Der Europäische Gerichtshof (EuGH) hat gestern klargestellt, dass der Schaden für einen Schadensersatzanspruch bei einer Verletzung der DSGVO nachweisbar sein muss. Wann dies der Fall ist, sollen nationale Gerichte entscheiden.
Der Schadensersatzanspruch sei an drei kumulative Voraussetzungen geknüpft, so der EuGH. Es muss demnach ein Verstoß gegen die DSGVO, sowie ein materieller oder immaterieller Schaden vorliegen. Zudem muss ein Kausalzusammenhang zwischen dem Schaden und dem Verstoß bestehen. Nicht jeder Verletzung gegen die DSGVO begründet somit automatisch einen Schadenersatzanspruch.
Worum geht es?
Hintergrund der Entscheidung ist eine Datensammlung der Österreichischen Post AG über die politischen Richtungen der nationalen Bevölkerung.
Aus den so gesammelten Daten leitete die Post mit Hilfe eines Algorithmus ab, dass ein bestimmter Bürger eine hohe Affinität zu einer bestimmten österreichischen politischen Partei hat. Eine Übermittlung an Dritte dieser Daten fand jedoch nicht statt.
Der betroffene Bürger, der in die Verarbeitung seiner personenbezogenen Daten nicht eingewilligt hatte, machte geltend, dass er dadurch, dass ihm eine besondere Affinität zu der betreffenden Partei zugeschrieben worden sei, eine große Verärgerung und einen Vertrauensverlust erlitten und sich bloßgestellt bzw. gedemütigt gefühlt habe. Zum Ersatz des ihm angeblich erlittenen immateriellen Schadens begehrte er vor den österreichischen Gerichten die Zahlung von 1.000 Euro.
Der österreichische oberste Gerichtshof Wien äußerte Zweifel daran, dass die DSGVO für einen solchen Fall einen Verstoß gegen die DSGVO und einen Schadensersatzanspruch vorsehe. Daher wurde dem EUGH die Frage vorlegt, ob der bloße Verstoß gegen die DSGVO ausreicht, um einen Schadensersatzanspruch zu begründen und ob für den Ersatz des immateriellen Schadens der erlittene immaterielle Schaden eine gewisse Erheblichkeit erreichen muss. Darüber hinaus bat der österreichische oberste Gerichtshof um Klarstellung, welche unionsrechtlichen Vorgaben für die Festsetzung der Höhe des Schadensersatzes gelten.
EuGH: Schaden muss nachweisbar sein
Wichtig ist, dass die DSGVO einen Anspruch auf Schadensersatz vorsieht, wenn einer Person durch einen Verstoß gegen die Datenschutz-Grundverordnung ein materieller oder immaterieller Schaden entstanden ist. Ein Verstoß allein reicht jedoch nicht aus, um einen Anspruch auf Schadensersatz zu begründen. Es muss nachgewiesen werden, dass tatsächlich ein Schaden entstanden ist.
Der Gerichtshof hat zudem klargestellt, dass der Schadenersatzanspruch nicht auf immaterielle Schäden beschränkt ist, die eine gewisse Erheblichkeit erreichen müssen. Die DSGVO enthält ein solches Erfordernis nicht und eine solche Beschränkung würde dem weiten Verständnis des Begriffs „Schaden“ widersprechen, welches der Unionsgesetzgeber gewählt hat. Eine Erheblichkeitsschwelle könnte zudem die Kohärenz der Regelung beeinträchtigen und zu unterschiedlichen Beurteilungen durch Gerichte führen.
Und wie wird der Schadensersatz jetzt berechnet?
Bei der Bemessung des Schadensersatzes sind die Vorgaben des Unionsrechts, insbesondere die Grundsätze der Verhältnismäßigkeit und der Effektivität, zu berücksichtigen. Der Schadenersatz muss angemessen sein und im Verhältnis zum erlittenen Schaden stehen. Dabei sind auch die Umstände des Einzelfalls, einschließlich der Schwere des Verstoßes und des Verhaltens des Verantwortlichen, zu berücksichtigen.
Was heißt das in Zukunft?
Das Urteil des Gerichtshofs stellt somit klar, dass der Schadenersatzanspruch gemäß der DSGVO an strenge Voraussetzungen geknüpft ist und nicht jeder Verstoß gegen die DSGVO automatisch einen Schadenersatzanspruch begründet. Gleichzeitig wird betont, dass der Schadenersatzanspruch eine wichtige Ausgleichsfunktion hat und einen vollständigen und wirksamen Schadenersatz sicherstellen soll.
Daher muss beispielsweise im Rahmen von arbeitsgerichtlichen Verfahren, bei denen oftmals Auskunftsverlangen gem. Art. 15 DSGVO gestellt werden, um spätere Schadensersatzansprüche vorzubereiten, ein Schaden dargelegt werden.
Es bleibt abzuwarten, wie nationalen Gerichte mit der Entscheidung umgehen und welche praxistauglichen Kriterien festgesetzt werden. Klare Grenzen hat der EuGH leider nicht aufgezeigt.
Die Entscheidung des Europäischen Gerichtshof können Sie hier nachlesen:
Bildnachweis für diesen Beitrag © LuckyStep stock. adobe. com