EuGH: Reiner DSGVO Verstoß begründet noch keinen Anspruch auf Schadensersatz
Ein Verstoß gegen die Datenschutzgrundverordnung (DSGVO) allein begründet keinen Schadensersatzanspruch, so hat der Europäische Gerichtshof (EuGH) entschieden. Um einen Schadensersatzanspruch geltend zu machen, muss neben dem Verstoß gegen die DSGVO ein immaterieller Schaden und ein kausaler Zusammenhang zwischen Verstoß und Schaden nachgewiesen werden. Dabei ist zu beachten, dass der Schadensersatzanspruch nicht davon abhängt, ob der entstandene immaterielle Schaden eine bestimmte Schwelle der Erheblichkeit erreicht.
Der Fall in Österreich
Im Jahr 2017 sammelte die Österreichische Post Informationen über die politischen Affinitäten der österreichischen Bevölkerung. Sie erstellte „Zielgruppenadressen“ auf der Grundlage sozialer und demografischer Merkmale. Ein Kläger, der der Verarbeitung seiner personenbezogenen Daten nicht zugestimmt hatte, fühlte sich bloßgestellt und erlebte einen Vertrauensverlust sowie Ärger, da ihm eine hohe Affinität zu einer bestimmten politischen Partei zugeschrieben wurde. Der Kläger forderte einen Schadensersatz von 1.000 Euro für den ihm angeblich entstandenen immateriellen Schaden.
Bestimmungen des EuGH
Der EuGH stellte klar, dass ein Schadensersatzanspruch neben einem Verstoß einen materiellen oder immateriellen Schaden und einen Kausalzusammenhang zwischen Schaden und Verstoß erfordert. Dies unterscheidet die Schadensersatzklage von anderen in der DSGVO vorgesehenen Rechtsbehelfen, für die das Vorliegen eines individuellen Schadens nicht nachgewiesen werden muss.
Anspruch auf Schadensersatz unabhängig von Erheblichkeit des Schadens
Weiterhin ist der Schadensersatzanspruch nicht auf immaterielle Schäden beschränkt, die eine gewisse Erheblichkeit erreichen. Eine solche Erheblichkeitsschwelle könnte die Kohärenz, der mit der DSGVO eingeführten Regelung beeinträchtigen, da die Beurteilung der Schwelle je nach Gericht variieren könnte.
Mitgliedstaaten und die Bemessung des Schadenersatzes
Hinsichtlich der Bemessung des Schadenersatzes enthält die DSGVO keine spezifischen Regeln. Es ist Sache der einzelnen Mitgliedstaaten, die Ausgestaltung von Klageverfahren und die Kriterien zur Ermittlung des Umfangs des Schadenersatzes festzulegen, wobei der Äquivalenz- und der Effektivitätsgrundsatz zu beachten sind. Der EuGH betonte die Ausgleichsfunktion des in der DSGVO vorgesehenen Schadenersatzanspruchs und wies darauf hin, dass dieses Instrument einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden sicherstellen sollte.
Quellen
https://rsw.beck.de/aktuell/daily/meldung/detail/ds-gvo-verstoss-allein-begruendet-keinen-schadensersatzanspruch