Der bloße Verstoß gegen die DSGVO begründet keinen Schadensersatzanspruch
EuGH v. 4.5.2023 - C-300/21
Der Sachverhalt:
Ab dem Jahr 2017 sammelte die Österreichische Post Informationen über die politischen Affinitäten der österreichischen Bevölkerung. Mit Hilfe eines Algorithmus definierte sie anhand sozialer und demografischer Merkmale "Zielgruppenadressen". Aus den so gesammelten Daten leitete die Österreichische Post ab, dass ein bestimmter Bürger eine hohe Affinität zu einer bestimmten österreichischen politischen Partei habe. Die verarbeiteten Daten wurden jedoch nicht an Dritte übermittelt.
Der betroffene Bürger, der der Verarbeitung seiner personenbezogenen Daten nicht zugestimmt hatte, behauptet, er habe dadurch, dass ihm eine besondere Affinität zu der fraglichen Partei zugeschrieben worden sei, großes Ärgernis und einen Vertrauensverlust sowie ein Gefühl der Bloßstellung verspürt. Als Ersatz des ihm angeblich entstandenen immateriellen Schadens begehrt er vor den österreichischen Gerichten die Zahlung von 1.000 €.
Der österreichische Oberste Gerichtshof äußerte Zweifel in Bezug auf den Schadensersatzanspruch, den die Datenschutz-Grundverordnung (DSGVO) für den Fall vorsieht, dass wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist. Dieses Gericht möchte vom Gerichtshof wissen, ob der bloße Verstoß gegen die DSGVO ausreicht, um einen Schadensersatzanspruch zu begründen, und ob für den Ersatz der entstandene immaterielle Schaden einen bestimmten Grad an Erheblichkeit erreichen muss. Des Weiteren möchte es wissen, welche unionsrechtlichen Vorgaben für die Festsetzung der Höhe des Schadenersatzes bestehen.
In seinem Urteil stellt der EuGH als Erstes fest, dass der in der DSGVO vorgesehene Schadensersatzanspruch eindeutig an drei kumulative Voraussetzungen geknüpft ist: einen Verstoß gegen die DSGVO, einen materiellen oder immateriellen Schaden, der aus diesem Verstoß resultiert, und einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß.
Die Gründe:
Nicht jeder Verstoß gegen die DSGVO eröffnet für sich genommen den Schadensersatzanspruch. Eine andere Auslegung liefe dem klaren Wortlaut der DSGVO zuwider. Zudem führt nach dem Wortlaut der Erwägungsgründe der DSGVO, die speziell den Schadensersatzanspruch betreffen, ein Verstoß gegen die DSGVO nicht zwangsläufig zu einem Schaden und muss ein Kausalzusammenhang zwischen dem fraglichen Verstoß und dem entstandenen Schaden bestehen, um einen Schadensersatzanspruch zu begründen. Somit unterscheidet sich die Schadensersatzklage von anderen in der DSGVO vorgesehenen Rechtsbehelfen - insbesondere von jenen, die die Verhängung von Geldbußen erlauben -, für die das Vorliegen eines individuellen Schadens nicht nachgewiesen werden muss.
Zweitens wird festgestellt, dass der Schadensersatzanspruch nicht auf immaterielle Schäden beschränkt ist, die eine gewisse Erheblichkeit erreichen. In der DSGVO wird ein solches Erfordernis nicht erwähnt, und eine solche Beschränkung stünde zu dem vom Unionsgesetzgeber gewählten weiten Verständnis des Begriffs "Schaden" im Widerspruch. Würde der Ersatz eines immateriellen Schadens von einer Erheblichkeitsschwelle abhängig gemacht, könnte dies zudem die Kohärenz der mit der DSGVO eingeführten Regelung beeinträchtigen. Die graduelle Abstufung, von der die Möglichkeit, Schadensersatz zu erhalten, abhinge, könnte nämlich je nach Beurteilung durch die angerufenen Gerichte unterschiedlich hoch ausfallen.
Drittens wird zu den Regeln für die Bemessung des Schadensersatzes festgestellt, dass die DSGVO keine Bestimmung enthält, die sich diesen Regeln widmet. Daher sind die Ausgestaltung von Klageverfahren, die den Schutz der dem Einzelnen insoweit aus der DSGVO erwachsenden Rechte gewährleisten sollen, und insbesondere die Festlegung der Kriterien für die Ermittlung des Umfangs des in diesem Rahmen geschuldeten Schadensersatzes Aufgabe des Rechts des einzelnen Mitgliedstaats, wobei der Äquivalenz- und der Effektivitätsgrundsatz zu beachten sind. In diesem Zusammenhang ist die Ausgleichsfunktion des in der DSGVO vorgesehenen Schadensersatzanspruchs bedeutsam. Dieses Instrument soll einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden sicherstellen.
Mehr zum Thema:
Für die Praxis unbrauchbar - EuGH zum "immateriellen Schaden"
Niko Härting im CR-online.de-Blog
Unterraschung: Der EuGH, die DSGVO und die Klageindustrie
Christian Franz im CR-online.de-Blog
Beratermodul Datenschutzrecht:
Die perfekte Online-Ausstattung für das Datenschutzrecht (DSGVO/BDSG). Jetzt mit Top-Inhalten zum Datenschutzrecht aus dem C.F. Müller Verlag. Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! 4 Wochen gratis nutzen!
