IT-Recht & Datenschutz

Wichtiges EuGH Urteil zu Schadensersatz nach der DSGVO

Veröffentlicht am 5th May 2023

Der Gerichtshof der Europäischen Union hat am 4. Mai 2023 eine absolut richtungsweisende Entscheidung zu Schadensersatzklagen wegen Verletzungen der Datenschutz-Grundverordnung getroffen. Bislang war unklar, wann und in welchem Umfang Unternehmen mit umfangreichen Schadensersatzklagen rechnen mussten, falls sie die strengen datenschutzrechtlichen Vorgaben der DSGVO verletzen.

People in a meeting and close up of a gavel

Was war passiert?

Die Pressemitteilung des EuGH fasst den der Entscheidung zugrundeliegenden Sachverhalt wie folgt zusammen (abrufbar hier): „Ab dem Jahr 2017 sammelte die Österreichische Post Informationen über die politischen Affinitäten der österreichischen Bevölkerung. Mit Hilfe eines Algorithmus definierte sie anhand sozialer und demografischer Merkmale „Zielgruppenadressen“. Aus den so gesammelten Daten leitete die Österreichische Post ab, dass ein bestimmter Bürger eine hohe Affinität zu einer bestimmten österreichischen politischen Partei habe. Die verarbeiteten Daten wurden jedoch nicht an Dritte übermittelt. Der betroffene Bürger, der der Verarbeitung seiner personenbezogenen Daten nicht zugestimmt hatte, behauptet, er habe dadurch, dass ihm eine besondere Affinität zu der fraglichen Partei zugeschrieben worden sei, großes Ärgernis und einen Vertrauensverlust sowie ein Gefühl der Bloßstellung verspürt. Als Ersatz des ihm angeblich entstandenen immateriellen Schadens begehrt er vor den österreichischen Gerichten die Zahlung von EUR 1.000.“

Was hat der EuGH entschieden?

  • Für die Begründung eines Anspruchs auf Schadensersatz gemäß Art. 82 Abs. 1 DSGVO ist ein Verstoß gegen die DSGVO für sich genommen nicht ausreichend:
     
    • Erforderlich ist das Vorliegen von drei Voraussetzungen, die kumulativ vorliegen müssen: erstens ein Verstoß gegen Regelungen der DSGVO, zweitens der Eintritt eines Schadens (ob materiell oder immateriell ist dabei unerheblich) und drittens muss der Eintritt des Schadens kausal auf dem Verstoß beruhen,
    • Der Eintritt eines Schadens muss zudem individuell nachgewiesen werden, er ist nicht bereits durch das Vorliegen eines Verstoßes indiziert,
    • Hierzu stellt der EuGH insbesondere auch heraus, dass Art. 82 Abs. 1 DSGVO im Gegensatz zu den in den Art. 83 und 84 DSGVO vorgesehenen Sanktionsmöglichkeiten keinen Strafzweck verfolge;
  • Nicht erforderlich (für die Begründung einer Haftung) ist hingegen, dass ein entstandener immaterieller Schaden eine bestimmte Erheblichkeitsschwelle überschreiten muss;
  • Die Gestaltung der (Haftungsausfüllung und damit der) Verfahren und Kriterien zur Bemessung der Art und Höhe des zu leistenden Schadensersatzes ist Aufgabe der Mitgliedstaaten,
     
    • Mit der Folge, dass die Gerichte der Mitgliedstaaten nationale Vorschriften zur Berechnung der Höhe der zu leistenden Schadensersatzzahlung anwenden müssen, solange diese Normen nicht gegen die Grundsätze der Äquivalenz und Effektivität verstoßen.

Was bedeutet das für Unternehmen?

  • Das Urteil der Gerichtshof ist eine echte Leitentscheidung. Sie ist relevant für wohl hunderte Verfahren bei den deutschen Gerichten. 
  • Unternehmen können nun die Risiken, die aus Datenschutzverletzungen resultieren, deutlich genauer antizipieren.
  • Es ist eine sehr gute Nachricht für Unternehmen, dass für Schadensersatz auch im Datenschutzrecht tatsächlich ein Schaden bei der fraglichen Person eingetreten sein muss. Beispielsweise im Fall großer Datenlecks könnten andernfalls hunderttausende oder Millionen Betroffene Schadensersatz geltend machen, obwohl ein konkreter Schaden überhaupt nicht entstanden ist. 
  • Im Falle ganz unwesentlicher immaterieller Schäden im niedrigen Eurobereich, bleibt das Datenschutzrecht für Massenklageverfahren ein attraktives Rechtsgebiet. Falls genug Betroffene existieren, können spezialisierte Dienstleister oder Kanzleien hohe Millionenbeträge geltend machen. Hier werden die nationalen Gerichte entscheiden müssen, wann von einem immateriellen Schaden auszugehen ist. Bloßes Unwohlsein, z.B. weil eigene Daten im Internet verfügbar sind, dürfte nicht genügen.
  • Es ist zu erwarten, dass die deutschen Gerichte bei Verletzungen der Datenschutz-Grundverordnung nach dem Urteil deutlich niedrigeren Schadensersatz gewähren als bisher. Der Gerichtshof hat klargestellt, dass ein spezieller Strafschadensersatz im Falle von Verletzungen der DSGVO nicht existiert. 
Teilen

* Dieser Artikel entspricht dem aktuellen Stand zum Zeitpunkt seiner Veröffentlichung und spiegelt nicht notwendigerweise den aktuellen Stand des Gesetzes / der Regulatorik wider.

Sprechen Sie uns an

Interested in hearing more from Osborne Clarke?