Schadensersatz DSGVO - Urteil des EuGH vom 04. Mai 2023 - Rechtssache C-300/2 - PRESSEMITTEILUNG Nr. 72/23 Luxemburg, den 4. Mai 2023

Datenschutzrecht-Blog

europeDer bloße Verstoß gegen die DSGVO begründet keinen Schadenersatzanspruch

Urteil des Gerichtshofs in der Rechtssache C-300/21 | Österreichische Post (Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten)

Immaterieller Schaden DSGVO - Vorbemerkung von: DURY LEGAL :

Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 04.05.2023 festgestellt, dass ein bloßer Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) keinen automatischen Schadenersatzanspruch begründet. Vielmehr muss ein Kausalzusammenhang zwischen dem Verstoß und dem entstandenen Schaden bestehen, um einen Anspruch auf Schadenersatz zu haben. Auch ist es nicht erforderlich, dass der immaterielle Schaden eine bestimmte Schwere erreicht, um eine Entschädigung zu erhalten. Diese Auslegung der DSGVO ist laut EuGH im Einklang mit dem klaren Wortlaut der Verordnung sowie mit den Erwägungsgründen, die den Schadenersatzanspruch betreffen. Unternehmen sollten daher bei der Umsetzung der DSGVO nicht nur darauf achten, Verstöße zu vermeiden, sondern auch den Schaden für betroffene Personen so gering wie möglich zu halten.

Lesen Sie nachfolgend die Pressemitteilung des EuGH zu der Rechtssache C-300/21 inkl. einiger Anmerkungen von DURY LEGAL:

Pressemitteilung des EuGH vom 04. Mai 2023:

Der Schadenersatzanspruch hängt jedoch nicht davon ab, dass der entstandene immaterielle Schaden eine gewisse Erheblichkeit erreicht Ab dem Jahr 2017 sammelte die Österreichische Post Informationen über die politischen Affinitäten der österreichischen Bevölkerung.

Mit Hilfe eines Algorithmus definierte sie anhand sozialer und demografischer Merkmale „Zielgruppenadressen“. Aus den so gesammelten Daten leitete die Österreichische Post ab, dass ein bestimmter Bürger eine hohe Affinität zu einer bestimmten österreichischen politischen Partei habe.

Die verarbeiteten Daten wurden jedoch nicht an Dritte übermittelt. Der betroffene Bürger, der der Verarbeitung seiner personenbezogenen Daten nicht zugestimmt hatte, behauptet, er habe dadurch, dass ihm eine besondere Affinität zu der fraglichen Partei zugeschrieben worden sei, großes Ärgernis und einen Vertrauensverlust sowie ein Gefühl der Bloßstellung verspürt. Als Ersatz des ihm angeblich entstandenen immateriellen Schadens begehrt er vor den österreichischen Gerichten die Zahlung von 1 000 Euro.

Der österreichische Oberste Gerichtshof äußerte Zweifel in Bezug auf den Schadensersatzanspruch, den die Datenschutz-Grundverordnung (DSGVO)1 für den Fall vorsieht, dass wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist. Dieses Gericht möchte vom Gerichtshof wissen, ob der bloße Verstoß gegen die DSGVO ausreicht, um einen Schadenersatzanspruch zu begründen, und ob für den Ersatz der entstandene immaterielle Schaden einen bestimmten Grad an Erheblichkeit erreichen muss. Des Weiteren möchte es wissen, welche unionsrechtlichen Vorgaben für die Festsetzung der Höhe des Schadenersatzes bestehen.

In seinem heutigen Urteil stellt der Gerichtshof als Erstes fest, dass der in der DSGVO vorgesehene Schadenersatzanspruch eindeutig an drei kumulative Voraussetzungen geknüpft ist: einen Verstoß gegen die DSGVO, einen materiellen oder immateriellen Schaden, der aus diesem Verstoß resultiert, und einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß. Demnach eröffnet nicht jeder Verstoß gegen die DSGVO für sich genommen den Schadenersatzanspruch. Eine andere Auslegung liefe dem klaren Wortlaut der DSGVO zuwider. Zudem führt nach dem Wortlaut der Erwägungsgründe der DSGVO, die speziell den Schadenersatzanspruch betreffen, ein Verstoß gegen die DSGVO nicht zwangsläufig zu einem Schaden und muss ein Kausalzusammenhang zwischen dem fraglichen Verstoß und dem entstandenen Schaden bestehen, um einen Schadenersatzanspruch zu begründen. Somit unterscheidet sich die Schadenersatzklage von anderen in der DSGVO vorgesehenen Rechtsbehelfen – insbesondere von jenen, die die Verhängung von Geldbußen erlauben –, für die das Vorliegen eines individuellen Schadens nicht nachgewiesen werden muss. Als Zweites stellt der Gerichtshof fest, dass der Schadenersatzanspruch nicht auf immaterielle Schäden beschränkt ist, die eine gewisse Erheblichkeit erreichen.

In der DSGVO wird ein solches Erfordernis nicht erwähnt, und eine solche Beschränkung stünde zu dem vom Unionsgesetzgeber gewählten weiten Verständnis des Begriffs „Schaden“ im Widerspruch. Würde der Ersatz eines immateriellen Schadens von einer Erheblichkeitsschwelle abhängig gemacht, könnte dies zudem die Kohärenz der mit der DSGVO eingeführten Regelung beeinträchtigen. Die graduelle Abstufung, von der die Möglichkeit, Schadenersatz zu erhalten, abhinge, könnte nämlich je nach Beurteilung durch die angerufenen Gerichte unterschiedlich hoch ausfallen. Als Drittes und Letztes stellt der Gerichtshof zu den Regeln für die Bemessung des Schadenersatzes fest, dass die DSGVO keine Bestimmung enthält, die sich diesen Regeln widmet.

Daher sind die Ausgestaltung von Klageverfahren, die den Schutz der dem Einzelnen insoweit aus der DSGVO erwachsenden Rechte gewährleisten sollen, und insbesondere die Festlegung der Kriterien für die Ermittlung des Umfangs des in diesem Rahmen geschuldeten Schadenersatzes Aufgabe des Rechts des einzelnen Mitgliedstaats, wobei der Äquivalenz- und der Effektivitätsgrundsatz zu beachten sind. In diesem Zusammenhang betont der Gerichtshof die Ausgleichsfunktion des in der DSGVO vorgesehenen Schadenersatzanspruchs und weist darauf hin, dass dieses Instrument einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden sicherstellen soll.

HINWEIS: Im Wege eines Vorabentscheidungsersuchens können die Gerichte der Mitgliedstaaten in einem bei ihnen anhängigen Rechtsstreit dem Gerichtshof Fragen nach der Auslegung des Unionsrechts oder nach der Gültigkeit einer Handlung der Union vorlegen. Der Gerichtshof entscheidet nicht über den nationalen Rechtsstreit. Es ist Sache des nationalen Gerichts, über die Rechtssache im Einklang mit der Entscheidung des Gerichtshofs zu entscheiden. Diese Entscheidung des Gerichtshofs bindet in gleicher Weise andere nationale Gerichte, die mit einem ähnlichen Problem befasst werden.

Pressekontakt: Marguerite Saché ✆ (+352) 4303 3549

Die original Presseerklärung finden Sie hier: https://curia.europa.eu/jcms/jcms/p1_3952020/de/

Filmaufnahmen von der Verkündung des Urteils sind verfügbar über „Europe by Satellite“ ✆ (+32) 2 2964106.

Anmerkung DURY LEGAL zu dem Urteil des EuGH in Sachen "Immaterieller Schadensersatz aufgrund von DSGVO-Verstößen":

Laut der Pressemitteilung hat der EuGH den Fall Österreichische Post wie folgt entschieden:

  • Die bloße Verletzung der Datenschutz-Grundverordnung begründet keinen Anspruch auf Schadenersatz nach Artikel 82 DSGVO
  • Der Anspruch auf Schadenersatz ist nicht auf immaterielle Schäden beschränkt, die eine bestimmte Schwelle der Schwere erreichen
  • Es obliegt den Gerichten der Mitgliedstaaten, die Kriterien für den Umfang der in diesem Zusammenhang zu leistenden Entschädigung festzulegen, sofern die Grundsätze der Äquivalenz und der Effektivität beachtet werden.

Es wird interessant sein zu sehen, was der EuGH tatsächlich als "immateriellen Schaden" im Sinne von Artikel 82 DSGVO ansehen wird und was die Gerichte der Mitgliedsstaaten nun zu dem Umfang der zu leistenden Entschädigung und dem erforderlichen Maß an Kausalität entscheiden werden.

Bei der Erheblichkeit des Schadens und des Verstoßes gibt es also keine "Schwelle", d.h. jeder Datenschutzverstoß kann Schadensersatz auslösen, sei der Verstoß oder der Schaden auch noch so klein.

Allerdings sagt der EuGH, dass zwischen Datenschutzverstoß und Schaden eine Kausalität bestehen muss.

Dies könnte im Einzelfall zu Nachweisproblemen führen, denn der EuGH knüpft das Kausalitätserfordernis an die Voraussetzungen der Verhängung von Bußgeldern gem. Art. 83 DSGVO. Dort ist aber in Art. 83 Abs. 2 lit. b DSGVO geregelt, dass "Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes" ... "gebührend zu berücksichtigen" sind.

Dies deutet auf eine Relevanz des Verschuldens des Verantwortlichen hin.

Wir sind gespannt, ob die Entscheidungsgründe irgendetwas zur Verschuldensabhängigkeit sagen.

Im Ergebnis könnte dies die Audit- und Zertifizierungsgeschäfte im Bereich der DSGVO befeuern, da Unternehmen sich ggf. so des Verschuldens und damit ggf. auch der Kausalität und damit der Haftung entledigen können. Unsere Partner von DURY CONSULT können hier auf höchstem Niveau weiterhelfen.

Da in dem zugrundeliegenden Fall niemand Schadensersatz für bloße Verstöße geltend gemacht hat, scheint auch die Überschrift der Pressemitteilung etwas irreführend zu sein. Es ist jedoch aus praktischer Sicht besonders wichtig, dass die Idee der "Schwelle" abgelehnt wurde. Ob es zukünftig allerdings möglich sein wird, Massenverfahren auf DSGVO-Verstöße aufzubauen, so wie dies einige Kanzleien beim Facebook-Datenleck versuchen, ist zweifelhaft, wenn man durch einen einfachen Nachweis, die erforderlichen Sorgfaltspflichten eingehalten zu haben, alle Schadensersatzansprüche von Betroffenen auskontern kann.

Es bleibt spannend!

Rechtsanwalt Marcus Dury LL.M. - Fachanwalt für IT-Recht
Autor: Rechtsanwalt Marcus Dury LL.M. - Fachanwalt für IT-Recht
Kanzleiinhaber, Fachanwalt für IT-Recht
Autoren-Info:
Rechtsanwalt Marcus Dury LL.M., Fachanwalt für IT-Recht, hat sich auf die rechtliche Beratung in Fragen des IT-Rechts und den damit verbundenen Rechtsgebieten (Urheberrecht, Markenrecht und Wettbewerbsrecht) spezialisiert. Er ist Inhaber von DURY LEGAL Rechtsanwälte.