04.05.23

EuGH: Keine Erheblichkeitsschwelle für den Ersatz immaterieller Schäden nach der DSGVO

Der Europäische Gerichtshof (EuGH) hat am 4. Mai 2023 in der Rechtssache C-300/21  („UI gegen Österreichische Post AG“) ein wichtiges Urteil gefällt, das sich damit befasst, unter welchen Voraussetzungen von einer Datenverletzung Betroffene nach Art. 82 der Datenschutzgrundverordnung [Verordnung (EU) 2016/679, „DSGVO“] Schadensersatz verlangen können. Er entschied insbesondere:

1.    Kein automatischer Schadensersatzanspruch bei DSGVO-Verstoß:

  • Ein bloßer Verstoß gegen die DSGVO begründet nicht automatisch einen Schadensersatzanspruch des Betroffenen, sondern es muss – wie bei Schadensersatzansprüchen generell – neben dem Vorliegen eines Verstoßes zusätzlich kumulativ ein materieller oder immateriellen Schaden entstanden sein und ein Kausalzusammenhang zwischen dem Verstoß und dem Schaden bestehen.
  • Ein Schadensersatzanspruch hat damit drei kumulative Voraussetzungen: 1. Verstoß gegen die DSGVO, 2. Schaden und 3. Kausalzusammenhang.

2.    Immaterielle Schäden müssen keinen bestimmten Grad an Erheblichkeit erreicht haben, um ersatzfähig zu sein.

  • Die Mitgliedstaaten oder nationale Gerichte dürfen den Ersatz immaterieller Schäden nicht davon abhängig machen, dass eine bestimmte Erheblichkeitsschwelle überschritten sein muss.
  • Zum einen ist der Schadensbegriff in der DSGVO weit auszulegen. Zum anderen würde eine Erheblichkeitsschwelle die Kohärenz der Schadensersatzregelungen der DSGVO beeinträchtigen, da die Abstufung der Schwelle je nach angerufenem Gericht unterschiedlich hoch ausfallen könnte.

3.    Die Bemessung der Höhe des Schadensersatzanspruchs ist Sache des nationalen Rechts:

  • Weil die DSGVO weder die Bemessung des Schadensersatzes noch die Ausgestaltung der Klageverfahren zu dessen Geltendmachung regelt, ist beides Aufgabe der Mitgliedstaaten und ihrer Gerichte.
  • Die Geltendmachung von Schadensersatzanspüchen nach der DSGVO darf aber weder schwieriger sein als die Geltendmachung von Ansprüchen nach nationalem Recht (Äquivalenz-grundsatz) noch dürfen die Mitgliedstaaten den Schadensersatz praktisch unmöglich machen oder übermäßig erschweren (Effektivitätsgrundsatz). Vielmehr müssen sie sicherstellen, dass erlittene Schäden „vollständig und wirksam“ ersetzt werden – ein Strafschadensersatz muss hierfür jedoch nicht verhängt werden.

cep-Bewertung:

Laut cep-Datenschutzexpertin Anja Hoffmann leitet der EuGH aus der DSGVO zu Recht ab, dass nicht jeder DSGVO-Verstoß automatisch einen Schadensersatzanspruch begründet. Da in jedem Einzelfall ein individueller Schaden und ein Kausalzusammenhang nachgewiesen sein muss, können Private künftig nicht schon allein wegen des Vorliegens eines DSGVO-Verstoßes mittels Sammelklagen von Unternehmen Entschädigungen für die Datenschutzverletzung fordern. Was die Geltendmachung immaterieller Schäden betrifft, hat sich der Gerichtshof jedoch – anders als noch der Generalanwalt Sanchez-Bordona – gegen eine Erheblichkeitsschwelle für immaterielle Schäden entschieden. Damit schließt der Gerichtshof – im Gegensatz zum Generalanwalt – nicht aus, dass bereits bloßer, durch die Verletzung verursachter Ärger zu einem ersatzfähigen immateriellen Schaden führen kann. Was ein ersatzfähiger immaterieller Schaden ist – dieser Begriff wird von der DSGVO nicht definiert – ist damit aber immer noch unklar. Der EuGH stellt lediglich klar, dass es sich um einen autonomen und EU-weit einheitlich auszulegenden Begriff des Unionsrechts handelt und dass keine bestimmte Erheblichkeitsschwelle überschritten sein muss.

Das österreichische Gericht muss nun entscheiden, ob der Kläger nachgewiesen hat, dass die erlittenen negativen Folgen einen immateriellen Schaden i.S.v. Art. 82 DSGVO darstellen.

Ist dies der Fall, muss das Gericht die Höhe des Schadensersatzes festlegen. Dabei muss es entscheiden, ob die österreichischen Regelungen zur gerichtlichen Festsetzung des Schadensersatzes den Ersatz des dem Kläger entstandenen Schadens nach der DSGVO unmöglich machen oder übermäßig erschweren und Österreich insoweit gegen den Effektivitätsgrundsatz verstößt. Bei der Bemessung der Schadenshöhe ist auch zu beachten, dass dem Schadensersatz nach der DSGVO laut dem Gerichtshof keine Straffunktion zukommt. Insoweit grenzt der EuGH den Schadensersatz, der dem Ausgleich erlittener Schäden dient, zu Recht deutlich von den ebenfalls in der DSGVO vorgesehenen Geldbußen mit Strafcharakter ab.

 

Sachverhalt des Falls:

Die Österreichische Post AG handelte mit personenbezogenen Daten von Einwohnern in Österreich und ordnete diese mit Hilfe eines Algorithmus bestimmten politischen Parteien zu. Dem Betroffenen (UI) wurde eine hohe Affinität zur rechtspopulistischen FPÖ attestiert. UI fühlte sich durch diese Verarbeitung seiner Daten ohne seine Einwilligung  „verärgert und beleidigt". Er forderte 1 000 Euro Schadensersatz zum Ersatz seines immateriellen Schadens, der sich in innerem Ungemach, großem Ärgernis und einem Gefühl der Bloßstellung manifestierte.

 

Dr. Anja Hoffmann, cep-Expertin für Binnenmarkt und digitale Wirtschaft

 

 

Alle Nachrichten