EuGH-Urteil: Nicht jeder DSGVO-Verstoß rechtfertigt Schadenersatz

Nicht jede unzulässige Verwendung personenbezogener Daten rechtfertigt die Zahlung von Schadenersatz an die Betroffenen. Das hat der Europäische Gerichtshof (EuGH) in einem Urteil vom 4. Mai 2023 entschieden. Der bloße Verstoß gegen die Bestimmungen der EU-Datenschutz-Grundverordnung (DSGVO) reichte nicht aus, um einen solchen Anspruch zu begründen. Allerdings sei bei einem immateriellen Schaden nicht erforderlich, dass der Schaden "einen bestimmten Grad an Erheblichkeit erreicht" (Rechtssache C‑300/21).

Hintergrund der Klage war das Vorgehen der Österreichischen Post, die als Datenhändler auch Informationen zur politischen Einstellung ihrer Kunden verkaufte. Ein Rechtsanwalt verklagte die Post, weil er einer solchen Datenverarbeitung nicht zugestimmt habe. Der Kläger fühlte "sich dadurch beleidigt, dass ihm eine Affinität zu der fraglichen Partei zugeschrieben wurde". Die Datenspeicherung habe "bei ihm großes Ärgernis und einen Vertrauensverlust sowie ein Gefühl der Bloßstellung ausgelöst".

Der Anwalt verklagte die Post auf Unterlassung und forderte 1.000 Euro als Ersatz für den entstandenen immateriellen Schaden. Dabei bestätigten die Gerichte zwar einen Unterlassungsanspruch gegenüber der Post, wiesen aber die Schadenersatzforderungen zurück. In einem sogenannten Vorabentscheidungsersuchen wollte der Oberste Gerichtshof in Wien vom EuGH wissen, wie solche Forderungen bei Datenschutzverstößen auszulegen sind.

Viele Fragen bleiben offen

Dem EuGH zufolge "kann nicht davon ausgegangen werden, dass jeder 'Verstoß' gegen die Bestimmungen der DSGVO für sich genommen den Schadenersatzanspruch der betroffenen Person (...) eröffnet". Voraussetzungen dafür seien "eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DSGVO, ein der betroffenen Person entstandener Schaden und ein Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden".

Wie hoch dieser Schaden ausfallen muss, um entsprechende Forderungen zu legitimieren, ist den Richtern zufolge in der DSGVO nicht definiert. Unterschiedliche nationalstaatliche "Erheblichkeitsschwellen" würden jedoch zu einer unterschiedlichen Auslegung der Verordnung innerhalb der EU führen, was nicht beabsichtigt sei. Betroffene Personen müssen dennoch nachweisen können, dass ihnen durch die Folgen des DSGVO-Verstoßes ein immaterieller Schaden entstanden ist.

Die entscheidende Frage in der juristischen Praxis dürfte jedoch sein, wie hoch ein möglicher Schadenersatz ausfallen soll. Hierbei dürfen die nationalen Gerichte laut EuGH die innerstaatlichen Vorschriften anwenden. Dabei sollen die europarechtlichen "Grundsätze der Äquivalenz und der Effektivität beachtet werden".

Nach Ansicht von Juristen hat der EuGH mit seinem Urteil noch viele Fragen offen gelassen. Die vom Obersten Gerichtshof aufgeworfene Frage, ob "bloße Verärgerung" bereits als immaterieller Schaden gelten könne, bleibe damit unbeantwortet, schreibt Christian Franz, Fachanwalt für Gewerblichen Rechtsschutz, in einem Blogbeitrag.

Seiner Einschätzung nach wird "zur Begründung eines Defizits, das den Namen 'Schaden' im unionsrechtlichen Sinn verdient, regelmäßig um Informationen handeln müssen, die für den Empfänger einen Informationswert über die bloße Existenz des Betroffenen hinaus vermitteln". Franz fügt hinzu: "Soweit diese Frage von einigen erstinstanzlichen Gerichten im Fall des Facebook-Datenlecks verneint wurde, sind diese Entscheidungen unter Zugrundelegung des hier geschilderten Schadensbegriffs und unter Berücksichtigung des EuGH-Urteils nicht haltbar."

Seinen Kollegen gibt Franz den Rat, "im Fall der klageweisen Durchsetzung von Schadenersatzansprüchen von Datenleck-Opfern vorzutragen, dass und wie sehr der Betroffene sich über den Vorfall aufgeregt hat". Seiner Ansicht nach ist jedoch für die Beurteilung eines immateriellen Schadens entscheidend, ob die betroffene Person einen Kontrollverlust erlitten hat.