Immaterieller Schadenersatz bei Verstößen gegen die DSGVO? Verstoß allein genügt nicht. Schaden erforderlich. Aber: Keine „Erheblichkeitsschwelle“.

von | Mai 5, 2023 | Datenschutzrecht, EU-Rechtsprechung, Persönlichkeitsrechte | 0 Kommentare

Urteil des EuGH vom 4.5.2023 in der Rechtssache C‑300/21

 

Sachverhalt:

Die Österreichische Post sammelte ab dem Jahr 2017 Informationen über die politischen Affinitäten der österreichischen Bevölkerung. Mit Hilfe eines Algorithmus definierte sie anhand sozialer und demografischer Merkmale „Zielgruppenadressen“ (siehe zugehörigen Blog-Beitrag). Ein betroffener Bürger, der der Verarbeitung seiner personenbezogenen Daten nicht zugestimmt hatte, behauptet, er habe dadurch, dass ihm eine besondere Affinität zu der fraglichen Partei zugeschrieben worden sei, großes Ärgernis und einen Vertrauensverlust sowie ein Gefühl der Bloßstellung verspürt. Als Ersatz des ihm angeblich entstandenen immateriellen Schadens begehrt er vor den österreichischen Gerichten die Zahlung von EUR 1.000. Wie berichtet, legte der OGH diesen Fall dem EuGH zur Vorabentscheidung vor.

 

Entscheidung:

In seinem Urteil hielt der EuGH fest, dass der in der DSGVO vorgesehene Schadenersatzanspruch an drei kumulative Voraussetzungen geknüpft ist:

  1. Einen Verstoß gegen die DSGVO,
  2. einen materiellen oder immateriellen Schaden, der aus diesem Verstoß resultiert, und
  3. einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß.

Demnach eröffnet nicht jeder Verstoß gegen die DSGVO für sich genommen den Schadenersatzanspruch. Den Erwägungsgründe zur DSGVO zufolge, muss ein Verstoß gegen die DSGVO nicht zwangsläufig zu einem Schaden führen und es muss ein Kausalzusammenhang zwischen dem fraglichen Verstoß und dem entstandenen Schaden bestehen, um einen Schadenersatzanspruch zu begründen. Somit unterscheidet sich die Schadenersatzklage von anderen in der DSGVO vorgesehenen Rechtsbehelfen; insbesondere der Verhängung von Geldbußen, für die das Vorliegen eines individuellen Schadens nicht nachgewiesen werden muss.

Der Schadenersatzanspruch ist jedoch nicht auf immaterielle Schäden beschränkt, die eine gewisse Erheblichkeit erreichen. Die DSGVO sieht ein solches Erfordernis nicht vor.

Betreffend die Bemessung des Schadenersatzes hielt der EuGH fest, dass die DSGVO keine diesbezüglichen Bestimmungen enthält. Daher sind die Ausgestaltung des Klageverfahrens und der Festlegung von Kriterien für die Ermittlung des Umfangs des Schadenersatzes Aufgabe des Rechts des einzelnen Mitgliedstaats, wobei der Äquivalenz- und der Effektivitätsgrundsatz zu beachten ist. In diesem Zusammenhang betonte der EuGH die Ausgleichsfunktion des in der DSGVO vorgesehenen Schadenersatzanspruchs und wies darauf hin, dass dieses Instrument einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden sicherstellen soll.

 

Link zum Entscheidungstext

Link zur Pressemitteilung

 

Weitere Blog-Beiträge zum Thema Datenschutzrecht:

EuGH: Recht auf „Kopie“ von verarbeiteten personenbezogenen Daten = Ausfolgung originalgetreuer und verständlicher Reproduktion aller dieser Daten.

Betroffen von Datenpanne? Art 15 DSGVO gewährt Auskunftsanspruch über tatsächliche Betroffenheit von Datenübermittlung.

EuGH: Verschärfte Auskunftspflicht bei Weitergabe personenbezogener Daten. Identität der Empfänger mitzuteilen.

EuGH zu privaten Daten in Telefonverzeichnissen: Verantwortliche müssen auch andere Anbieter von Löschungsbegehren informieren

Datenschutz vs. Bonitätsdatenbank: OGH zum Informationsinteresse künftiger Gläubiger

Zahlungserfahrungsdaten in Bonitätsdatenbanken: OGH zu Fristen/Kriterien für Löschung.

DSGVO-Verbandsklage des VKI gegen Autovermietung erfolgreich

Recht auf Löschung aus Suchmaschinen („Recht auf Vergessenwerden“): Google muss nachweislich unrichtige Informationen auch ohne Gerichtsurteil löschen.

Stromanbieter will „smarte Zähler“ verwenden. Droht eine unzulässige Verarbeitung personenbezogener Daten?