EuGH zum DSGVO-Schadensersatz: Anspruchsvoraussetzungen und Schadenserheblichkeit

EuGH zum DSGVO-Schadensersatz: Anspruchsvoraussetzungen und Schadenserheblichkeit
Stand: 22.05.2023 5 min

Der Schadensersatzanspruch nach der DSGVO ist ob seiner Anforderungen und Rechtsfolgen seit jeher umstritten, weil die Verordnung in den maßgeblichen Bestimmungen anstatt konkreter Kriterien unbestimmte Rechtsbegriffe verwendet. Nun hat sich der EuGH erstmalig zu den Anspruchsvoraussetzungen positioniert und darüber hinaus entschieden, ob ersatzfähige immaterielle Schäden eine gewisse Erheblichkeitsschwelle erreichen müssen. Dieser Beitrag zeigt, was nach EuGH für einen begründeten DSGVO-Schadensersatz erfüllt sein muss.

I. Der Ausgangsfall

Den abstrakten Rechtsfragen, über welche der EuGH zu befinden hatte, ging ein österreichisches Gerichtsverfahren voraus.

Die österreichische Post hatte im Jahr 2017 per Algorithmus anhand sozialer und demografischer Merkmale die politischen Affinitäten der Bevölkerung zu bestimmen versucht und aus den generierten Informationen Zielgruppenkreise gebildet, in denen die Sympathie mit politischen Parteien vermutet wurde.

Ein Bürger, welchem nach der Datenverarbeitung die ideologische Nähe zu einer bestimmten Partei zugeschrieben wurde, sah hierin eine rechtswidrige Verarbeitung seiner personenbezogenen Daten und klagte auf Schadensersatz nach Art. 82 DSGVO.

Die Unterstellung einer Nähe zur fraglichen Partei habe bei ihm ein großes Ärgernis verursacht und zu einem Vertrauensverlust sowie zu einem Gefühl der Bloßstellung geführt.

Dass die Aggregation von Informationen über demographische und soziale Umstände und deren algorithmusbasierte Auswertung zur Feststellung eines politischen Spektrums datenschutzwidrig, da ohne Einwilligung erfolgt war, stellte österreichische Justiz unzweideutig fest.

Problematisch sah der Oberste Gerichtshof, der als letzte Instanz mit dem Ersatzbegehren befasst war, aber die Auslegung des Art. 82 DSGVO als Anspruchsgrundlage für den Schadensersatz.

Die Vorschrift besagt in den Absätzen 1 und 2 Folgendes:

1. Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
2. Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.

Er setzte daher das Verfahren aus und legte dem EuGH zur Vorabscheidung unter anderem die Fragen vor, ob

  • Anspruchsvoraussetzung für den DSGVO-Schadensersatz nur eine Verletzung von DSGVO-Bestimmungen oder auch ein konkreter Schaden ist, den der Betroffene aufgrund der Verletzung erlitten haben muss
  • Voraussetzung eines ersatzfähigen immateriellen Schadens ist, dass die Folge der Rechtsverletzung eine gewisse Erheblichkeit aufweist und über einen bloßen, durch die Datenschutzverletzung hervorgerufenen Ärger hinausgeht
Banner Unlimited Paket

II. Die Entscheidung des EuGH

Mit Urteil vom 04.05.2023 (Az. C-300/21) urteilte der EuGH auf Vorlage des Österreichischen Obersten Gerichtshofes zu den Anspruchsvoraussetzungen des DSGVO-Schadensersatzes und zum Begriff des immateriellen Schadens.

1.) Konkreter Schadenseintritt erforderlich

Auf die erste Vorlagefrage hin stellte der Gerichtshof klar, dass ein begründeter Schadensersatz nicht aus einer bloßen Verletzung der DSGVO-Bestimmungen resultieren könne.

Vielmehr müsse eine Datenschutzverletzung auch in einem tatsächlichen Schaden resultieren.

Außerdem sei ein Kausalzusammenhang zwischen Datenschutzverletzung und Schaden erforderlich, die Verletzung müsse für den Schaden also gerade ursächlich sein.

Dass es sich beim Verstoß gegen eine DSGVO-Bestimmung einerseits und einen Schaden andererseits um unterschiedliche Anspruchsvoraussetzungen handle, ergebe bereits der Wortlaut des Art. 82 Abs. 2 DSGVO sowie aus den Erwägungsgründen 75 und 85.

2.) (Wohl) keine Erheblichkeitsschwelle für immaterielle Schäden

In Bezug auf die Rechtsfrage, inwiefern die Anerkennung eines immateriellen Schadens im Sinne der DSGVO von einer gewissen Erheblichkeit abhängt, positionierte sich der EuGH weniger eindeutig.

In Anlehnung daran, dass der Schadensbegriff in der DSGVO nicht definiert sei, der Unionsgesetzgeber aber ein weites Verständnis intendiert habe, könne nicht von dem Erfordernis einer gewissen Gewichtigkeit für eine Ersatzfähigkeit ausgegangen werden.

