreten materiellen oder immateriellen Schaden nachweisen können. Diese Anforderung an die Schadensdarlegung wurde bereits von einigen Gerichten unterstützt. Artikel 82 der DSGVO erwähnt ausdrücklich einen Schaden als Voraussetzung für einen Schadensersatzanspruch, und eine andere Auslegung wäre mit dem Wortlaut der Norm unvereinbar.

Bemessung des Schadensersatzes

In Bezug auf die Höhe des Schadensersatzes stellte der EuGH fest, dass die Bemessung gemäß den nationalen Vorschriften erfolgen sollte, sofern die unionsrechtlichen Grundsätze der Effektivität und Äquivalenz berücksichtigt werden.

Keine Bagatellgrenze für DSGVO-Schadensersatz

Eine der kontroversen Fragen war, ob nationale Gerichte einen Schadensersatzanspruch gemäß der DSGVO von einer gewissen Schwere des Schadens abhängig machen dürfen. Der EuGH lehnte eine solche Erheblichkeitsschwelle ab und betonte die Notwendigkeit, den Schaden nachzuweisen. Das bedeutet, dass auch geringfügige Beeinträchtigungen einen Schadensersatzanspruch begründen können, sofern sie konkret dargelegt werden.

Erwägungsgründe 75, 85 und 146 der DSGVO

Für den vorliegenden Rechtsstreit sind insbesondere die Erwägungsgründe 75, 85 und 146 der DSGVO relevant. Diese Erwägungsgründe betonen die Bedeutung des Schutzes personenbezogener Daten und die Möglichkeit, Schadensersatzansprüche geltend zu machen, wenn Datenschutzverstöße vorliegen. Sie verdeutlichen die Absicht des Gesetzgebers, Datenschutzverletzungen zu sanktionieren und den Betroffenen wirksame Rechtsbehelfe zur Verfügung zu stellen. Das EuGH-Urteil berücksichtigt diese Erwägungsgründe, indem es die Notwendigkeit eines tatsächlichen Schadens für einen Schadensersatzanspruch bestätigt.

Mehr Rechtssicherheit, aber noch offene Fragen

Dieses EuGH-Urteil schafft zweifellos mehr Klarheit bei der Klärung von Schadensersatzansprüchen gemäß Artikel 82 der DSGVO. Unternehmen und Einzelpersonen sollten jedoch beachten, dass es immer noch Fragen gibt, die nicht abschließend geklärt sind. Die genaue Definition eines “Schadens” wurde nicht weiter erläutert, und die Gerichte der EU-Mitgliedstaaten werden weiterhin darüber entscheiden müssen, ob bestimmte Beeinträchtigungen einen Schadensersatzanspruch begründen.

Erfolgreiche Abwehr von Schadensersatz
ansprüchen

Unternehmen sollten weiterhin sorgfältig prüfen, ob Forderungen nach Schadensersatz gerechtfertigt sind. Es gibt nach wie vor Möglichkeiten, unbegründete Ansprüche erfolgreich abzuwehren. Viele Kläger können den behaupteten Verstoß und den geltend gemachten Schaden nicht ausreichend darlegen und beweisen. Unternehmen haben auch Argumentationsspielraum in Bezug auf die Ursächlichkeit des Datenschutzverstoßes für den behaupteten Schaden.

 Ausblick auf DSGVO-Schadensersatz: Weitere Fragen und laufende Verfahren

Das EuGH-Urteil markiert einen wichtigen Meilenstein in Bezug auf Schadensersatzansprüche gemäß der DSGVO, aber es ist nicht das letzte Wort in dieser Angelegenheit. Es stellt vielmehr den Anfang einer fortschreitenden Klärung weiterer rechtlicher Fragen dar. Zum Beispiel sind derzeit weitere Verfahren anhängig, darunter Vorabentscheidungsverfahren des bulgarischen Obersten Verwaltungsgerichts (Rs. C-340/21) und des Landgerichts Saarbrücken (C-741/21).

Das bulgarische Oberste Verwaltungsgericht möchte klären lassen, ob Sorgen und Ängste vor möglichem Datenmissbrauch einen immateriellen Schaden darstellen und somit zu einem Schadensersatzanspruch berechtigen. Diese Frage könnte zu einer weiteren Erweiterung der Definition von Schaden führen und die Möglichkeiten für Betroffene erhöhen, Schadensersatz geltend zu machen.

Das Thema DSGVO-Schadensersatz bleibt sowohl für Unternehmen als auch für Einzelpersonen von hoher Relevanz und Aktualität. Unternehmen sollten weiterhin sicherstellen, dass sie die Datenschutzbestimmungen gemäß der DSGVO einhalten, um potenzielle Verstöße und damit verbundene Schadensersatzansprüche zu vermeiden. Betroffene sollten sich bewusst sein, dass sie nun einen konkreten Schaden nachweisen müssen, um Schadensersatz zu erhalten, und sollten bei Datenschutzverletzungen ihrer Rechte aktiv verteidigen.

Fazit

Insgesamt bietet das EuGH-Urteil eine dringend benötigte Klarstellung in Bezug auf DSGVO-Schadensersatzansprüche, auch wenn einige Fragen noch offen sind. Es wird erwartet, dass weitere Gerichtsverfahren und Entscheidungen dazu beitragen werden, die Rechtslage in diesem Bereich weiter zu klären und die Anwendung der DSGVO in der Praxis zu präzisieren.

Sie haben noch Fragen?

Kostenlose Erstberatung
Nutzen Sie unsere kostenlose Erstberatung, um weitere Informationen zu erhalten, Fragen zu klären und gemeinsam mit unseren Experten Ihren individuellen Bedarf zu ermitteln. Wir rufen Sie innerhalb der nächsten 48 Std zurück. (Montags – Freitags 9:00 – 19:00 Uhr)
Bitte aktiviere JavaScript in deinem Browser, um dieses Formular fertigzustellen.
Ansprechpartner
Zu welchem Thema möchten Sie beraten werden?
Datenschutzhinweis
Die vorstehend erhobenen personenbezogenen Daten werden nur für diese Korrespondenz mit Ihnen und zu dem Zweck verarbeitet, zu dem Sie uns die Daten jeweils im Rahmen dieser Kommunikation überlassen haben – zum Beispiel zur Bearbeitung Ihrer Anfragen einschließlich etwaiger Anschlussfragen oder um auf Ihren Wunsch mit Ihnen Kontakt aufzunehmen. Grundlage dieser Verarbeitung Ihrer personenbezogenen Daten ist Art. 6 Abs. 1 S. 1 lit. b) DSGVO, soweit Sie diese personenbezogenen Daten zwecks Anbahnung eines Vertragsverhältnisses mit uns eingeben oder ein Vertragsverhältnis mit uns bereits besteht. Nur in diesem Fall ist die Eingabe von personenbezogenen Daten erforderlich im Sinne von Art. 13 Abs. 2 e) DSGVO. Andernfalls erfolgt diese Speicherung und Verwendung aufgrund von Art. 6 Abs. 1 S. 1 lit. f) DSGVO, wobei unser berechtigtes Interesse die sorgfältige Bearbeitung Ihres Anliegens ist. Wir löschen Ihre diesbezüglichen Daten, wenn der Zweck, zu dem Sie uns Ihre Daten mitgeteilt haben, erfüllt oder erledigt ist und wir nicht aus gesetzlichen Gründen zur weiteren Speicherung berechtigt oder verpflichtet sind. Bitte beachten Sie auch unsere Datenschutzbestimmungen.