EuGH-Urteil zum Schadensersatz nach Art. 82 DSGVO

Am 4. Mai 2023 veröffentlichte der EuGH sein Urteil (Az.: C-300/21) zum Schadensersatz und zur Auslegung des Art. 82 DSGVO. Laut dem Urteil ist nicht jede unzulässige Verwendung personenbezogener Daten mit Auszahlung von Schadensersatz an die betroffene Person zu rechtfertigen.

Hintergrund der Entscheidung

Die Entscheidung des EuGH ergeht aus einem Rechtsstreit zwischen einer Privatperson und der Österreichischen Post AG. Der Kläger forderte einen Schadensersatz iHv 1.000 Euro wegen einer unrechtmäßigen Datenverarbeitung. Die Österreichische Post AG hatte Daten von Personen mit Wohnsitz in Österreich zu politischen Affinitäten verarbeitet, obwohl einer solchen Verarbeitung nicht zugestimmt wurde. Mit Hilfe eines Algorithmus wurde den betroffenen Personen anhand bestimmter sozialdemografischer Merkmale politische Zielgruppen zugeordnet. Der Algorithmus schätzte den Kläger so ein, dass dieser der Partei FPÖ nahe stünde. Der Kläger war darüber verärgert, da ihn die Zuordnung zu dieser Partei beleidige.

In der erst- und zweitgerichtlichen Instanz hatte der Kläger keine Aussicht auf Erfolg. Die Gerichte wiesen seine Klage mit der Begründung ab, dass der geltend gemachte immaterielle Schaden eine Erheblichkeitsschwelle nicht überschreite, die für einen Schadensersatzanspruch erforderlich sei.

Der österreichische OGH setzte das Berufungsverfahren aus und legte dem EuGH folgende drei Fragen im Zuge des Vorabentscheidungsverfahrens vor:

1. Erfordert der Zuspruch von Schadensersatz nach Art. 82 DSGVO neben einer Verletzung von Bestimmungen der DSGVO auch, dass der Kläger einen Schaden erlitten hat oder reicht bereits die Verletzung von Bestimmungen der DSGVO als solche für die Zuerkennung von Schadensersatz aus?
2. Bestehen für die Bemessung des Schadensersatzes neben den Grundsätzen der Effektivität und Äquivalenz weitere Vorgaben des Unionsrechts?
3. Ist die Auffassung mit dem Unionsrecht vereinbar, dass Voraussetzung für den Zuspruch immateriellen Schadens ist, dass eine Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht vorliegt, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgeht?

Entscheidung des EuGHs

Um Schadensersatzansprüche geltend machen zu können, müssen als Tatbestandsvoraussetzungen ein DSGVO-Verstoß und ein entstandener Schaden vorliegen. Ferner bedarf es des Kausalzusammenhangs zwischen Schaden und Verstoß. Ein bloßer Verstoß gegen die Bestimmungen der DSGVO reiche für sich genommen nicht aus, um einen Schadensersatzanspruch zu begründen.

Der EuGH bekräftigt, dass die DSGVO keine Bestimmung enthält, die sich den Regeln für die Bemessung des Schadensersatzes widmet, wenn durch den Verstoß gegen die DSGVO ein Schaden entstanden ist. Die verfahrensrechtlichen Modalitäten und auch die Festsetzung der Höhe des Schadensersatzes bleibe den nationalen Gerichten überlassen, welche die innerstaatlichen Botschaften anzuwenden haben.

Der EuGH bestätigte in der Antwort auf die dritte Frage, dass durch Art. 82 DSGVO auch bei Vorliegen eines immateriellen Schadens grundsätzlich auch ein Anspruch auf Schadensersatz bestehe. Betroffene müssen einen kausalen Schaden zwar darlegen, die Höhe des Schadens ist dann aber irrelevant.

Fazit

Ein bloßer Verstoß gegen die DSGVO impliziert keinen Schadensersatzanspruch. Um Ansprüche geltend machen zu können, müssen die Voraussetzungen „eine rechtswidrige Verarbeitung“, „der daraus entstandene Schaden“ und „der Kausalzusammenhang zwischen dem Schaden und dem Verstoß“ vorliegen. Weiter wird die Auffassung vertreten, dass es eine Erheblichkeitsschwelle brauche, um immateriellen Schadensersatz zu begründen. Der bloße Ärger einer betroffenen Person reiche hierbei nicht aus.

Quellen:

EuGH-Urteil vom 04.05.2023 Az.: C-300/21

Unsere aktuellen News gibt es auf unserer Startseite und alle News in unserem Newsarchiv