Anderenfalls bestünde die Gefahr einer heterogenen Handhabung des Schadensersatzanspruches in den verschiedenen Mitgliedsstaaten dadurch, dass angerufene Gerichte die Kriterien der Erheblichkeit und mithin die Anerkennung oder Ablehnung der Ersatzfähigkeit unterschiedlich bewerten würden.

An dem eigentlichen Kern der Fragestellung, ob bereits ein bloß aufgrund der Datenschutzverletzung empfundenes Ärgernis einen immateriellen Schaden begründen könne, manövrierten die Richter allerdings vorbei.

Eine Aussage dazu, ob bei schwachen und vorübergehenden Emotionen im Zusammenhang mit Verstößen gegen Vorschriften über die Datenverarbeitung bereits ein immaterieller Schaden anzunehmen sei, traf der EuGH nicht.

Dies ist insbesondere deswegen problematisch, weil er im selben Urteil Rechtsverletzung und Schaden zu zwei unterschiedlichen Anspruchsvoraussetzungen erklärte.

Ließe man aber auch Gefühle eines bloßen Ärgernisses, die einer Datenschutzverletzung immanent sein und natürlich durch diese hervorgerufen werden dürften, als immateriellen Schaden gelten, würde die Dualität der Anspruchsvoraussetzungen gerade wieder verwässert bzw. sogar aufgehoben.

Insofern sprach sich auch der EuGH-Generalanwalt in seinen Schlussanträgen vom 06.10.2022 dafür aus, bloße subjektive Unmutsgefühle als Resultate einer Datenschutzverletzung nicht als hinreichenden immateriellen Schaden anzusehen.

Auch in der deutschen Rechtsprechung ist anerkannt, dass ein immaterieller Schaden nur vorliegt, wenn dem Betroffenen ein spürbarer Nachteil entstanden ist, der aus einer objektiv nachvollziehbaren, mit gewissem Gewicht erfolgten Beeinträchtigung von persönlichkeitsbezogenen Belangen resultiert.

Inwiefern daran im Lichte der Entscheidung des EuGH noch festgehalten werden kann, bleibt abzuwarten.

Schließlich äußerte sich der EuGH nicht dazu, was überhaupt als „immaterieller Schaden“ anzuerkennen sei, sondern urteilte nur, dass die Ersatzfähigkeit eines Schadens – sofern einmal angenommen – nicht von dessen Erheblichkeit abhänge.

III. Fazit

Mit Urteil vom 04.05.2023 (Az. C-300/21) entschied der EuGH über die Anspruchsvoraussetzungen des DSGVO-Schadensersatzanspruchs und die Ersatzfähigkeit immaterieller Schäden.

Während das Gericht eindeutig feststelle, dass nicht bereits eine bloße Datenschutzverletzung zum Schadensersatz berechtige, sondern vielmehr durch die Verletzung auch ein konkreter und kausaler Schaden eingetreten sein müsse, wich es der sehr entscheidungserheblichen Frage danach, was als immaterieller Schaden anzuerkennen sei, aus.

Der EuGH urteilte insofern, dass die Ersatzfähigkeit eines immateriellen Schadens nicht von einer gewissen Erheblichkeit abhänge, hielt sich ob der Frage, inwiefern bereits ein bloßes Unmutsgefühl über eine erlittene Datenschutzverletzung die Annahme eines Schadens rechtfertigen könne, bedeckt.

Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .

Link kopieren

Als PDF exportieren

Drucken
|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

0 Kommentare

Beiträge zum Thema

Ist die Aufzeichnung von Kundentelefonaten erlaubt?
(30.11.2024, 08:07 Uhr)
Ist die Aufzeichnung von Kundentelefonaten erlaubt?
Müssen unbestätigte Newsletter-Adressen gelöscht werden?
(19.11.2024, 15:12 Uhr)
Müssen unbestätigte Newsletter-Adressen gelöscht werden?
Einbindung externer Videos per QR-Code datenschutzrechtlich zulässig?
(14.11.2024, 14:07 Uhr)
Einbindung externer Videos per QR-Code datenschutzrechtlich zulässig?
DSGVO: Müssen Kunden ihr Konto im Shop selbst löschen können?
(24.10.2024, 08:34 Uhr)
DSGVO: Müssen Kunden ihr Konto im Shop selbst löschen können?
LG Frankenthal: Wohnraumfotos im Online-Exposé müssen freigegeben sein
(01.08.2024, 14:29 Uhr)
LG Frankenthal: Wohnraumfotos im Online-Exposé müssen freigegeben sein
Das Recht auf Datenlöschung nach der DSGVO mit Mustermitteilungen
(19.06.2024, 11:21 Uhr)
Das Recht auf Datenlöschung nach der DSGVO mit Mustermitteilungen
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder
speichern

Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.

Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.

Ihre IT-Recht Kanzlei
Vielen Dank!

Fragen oder Anregungen?

Kontaktieren Sie uns:
IT-Recht Kanzlei
Kanzlei Keller-Stoltenhoff, Keller
Alter Messeplatz 2
Tel.: +49 (0)89 / 130 1433-0
Fax: +49 (0)89 / 130 1433-60
E-Mail: info@it-recht-kanzlei.de
© 2004-2024 · IT-Recht Kanzlei