Hintergrund des Verfahrens
Die Österreichische Post sammelte ab dem Jahr 2017 Informationen über die politischen Affinitäten der österreichischen Bevölkerung. Aus den Daten leitete sie ab, dass ein bestimmter Bürger eine hohe Affinität zu einer bestimmten österreichischen politischen Partei habe. Die verarbeiteten Daten wurden jedoch nicht an Dritte übermittelt.
Der betroffene Bürger, der der Verarbeitung seiner personenbezogenen Daten nicht zugestimmt hatte, behauptete, er habe dadurch, dass ihm eine besondere Affinität zu der fraglichen Partei zugeschrieben wurde, großes Ärgernis und einen Vertrauensverlust sowie ein Gefühl der Bloßstellung verspürt. Als Ersatz des ihm angeblich entstandenen immateriellen Schadens begehrte er vor den österreichischen Gerichten die Zahlung von 1.000 €. Der österreichische Oberste Gerichtshof äußerte Zweifel in Bezug auf den Schadensersatzanspruch, den die DS-GVO für den Fall vorsieht, dass wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist.
Der Oberste Gerichtshof beschloss, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:
- Reicht der bloße Verstoß gegen die DS-GVO aus, um einen Schadenersatzanspruch nach Art. 82 DS-GVO zu begründen?
- Muss für den Ersatz der entstandene immaterielle Schaden einen bestimmten Grad an Erheblichkeit erreichen?
- Welche unionsrechtlichen Vorgaben bestehen für die Festsetzung der Höhe des Schadenersatzes?
Der bloße Verstoß gegen die DS-GVO begründet keinen Schadensersatzanspruch
Zunächst stellte der EuGH in seinem Urteil fest, dass der in Art. 82 DS-GVO vorgesehene Schadenersatzanspruch eindeutig an drei kumulative Voraussetzungen geknüpft sei:
- einen Verstoß gegen die DS-GVO,
- einen materiellen oder immateriellen Schaden, der aus diesem Verstoß resultiert, und
- einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß.
Demnach eröffne nicht jeder Verstoß gegen die DS-GVO für sich genommen den Schadenersatzanspruch. Eine andere Auslegung liefe dem klaren Wortlaut der DS-GVO zuwider. Zudem führe nach dem Wortlaut der Erwägungsgründe der DS-GVO, die speziell den Schadenersatzanspruch betreffen, ein Verstoß gegen die DS-GVO nicht zwangsläufig zu einem Schaden und es müsse ein Kausalzusammenhang zwischen dem fraglichen Verstoß und dem entstandenen Schaden bestehen, um einen Schadenersatzanspruch zu begründen. Somit unterscheide sich die Schadenersatzklage von anderen in der DS-GVO vorgesehenen Rechtsbehelfen – insbesondere von jenen, die die Verhängung von Geldbußen erlauben –, für die das Vorliegen eines individuellen Schadens nicht nachgewiesen werden müsse.
Schadenersatzanspruch nicht auf immaterielle Schäden beschränkt, die eine gewisse Erheblichkeit erreichen
Zudem stellte der EuGH fest, dass der Schadenersatzanspruch nicht auf immaterielle Schäden beschränkt sei, die eine gewisse Erheblichkeit erreichten. In der DS-GVO werde ein solches Erfordernis nicht erwähnt, und eine solche Beschränkung stünde zu dem vom Unionsgesetzgeber gewählten weiten Verständnis des Begriffs „Schaden“ im Widerspruch. Würde der Ersatz eines immateriellen Schadens von einer Erheblichkeitsschwelle abhängig gemacht, könne dies zudem die Kohärenz der mit der DS-GVO eingeführten Regelung beeinträchtigen. Die graduelle Abstufung, von der die Möglichkeit, Schadenersatz zu erhalten, abhinge, könne nämlich je nach Beurteilung durch die angerufenen Gerichte unterschiedlich hoch ausfallen.
Festlegung der Kriterien für die Ermittlung des Umfangs ist Aufgabe der einzelnen Mitgliedstaaten
Schließlich stellte der EuGH fest, dass die DS-GVO keine Bestimmung zu den Regeln für die Bemessung des Schadenersatzes enthalte. Daher seien die Ausgestaltung von Klageverfahren, die den Schutz der dem Einzelnen insoweit aus der DS-GVO erwachsenden Rechte gewährleisten sollen, und insbesondere die Festlegung der Kriterien für die Ermittlung des Umfangs des in diesem Rahmen geschuldeten Schadenersatzes Aufgabe des Rechts des einzelnen Mitgliedstaats, wobei der Äquivalenz- und der Effektivitätsgrundsatz zu beachten seien. In diesem Zusammenhang betonte der EuGH die Ausgleichsfunktion des in der DS-GVO vorgesehenen Schadenersatzanspruchs und wies darauf hin, dass dieses Instrument einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden sicherstellen solle.
Bedeutung des Urteils für die Praxis
Die Entscheidung dürfte für eine Vielzahl von Schadensersatzklagen Bedeutung haben, wobei sich diese eher auf die Begründung der Klage beschränken dürfte. Beispielsweise werden unzureichende oder verspätete Auskünfte über die Verarbeitung personenbezogener Daten gem. Art. 15 DS-GVO allein, keine Schadensansprüche begründen. Stattdessen ist hierfür das Bestehen eines Schadens erforderlich, welcher kausal auf dem Verstoß gegen die DS-GVO beruhen muss.
Fazit
Nach der Entscheidung des EuGH sind nun die nationalen Gerichte aufgerufen, Kriterien zur Bemessung von Schadensersatzansprüchen festzulegen, wobei sich der Schadenersatzanspruch nicht auf immaterielle Schäden beschränken darf, die eine gewisse Erheblichkeit erreichen. Gleichwohl ist der Nachweis eines Schadens zu führen. Wie sich die Entscheidung konkret auf die Praxis auswirkt, bleibt abzuwarten.
Quelle: