Europäischer Gerichtshof, Urteil vom 04.05.2023 – C-300/21, ECLI:EU:C:2023:370
Hintergrund
In dem Ausgangsfall generierte die Österreichische Post beginnend im Jahr 2017 hinsichtlich der politischen Präferenzen der österreichischen Bevölkerung Informationen und ließ unter Berücksichtigung von sozialen und demografischen Daten durch einen Algorithmus sogenannte „Zielgruppenadressen“ bestimmen. Dies ermöglichte der Österreichischen Post den Rückschluss zu ziehen, dass ein bestimmter betroffener Bürger einen hohen Bezug zu einer bestimmten österreichischen Partei aufwies.
Der Verarbeitung seiner personenbezogenen Daten hatte der Bürger nicht zugestimmt. Der betroffene Bürger fühlte sich durch die ihm zugeschriebene Affinität zu einer bestimmten österreichischen Partei beleidigt, verärgert und durch die Post bloßgestellt. Dass die Österreichische Post diese Informationen über seine Person erhoben habe, hätte weiterhin sein Vertrauen in die Post erschüttert.
Der Bürger machte daher klageweise einen immateriellen Schaden zunächst vor dem Landesgericht für Zivilrechtssachen Wien geltend und forderte eine Zahlung in Höhe von 1.000 € von der Österreichischen Post sowie die Unterlassung der Verarbeitung der in Frage stehenden personenbezogenen Daten. Die Klage hatte sowohl erstinstanzlich als auch in der Berufungsinstanz hinsichtlich des Unterlassungsbegehrens Erfolg, die Forderung nach Schadensersatz wurde jedoch abgelehnt.
Die Ansicht des Gerichts wurde damit begründet, dass in den Erwägungsgründen der Datenschutzgrundverordnung (DSGVO) keine Sonderregeln hinsichtlich der Anforderungen für das Bestehen eines Schadensersatzanspruches statuiert würden. Die DSGVO würde daher durch die innerstaatlichen österreichischen Bestimmungen hinsichtlich der Anforderungen an ein Schadensersatzbegehren ergänzt werden.
Mit Rückgriff auf das österreichische Recht würde daher bei einem Verstoß gegen Regelungen zum Schutz personenbezogener Daten nicht automatisch ein Schadensersatzanspruch bereits bei dem Vorliegen eines bloß immateriellen Schadens zu bejahen sein, sondern es müsste ein Schaden vorliegen, der eine gewisse „Erheblichkeitsschwelle“ überschreite. Da es dem betroffenen Kläger lediglich um die Geltendmachung eines immateriellen, emotionalen Schadens gehe, sei daher kein Schadensersatzanspruch gegeben.
Der Kläger wandte sich mit einer Revision an den Obersten Gerichtshof Österreichs gegen die Abweisung seiner Forderung auf Schadensersatz. Der Oberste Gerichtshof wandte sich daraufhin an den Europäischen Gerichtshof im Rahmen eines Vorabentscheidungsverfahrens. Der Europäische Gerichtshof befasste sich somit mit der Frage, ob ein aufgrund eines Verstoßes gegen die DSGVO entstandener bloßer immaterieller Schaden genügt, um einen Schadensersatzanspruch nach der DSGVO zu bejahen, oder ob dieser immaterielle Schaden einen gewissen Grad an Erheblichkeit erreichen muss.
Gründe
Der Europäische Gerichtshof hat entschieden, dass der entstandene Schaden keine Erheblichkeitsschwelle erreichen muss, jedoch dennoch nicht jeder Verstoß gegen die DSGVO schadensersatzpflichtig ist.
Nach der DSGVO wird ein Anspruch auf Schadensersatz bejaht, wenn kumulativ zum einen ein Verstoß gegen die DSGVO vorliegt, zum anderen ein materieller oder immaterieller Schaden gegeben ist und letztlich dazwischen ein Kausalzusammenhang gegeben ist.
Somit kann nicht jeder bloße Verstoß gegen die DSGVO einen Schadensersatzanspruch begründen. Aus dem begangenen Verstoß muss vielmehr ein Schaden entstehen, und dieser Schaden muss kausal auf den Verstoß zurückzuführen sein. Um einen Anspruch auf Schadensersatz geltend zu machen, muss der betroffene Kläger daher das Vorliegen eines individuellen Schadens beweisen.
Weiterhin hat der Europäische Gerichtshof klargestellt, dass die DSGVO keine Anforderungen an den Grad des immateriellen Schadens stellt, da der Unionsgesetzgeber bewusst einen weiten Schadensbegriff gewählt hat. Vielmehr soll das Vorliegen eines Schadens unabhängig von der graduellen Beurteilung des Schadens durch das jeweilige nationale Gericht sein, was nur realisiert werden kann, wenn der immaterielle Schaden keine Erheblichkeitsschwelle erreichen muss.
Der Umfang des Schadensersatzes obliegt dagegen dem nationalen Recht, da der Europäische Gerichtshof festgestellt hat, dass die DSGVO keine Bemessungsregeln hinsichtlich der Höhe des Schadensersatzes festlegt. Dabei soll jedoch berücksichtigt werden, dass der Schadensersatz die Funktion hat, den erlittenen Schaden auszugleichen und möglichst effektiv erfolgen soll.
Bewertung
Diese aktuelle Entscheidung des Europäischen Gerichtshofs hat eine große Bedeutung, da sie klarstellt, dass auch ein nicht „erheblicher“ immaterieller Schaden ersatzfähig ist. Dennoch ist weiterhin erforderlich, dass ein Schaden eingetreten sein muss. Ein bloßer Verstoß gegen die DSGVO, der ohne materielle oder immaterielle Folgen bleibt, begründet daher keinen Schadensersatz.
Die DSGVO soll ein hohes Schutzniveau für die Erhebung und Verarbeitung personenbezogener Daten garantieren. Daher wird auch erlittener immaterieller Schaden von dem Anspruch auf Schadensersatz erfasst, um dessen Ausgleichs- und Wiedergutmachungsfunktion möglichst effektiv zu verwirklichen. Würde eine gewisse Erheblichkeit des Schadens gefordert, so könnte eine einheitliche Beurteilung durch die nationalen Gerichte, ob diese Schwelle im konkreten Fall erreicht wurde oder nicht, kaum sichergestellt werden.
Die genaue Höhe eines Schadensersatzanspruches zu bemessen, ist wiederum Aufgabe der nationalen Gerichte. Es bleibt daher abzuwarten, in welcher Höhe die Gerichte für welchen erlittenen Schaden gewisse Schadensersatzsummen festsetzen werden. Auch hinsichtlich der Beurteilung, wann ein immaterieller, emotionaler Schaden vorliegt oder lediglich ein „subjektives Unmutsgefühl“ vorliegt, werden die Urteile der nationalen Gerichte abzuwarten sein.
Julia Wulf
Anwältin für Datenschutzrecht
Lesen Sie mehr zu den Schwerpunkten unserer Kanzlei unter www.rnsp.de.