Von unrechtsmäßiger Datenverarbeitung Betroffene können Schadensersatz verlangen, wenn ihnen ein individueller Schaden entstanden ist und dieser Schaden kausal auf die unrechtmäßige Datenverarbeitung zurückzuführen ist. Auf die Erheblichkeit des Schadens kommt es hingegen nicht an – so der Europäische Gerichtshof (EuGH) in seinem Urteil vom 4.5.2023.

Sachverhalt

Der Entscheidung liegt eine Klage gegen die Österreichische Post auf Unterlassung und Schadensersatz zu Grunde. Die Österreichische Post sammelte zwischen 2017 und 2019 Informationen über die politischen Affinitäten der österreichischen Bevölkerung. Mit Hilfe eines Algorithmus, der verschiedene soziale und demografische Merkmale berücksichtigte, definierte sie „Zielgruppenadressen“, die sie an verschiedene Organisationen verkaufte, um diesen den Versand zielgerichteter Werbung zu ermöglichen.

Geklagt hatte ein betroffener Bürger, dem die Österreichische Post auf Grundlage einer statistischen Hochrechnung eine hohe Affinität zu einer rechtsextremen Partei zugeschrieben hatte. Die Daten des Klägers wurden nicht an Dritte übermittelt. Der Kläger hatte der Verarbeitung seiner Daten aber nicht zugestimmt. Die Speicherung der Daten zu seiner mutmaßlichen politischen Gesinnung durch die Österreichische Post habe bei ihm großen Ärger und einen Vertrauensverlust sowie ein Gefühl der Bloßstellung ausgelöst – so der Kläger. Für diesen immateriellen Schaden forderte der Kläger Ersatz in Höhe von 1.000 Euro.

Vorlage an den EuGH durch den Obersten Gerichtshof (Österreich)

Das Landesgericht für Zivilrechtssachen Wien gab dem Unterlassungsbegehren des Klägers statt, wies den geltend gemachten Anspruch auf Ersatz seines immateriellen Schadens jedoch ab. Das Oberlandesgericht Wien bestätigte das Urteil des Landesgerichts. Es begründete seine Entscheidung damit, dass das österreichische Recht einen Schadensersatzanspruch nur vorsehe, wenn der Schaden eine bestimmte „Erheblichkeitsschwelle“ erreiche. Dies sei bei den negativen Gefühlen, auf die sich der Kläger berufen hatte, nicht der Fall.

Der sodann angerufene Oberste Gerichtshof setzte das Verfahren schließlich aus und legte dem EuGH Grundsatzfragen zum datenschutzrechtlichen Schadensersatzanspruch des Betroffenen vor. Diese Fragen hat der EuGH mit seinem Urteil vom 4.5.2023 beantwortet und damit wichtige Weichen für den Umgang mit Schadensersatzforderungen von Betroffenen durch die nationalen Gerichte gestellt.

EuGH: Schaden erforderlich, Erheblichkeit aber nicht

Der EuGH stellt in seinem Urteil zunächst fest, dass der in der DSGVO vorgesehene Anspruch auf Schadensersatz neben einem Verstoß gegen die DSGVO auch das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß voraussetzt. Folglich begründet nicht jeder Verstoß gegen die Datenschutz-Grundverordnung per se einen Anspruch auf Entschädigung. Eine abweichende Auslegung von Art. 82 Abs. 1 DS-GVO sei mit dem Wortlaut der Norm und den Erwägungsgründen der DS-GVO unvereinbar.

Betroffene müssen zwar darlegen und nachweisen, dass sie einen kausalen Schaden erlitten haben. Der Ersatzanspruch sei aber nicht von der Erheblichkeit des Schadens abhängig. Art. 82 DS-GVO beschränke sich auf die Feststellung, dass nicht nur materielle Schäden, sondern auch immaterielle Schäden ersatzfähig seien. Eine Definition des Begriffs „Schaden“ enthalte die Vorschrift ebenso wenig wie eine auch immer geartete Erheblichkeitsschwelle. Um der Zwecksetzung der DS-GVO gerecht zu werden und innerhalb der Union ein gleichmäßiges und hohes Schutzniveau für die Betroffenen zu gewährleisten, sei der Begriff des Schadens weit auszulegen. Eine Erheblichkeitsschwelle könnte die Kohärenz der mit der DS-GVO eingeführten Regelung beeinträchtigen.

Bemessung des Schadensersatzes ist Aufgabe der Mitgliedstaaten

Die DS-GVO enthalte keine Kriterien für die Bemessung der Höhe des Schadensersatzes – so der EuGH weiter. Es sei daher Sache der einzelnen Mitgliedsstaaten, unter Beachtung des Äquivalenz- und des Effektivitätsgrundsatzes Bemessungskriterien für die Höhe des Schadensersatzes festzulegen.

Praxishinweis

Das Urteil des EuGH ist ein erster, wichtiger Schritt auf dem Weg zur Klärung grundlegender Rechtsfragen in Zusammenhang mit dem Schadensersatzanspruch Betroffener gemäß Art. 82 DS-GVO. Derzeit ist eine Vielzahl weiterer Vorabentscheidungsverfahren zu diesem Thema beim EuGH anhängig. Die Entscheidungen in diesen Verfahren werden zeitnah für weitere Klarheit sorgen.

(EuGH, Urteil vom 4.5.2023 – C-300/21)