Der EuGH hat am 04.05.2023 (EuGH C-300/21) darüber entschieden, ob allein bei Verstoß gegen Vorschriften der DSGVO (hier Verstoß gegen die Datenverarbeitung) der Datenverantwortliche an den Betroffenen Schadensersatz in Geld leisten muss. Das besondere an dem Fall war, dass der Betroffene Bürger gar keinen materiellen Schaden, sondern „nur“ einen immateriellen Schaden erlitten hatte, nämlich nach seiner Ansicht hat er „großes Ärgernis und einen Vertrauensverlust sowie ein Gefühl der Bloßstellung verspürt“.
Der EuGH entschied recht eindeutig:
Der bloße Verstoß gegen die DSGVO begründet keinen Schadenersatzanspruch. Der Schadenersatzanspruch hängt auch nicht davon ab, ob der entstandene (immaterielle) Schaden eine gewisse Erheblichkeit erreicht. Festlegungen zur Ermittlung der Höhe des Schadens sind Sache der Mitgliedsstaaten.
Was war passiert?
Die Österreichische Post sammelte Informationen über die politischen Affinitäten der österreichischen Bevölkerung und definierte mit Hilfe eines Algorithmus zu sozialen und demografischen Merkmalen „Zielgruppenadressen“. Daraus leitete die Österreichische Post ab, dass bestimmte Bürger eine hohe Affinität zu einer bestimmten österreichischen politischen Partei haben. Eine Übermittlung der verarbeiteten Daten an Dritte fand nicht statt.
Ein betroffener Bürger, der der Verarbeitung seiner personenbezogenen Daten nicht zugestimmt hatte, begehrt vor den österreichischen Gerichten die Zahlung von 1 000 Euro. Er behauptete, er habe dadurch, dass ihm eine besondere Affinität zu der fraglichen Partei zugeschrieben worden sei, großes Ärgernis und einen Vertrauensverlust sowie ein Gefühl der Bloßstellung verspürt.
Der österreichische Oberste Gerichtshof äußerte Zweifel, ob die DSGVO Schadenersatz für den Fall vorsieht, dass allein wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist und legt dem EuGH die Sache zur Vorabentscheidung mit folgenden drei Fragen vor:
- Reicht der bloße Verstoß gegen die DSGVO aus, um einen Schadenersatzanspruch zu begründen?
- Muss für den (immateriellen) Schadenersatz ein bestimmter Grad an Erheblichkeit erreichen werden?
- Welche unionsrechtlichen Vorgaben bestehen für die Festsetzung der Höhe des Schadenersatzes?
Nach der Entscheidung des EUGH ist der in der DSGVO vorgesehene Schadenersatzanspruch an drei kumulative Voraussetzungen geknüpft:
- Vorliegen eines Verstoßes gegen die DSGVO
- Vorliegen eines materiellen oder immateriellen Schadens, der aus diesem Verstoß resultiert
- Kausalzusammenhang zwischen dem Schaden und dem Verstoß
Nicht jeder Verstoß gegen die DSGVO begründet für sich genommen den Schadenersatzanspruch. Dem steht der klare Wortlaut der DSGVO entgegen. Nach den Erwägungsgründe der DSGVO, die speziell den Schadenersatzanspruch betreffen, führt ein Verstoß gegen die DSGVO nicht zwangsläufig zu einem Schaden. Außerdem muss ein Kausalzusammenhang zwischen dem Verstoß und dem entstandenen Schaden bestehen, um einen Schadenersatzanspruch zu begründen. Somit unterscheidet sich die Schadenersatzklage von anderen in der DSGVO vorgesehenen Rechtsbehelfen – insbesondere bei der Verhängung von Geldbußen, bei der ein individueller Schaden nicht nachgewiesen werden muss.
Der Gerichtshof stellt allerdings weiter fest, dass der Schadenersatzanspruch nicht auf (materielle und) immaterielle Schäden beschränkt ist, die eine gewisse Erheblichkeit erreichen. Das entspricht nicht dem in der DSGVO gewählten weiten Verständnis des Begriffs „Schaden“. Würde zudem der Ersatz eines immateriellen Schadens von einer Erheblichkeitsschwelle abhängig gemacht, könnte die graduelle Abstufung von der Möglichkeit, Schadenersatz zu erhalten, nach Beurteilung durch die angerufenen Gerichte unterschiedlich hoch ausfallen. Das läuft dem Willen des Unionsgesetzgebers an einer gleichartigen Umsetzung der DSGVO in den Mitgliedsstaaten entgegen.
Schließlich:
Die DSGVO kennt keine Regeln für die Bemessung des Schadenersatzes. Ausgestaltung von Klageverfahren und insbesondere die Festlegung der Kriterien für die Ermittlung des Umfangs des geschuldeten Schadenersatzes ist Aufgabe der einzelnen Mitgliedstaaten. Dabei soll aber ein vollständiger und wirksamer Schadenersatz für den erlittenen Schaden sichergestellt werden. Zur Frage des Verschuldens für einen Verstoß hat der EuGH in dieser Sache nicht entschieden. Dabei dürften aber die Schlussanträge des Generalanwaltes des EuGHs in der Rechtssache C-340/21 maßgeblich sein, der dort ausführt: „Für eine Haftungsbefreiung muss der Verantwortliche nachweisen, dass er für den Umstand, durch den der Schaden eingetreten ist, in keinerlei Hinsicht verantwortlich ist“. Ergo: Zunächst hat einmal der Verantwortliche jeden Verstoß gegen die DSGVO zu verantworten.