Der EuGH hat in der Rechtssache „Österreichische Post“ entschieden, dass die reine Verletzung der DSGVO an sich noch kein Recht auf Kompensation eines immateriellen Schadens gibt. Außerdem stellt der EuGH fest, dass das Recht auf Schadensersatz auch für Schäden gilt, die keine bestimmte Schwelle der Schwere erreichen (EuGH, Urteil v. 04.05.2023., Az. C-300/21).
Der Fall
Die Österreichische Post sammelte von 2017 an Informationen über die politische Ausrichtung der österreichischen Bevölkerung. So konnte die Affinität einzelner Bürger zu bestimmten politischen Parteien festgestellt werden und eine Einordnung in „Target Groups“ war möglich. Die so verarbeiteten Daten wurden jedoch nicht an Dritte weitergegeben.
Der Kläger gab an, durch die Erhebung und Verarbeitung seiner Daten ohne Einwilligung stark empört worden zu sein. Darüber hinaus habe er an Selbstbewusstsein eingebüßt und sich durch den Fakt, dass zwischen ihm und einer politischen Partei eine Verbindung dargestellt wurde, öffentlich entblößt gefühlt. Zum Ausgleich dieses immateriellen Schadens verlange er nun Schadensersatz aufgrund der DSGVO.
Die Vorlagefragen
Der Oberste Gerichtshof Österreichs war sich unsicher bezüglich der Reichweite des Schadensersatzanspruchs der DSGVO. Er leitete mithin ein Vorabentscheidungsverfahren gemäß Art. 267 AEUV mit den folgenden Fragen ein:
- Führt die bloße Verletzung der DSGVO zu einem Schadensersatzanspruch?
- Ist ein bestimmter Grad der Verletzung erforderlich, um einen Schadensersatzanspruch zu begründen?
- Was sind die europarechtlichen Anforderungen für die Feststellung der Schadenshöhe?
Die Antwort des EuGH
Die gute Nachricht für alle Verantwortlichen: Der bloße Verstoß gegen die DSGVO reicht nicht aus, um einen Anspruch auf Schadensersatz für einen (immateriellen) Schaden zu begründen. „Immaterieller Schaden“ meint unfreiwillig erlittene Einbußen an nicht geldwerten Rechtsgütern (hier das Recht auf Datenschutz).
Der EuGH statuierte, dass der Schadensersatzanspruch grundsätzlich von drei Voraussetzungen abhängt, die kumulativ vorliegen müssen:
- Erstens müsse es eine Verletzung der DSGVO geben,
- zweitens müsse ein materieller oder immaterieller Schaden entstanden sein und
- drittens müsse zwischen Verletzung und Schaden Kausalität bestehen, also die Verletzung der DSGVO muss für den Schaden ursächlich geworden sein.
Infolgedessen gebe nicht jede Verletzung der DSGVO ein originäres Recht auf Schadensersatz, ohne dass weitere Umstände hinzukommen. Jede andere Auslegung liefe dem Wortlaut entgegen. Dieser verlange nämlich einen „wegen eines Verstoßes“, also kausal, eingetretenen „materiellen oder immateriellen Schaden“ als Voraussetzungen.
Keine Voraussetzung eines Schadensersatzanspruches sei hingegen eine bestimmte Intensität des immateriellen Schadens. Der Begriff des „Schadens“ sei europäisch viel mehr generell weit auszulegen. Zudem würde das Einführen einer Erheblichkeitsschwelle zu Rechtsunsicherheit und divergierenden Linien in der Rechtsprechung führen.
Zu guter Letzt stellt das Gericht fest, dass die DSGVO keine Regelungen hinsichtlich der Art und des Umfangs des Schadensersatzes enthalte. Somit stehe es den Mitgliedsstaaten zu, die Verletzung der Rechte aus der DSGVO mittels der nationalen Schadensersatzbestimmungen zu schützen, vorausgesetzt, diese seien verhältnismäßig.
In Deutschland würden sich also die Rechtsfolge eines Schadensersatzanspruches nach den Vorschriften des Bürgerlichen Gesetzbuchs (§§ 249 ff. BGB) bestimmen.
Auswirkungen
Es sind damit noch längst nicht alle offenen Fragen geklärt. Der Begriff des „immateriellen Schadens“ ist ein unionsrechtlich determinierter und somit in den nationalen Rechtsordnungen zunächst noch auszulegender Begriff. Juristen verstehen unter „immateriellem Schaden“ in der Regel jede unfreiwillig erlittene Einbuße an nicht geldwerten Rechtsgütern (hier das Recht auf Datenschutz).
Ob die „bloße Verärgerung“ oder ein Kontrollverlust über Daten schon einen „immateriellen Schaden“ im Sinne der DSGVO darstellen kann, ist also weiterhin unklar. Für die Rechtspraxis ist folglich davon auszugehen, dass betroffene Personen, die etwa Opfer von Datenlecks sind, „nur für den Fall“ ihre Entrüstung und die „seelischen Schmerzen“ aufgrund der Datenverarbeitung vor Gericht lautstark geltend machen werden. Da der EuGH die Gleichstellung von „Verstoß“ und „Schaden“ jedoch ablehnt, sind die Anforderungen an die Darlegung eines immateriellen Schadens nun gestiegen.
Wir danken unserem Wissenschaftlichen Mitarbeiter Björn Kleinert für die Erstellung des Beitrags.