EuGH PM Nr. 72 vom 4.5.2023
Ab dem Jahr 2017 sammelte die Österreichische Post Informationen über die politischen Affinitäten der österreichischen Bevölkerung. Mit Hilfe eines Algorithmus definierte sie anhand sozialer und demografischer Merkmale "Zielgruppenadressen". Aus den so gesammelten Daten leitete die Österreichische Post ab, dass ein bestimmter Bürger eine hohe Affinität zu einer bestimmten österreichischen politischen Partei habe. Die verarbeiteten Daten wurden jedoch nicht an Dritte übermittelt.
Der betroffene Bürger, der der Verarbeitung seiner personenbezogenen Daten nicht zugestimmt hatte, behauptet, er habe dadurch, dass ihm eine besondere Affinität zu der fraglichen Partei zugeschrieben worden sei, großes Ärgernis und einen Vertrauensverlust sowie ein Gefühl der Bloßstellung verspürt. Als Ersatz des ihm angeblich entstandenen immateriellen Schadens begehrt er vor den österreichischen Gerichten die Zahlung von 1.000 €.
Der österreichische Oberste Gerichtshof äußerte Zweifel in Bezug auf den Schadensersatzanspruch, den die Datenschutz-Grundverordnung (DSGVO) für den Fall vorsieht, dass wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist. Dieses Gericht möchte vom Gerichtshof wissen, ob der bloße Verstoß gegen die DSGVO ausreicht, um einen Schadensersatzanspruch zu begründen, und ob für den Ersatz der entstandene immaterielle Schaden einen bestimmten Grad an Erheblichkeit erreichen muss. Des Weiteren möchte es wissen, welche unionsrechtlichen Vorgaben für die Festsetzung der Höhe des Schadenersatzes bestehen.
In seinem Urteil stellt der EuGH als Erstes fest, dass der in der DSGVO vorgesehene Schadensersatzanspruch eindeutig an drei kumulative Voraussetzungen geknüpft ist: einen Verstoß gegen die DSGVO, einen materiellen oder immateriellen Schaden, der aus diesem Verstoß resultiert, und einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß.
Die Gründe:
Nicht jeder Verstoß gegen die DSGVO eröffnet für sich genommen den Schadensersatzanspruch. Eine andere Auslegung liefe dem klaren Wortlaut der DSGVO zuwider. Zudem führt nach dem Wortlaut der Erwägungsgründe der DSGVO, die speziell den Schadensersatzanspruch betreffen, ein Verstoß gegen die DSGVO nicht zwangsläufig zu einem Schaden und muss ein Kausalzusammenhang zwischen dem fraglichen Verstoß und dem entstandenen Schaden bestehen, um einen Schadensersatzanspruch zu begründen. Somit unterscheidet sich die Schadensersatzklage von anderen in der DSGVO vorgesehenen Rechtsbehelfen - insbesondere von jenen, die die Verhängung von Geldbußen erlauben -, für die das Vorliegen eines individuellen Schadens nicht nachgewiesen werden muss.
Zweitens wird festgestellt, dass der Schadensersatzanspruch nicht auf immaterielle Schäden beschränkt ist, die eine gewisse Erheblichkeit erreichen. In der DSGVO wird ein solches Erfordernis nicht erwähnt, und eine solche Beschränkung stünde zu dem vom Unionsgesetzgeber gewählten weiten Verständnis des Begriffs "Schaden" im Widerspruch. Würde der Ersatz eines immateriellen Schadens von einer Erheblichkeitsschwelle abhängig gemacht, könnte dies zudem die Kohärenz der mit der DSGVO eingeführten Regelung beeinträchtigen. Die graduelle Abstufung, von der die Möglichkeit, Schadensersatz zu erhalten, abhinge, könnte nämlich je nach Beurteilung durch die angerufenen Gerichte unterschiedlich hoch ausfallen.
Drittens wird zu den Regeln für die Bemessung des Schadensersatzes festgestellt, dass die DSGVO keine Bestimmung enthält, die sich diesen Regeln widmet. Daher sind die Ausgestaltung von Klageverfahren, die den Schutz der dem Einzelnen insoweit aus der DSGVO erwachsenden Rechte gewährleisten sollen, und insbesondere die Festlegung der Kriterien für die Ermittlung des Umfangs des in diesem Rahmen geschuldeten Schadensersatzes Aufgabe des Rechts des einzelnen Mitgliedstaats, wobei der Äquivalenz- und der Effektivitätsgrundsatz zu beachten sind. In diesem Zusammenhang ist die Ausgleichsfunktion des in der DSGVO vorgesehenen Schadensersatzanspruchs bedeutsam. Dieses Instrument soll einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden sicherstellen.
Für die Praxis unbrauchbar - EuGH zum "immateriellen Schaden"
Niko Härting im CR-online.de-Blog
Unterraschung: Der EuGH, die DSGVO und die Klageindustrie
Christian Franz im CR-online.de-Blog
Beratermodul Datenschutzrecht:
Die perfekte Online-Ausstattung für das Datenschutzrecht (DSGVO/BDSG). Jetzt mit Top-Inhalten zum Datenschutzrecht aus dem C.F. Müller Verlag. Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! 4 Wochen gratis nutzen!