EuGH: Bloßer Verstoß gegen die DSGVO nicht ausreichend für Schadensersatz (Urt. v. 04.05.2023, Az. C-300/21)

Insbesondere über das Erfordernis eines „Schadens“ hatte der EuGH nach Vorlage des Obersten Gerichtshof (Österreich) zu entscheiden.

Im vorgelegten Fall hatte ein Rechtsanwalt gegen die Österreichische Post AG (im Folgenden: Post) unter anderem einen Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DSGVO eingeklagt. Ihm sei dadurch, dass die Post Daten verarbeitet habe, ein immaterieller Schaden entstanden.

Die Post hatte mit Hilfe eines Algorithmus Informationen über politische Affinitäten der Bevölkerung gesammelt (sog. „Zielgruppenadressen“), um diese an verschiedene Organisationen zu verkaufen (Urt. v. 04.05.2023, Az. C-300/21, Rn. 11). Auch der Kläger wurde, anhand der dem Algorithmus zugrundeliegenden sozialen und demografischen Merkmalen, bezüglich seiner potenziellen politischen Affinität vom Algorithmus eingestuft. Verkauft wurden seine Daten dahingegen nicht (Ebd.).

Durch die mangels Zustimmung mit der DSGVO in Widerspruch stehenden Verarbeitung fühlte sich der Kläger hinsichtlich der Zuordnung zu einer Partei beleidigt. Daneben habe er ein großes Ärgernis, einen Vertrauensverlust und ein Gefühl der Bloßstellung empfunden (Urt. v. 04.05.2023, Az. C-300/21, Rn. 12).

Nachdem das zuständige Landgericht die Klage abgewiesen und das Oberlandesgericht die Auffassung des Landgerichts bestätigt hatte, legte der Kläger vor dem Obersten Gerichtshof in Österreich Revision ein. Dieser legte schließlich dem EuGH drei Fragen zur Auslegung vor.

Ist das tatsächliche Erleiden eines Schadens für einen Anspruch aus Art. 82 Abs. 1 DSGVO zwingend erforderlich?

Insbesondere nach der Auslegung des Wortlauts sowie der Systematik von Art. 82 Abs. 1 DSGVO kam der EuGH zu dem Ergebnis, dass die drei Voraussetzungen: Verstoß gegen die DSGVO, Schaden und Kausalzusammenhang kumulativ vorliegen müssen (Urt. v. 04.05.2023, Az. C-300/21, Rn. 32).

So nenne der Wortlaut explizit das Wort „Schaden“, was den Art. 82 Abs. 1 DSGVO insbesondere von den Art. 77 und 78 DSGVO unterscheide, die keinen Schaden erfordern würden. Daneben ergäbe sich diese Auslegung auch aus einer Erläuterung der Erwägungsgründe 75, 85 und 146.

Ist bei der Bemessung des Schadensersatzes auf nationale Vorschriften zurückzugreifen?

Unter Verweis auf seine ständige Rechtsprechung stellte der EuGH hinsichtlich der zweiten Frage klar, dass bezüglich der verfahrensrechtlichen Modalitäten auf die innerstaatlichen Vorschriften zurückzugreifen sei. Dabei müssten jedoch die Grundsätze der Äquivalenz und der Effektivität berücksichtigt werden (Urt. v. 04.05.2023, Az. C-300/21, Rn. 52-59).

Steht Art. 82 Abs. 1 DSGVO nationalen Vorschriften, die zum Ersatz immaterieller Schäden ein Überschreiten einer Erheblichkeitsschwelle vorsehen, entgegen?

Hinsichtlich dieser Frage wies der EuGH zunächst darauf hin, dass mangels Verweises auf das Recht der Mitgliedstaaten die in Art. 82 Abs.1 DSGVO aufgeführten Begriffe als autonome Begriffe des Unionsrechts zu sehen sind (Urt. v. 04.05.2023, Az. C-300/21, Rn. 30, 44).

Darüber hinaus legte der EuGH anhand des Wortlauts des Art. 82 Abs. 1 DSGVO weiter aus, dass eine Erheblichkeitsschwelle keinerlei Anknüpfung im Wortlaut findet (Urt. v. 04.05.2023, Az. C-300/21, Rn. 45) . Daneben wurden auch die Erwägungsgründe 146 und 10 zur Auslegung herangezogen. Nach Erwägungsgrund 10 soll nämlich unionsweit ein gleichmäßiges und hohes Schutzniveau gewährleistet werden, weshalb für eine gleichmäßige und einheitliche Anwendung der Vorschriften zu sorgen sei (Urt. v. 04.05.2023, Az. C-300/21, Rn. 48).

Vor diesem Hintergrund stehe Art. 82 Abs. 1 DSGVO einer nationalen Regelung mit Erheblichkeitsschwelle entgegenstehe. Gleichwohl müsse der Geschädigte den Nachweis für den Schadenseintritt erbringen (Urt. v. 04.05.2023, Az. C-300/21, Rn. 50)

Fazit

Zusammenfassend kann demnach festgehalten werden, dass es nach Ansicht des EuGH für die Begründung eines Schadensersatzes, eines Verstoßes gegen die DSGVO bedarf, durch welchen dem Anspruchsteller kausal ein nicht notwendigerweise erheblicher Schaden entstanden sein muss.

Über Janika Sewing, Wiss. MA

Janika Sewing ist als wissenschaftliche Mitarbeiterin seit dem 01.04.2021 für die Kanzlei tätig und unterstützt diese in den Bereichen der IT-Vertragsgestaltung und Datenschutzrecht.