EuGH: DS-GVO-Verstoß allein begründet keinen Schadensersatzanspruch
Der bloße Verstoß gegen die DS-GVO begründet keinen Schadenersatzanspruch. Dies hat der Europäische Gerichtshof klargestellt. Erforderlich sei neben dem Verstoß ein immaterieller Schaden und ein Kausalzusammenhang zwischen Verstoß und Schaden. Der Schadenersatzanspruch hänge aber nicht davon ab, dass der entstandene immaterielle Schaden eine gewisse Erheblichkeit erreicht, so der EuGH in einem Fall aus Österreich.
Österreicher begehrt Schadensersatz wegen Ermittlung politischer Affinität
Ab dem Jahr 2017 sammelte die Österreichische Post Informationen über die politischen Affinitäten der österreichischen Bevölkerung. Mit Hilfe eines Algorithmus definierte sie anhand sozialer und demografischer Merkmale „Zielgruppenadressen“. Aus den so gesammelten Daten leitete sie ab, dass jemand eine hohe Affinität zu einer bestimmten österreichischen politischen Partei hat. Die verarbeiteten Daten wurden jedoch nicht an Dritte übermittelt. Der Kläger des Ausgangsverfahrens, der der Verarbeitung seiner personenbezogenen Daten nicht zugestimmt hatte, behauptet, er habe dadurch, dass ihm eine besondere Affinität zu der fraglichen Partei zugeschrieben worden sei, großes Ärgernis und einen Vertrauensverlust sowie ein Gefühl der Bloßstellung verspürt. Er forderte als Ersatz des ihm angeblich entstandenen immateriellen Schadens die Zahlung von 1.000 Euro. Der mit der Sache als Revisionsgericht befasste österreichische Oberste Gerichtshof rief den EuGH zur Klärung von Fragen zum Schadensersatzanspruch nach der DS-GVO an.
DS-GVO-Verstoß allein begründet keinen Schadensersatzanspruch
Der EuGH stellt zunächst klar, dass nicht jeder Verstoß gegen die DS-GVO für sich genommen den Schadenersatzanspruch eröffne. Ein Schadenersatzanspruch setze neben einem Verstoß einen materiellen oder immateriellen Schaden und einen Kausalzusammenhang zwischen Schaden und Verstoß voraus. Die Schadenersatzklage unterscheide sich von anderen in der DS-GVO vorgesehenen Rechtsbehelfen – insbesondere von jenen, die die Verhängung von Geldbußen erlaubten –, für die das Vorliegen eines individuellen Schadens nicht nachgewiesen werden müsse.
Anspruch nicht auf Ersatz erheblicher immaterieller Schäden beschränkt
Zudem sei der der Schadenersatzanspruch nicht auf immaterielle Schäden beschränkt, die eine gewisse Erheblichkeit erreichten. In der DSGVO werde ein solches Erfordernis nicht erwähnt, und eine solche Beschränkung stünde zu dem vom Unionsgesetzgeber gewählten weiten Verständnis des Begriffs „Schaden“ im Widerspruch. Eine Erheblichkeitsschwelle könnte auch die Kohärenz der mit der DS-GVO eingeführten Regelung beeinträchtigen. Denn die graduelle Abstufung, von der die Möglichkeit, Schadenersatz zu erhalten, abhinge, könnte je nach Beurteilung durch die angerufenen Gerichte unterschiedlich hoch ausfallen.
Bemessung des Schadenersatzes Sache der Mitgliedstaaten
Was die Bemessung des Schadenersatzes anbetreffe, enthalte die DS-GVO keine Regelung. Daher seien die Ausgestaltung von Klageverfahren, die den Schutz der dem Einzelnen insoweit aus der DS-GVO erwachsenden Rechte gewährleisten sollen, und insbesondere die Festlegung der Kriterien für die Ermittlung des Umfangs des in diesem Rahmen geschuldeten Schadenersatzes Aufgabe des Rechts des einzelnen Mitgliedstaats, wobei der Äquivalenz- und der Effektivitätsgrundsatz zu beachten seien. Der EuGH betont zudem die Ausgleichsfunktion des in der DS-GVO vorgesehenen Schadenersatzanspruchs und weist darauf hin, dass dieses Instrument einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden sicherstellen solle.
zu EuGH, Urteil vom 04.05.2023 – C-300/21