Urteil des Europäischen Gerichtshofs

Verstoß gegen DSGVO allein reicht nicht für Schadenersatz

ck
Der bloße Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) begründet keinen Schadenersatz. Ein Schaden muss vorliegen und zwischen dem Verstoß und dem Schaden muss ein Kausalzusammenhang bestehen. Das entschied jetzt der Europäische Gerichtshof (EuGH) in Luxemburg.

In seinem Urteil stellt der EuGH fest, dass der in der DSGVO vorgesehene Schadenersatzanspruch eindeutig an drei Voraussetzungen geknüpft sei:

  1. einen Verstoß gegen die DSGVO,

  2. einen materiellen oder immateriellen Schaden, der aus diesem Verstoß resultiert,

  3. und einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß.

Dabei sei der Schadenersatzanspruch nicht auf immaterielle Schäden mit gewisser Erheblichkeit beschränkt. Die DSGVO kenne keine Erheblichkeitsschwelle und eine solche Beschränkung stünde im Widerspruch zu dem weiten Verständnis des EU-Gesetzgebers vom Begriff 'Schaden'.

Zudem führt nach dem Wortlaut der DSGVO ein Verstoß gegen die DSGVO nicht zwangsläufig zu einem Schaden und es muss einen Kausalzusammenhang zwischen dem fraglichen Verstoß und dem entstandenen Schaden geben, um einen Schadenersatzanspruch zu begründen.

Der Fall

Ab 2017 hatte die österreichische Post AG Daten der Landesbevölkerung gesammelt und daraus parteipolitische Präferenzen abgeleitet. Mithilfe eines Algorithmus hatte sie daraufhin anhand sozialer und demografischer Merkmale „Zielgruppenadressen“ definiert. Diese Daten waren für Wahlwerbezwecke von Parteien gedacht, wurden jedoch am Ende nicht an Dritte übermittelt.

Davon war auch der klagende Mann betroffen, für den eine Hochrechnung vorgenommen worden war. Er wehrte sich gegen die Zuordnung zu der fraglichen Partei: Er sei verärgert, habe einen Vertrauensverlust erlitten, fühle sich bloßgestellt und verlange daher Schadenersatz gemäß Art. 82 DSGVO in Höhe von 1.000 Euro.

Der österreichische Oberste Gerichtshof bezweifelte jedoch den Schadenersatzanspruch und wandte sich mit folgenden Fragen an den Europäischen Gerichtshof: 1. Reicht der bloße Verstoß gegen die DSGVO aus, um einen Schadenersatzanspruch zu begründen?, 2. Muss der entstandene immaterielle Schaden für den Anspruch auf Ersatz einen bestimmten Grad an Erheblichkeit erreichen? Welche EU-Vorgaben gibt es für die Festsetzung der Höhe des Schadenersatzes?

Zu den Regeln für die Bemessung des Schadenersatzes stellten die Luxemburger Richter fest, dass die DSGVO dazu keine konkretisierende Bestimmung enthält. Daher sei die Festlegung dieser Kriterien für die Ermittlung des Umfangs des Schadenersatzes Aufgabe der einzelnen Mitgliedstaaten. In diesem Zusammenhang weist der EuGH darauf hin, dass dieses Instrument einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden sicherstellen soll. Die Erheblichkeit des Schadens dürfe kein anspruchsausschließender Umstand sein.

Dem EuGH zufolge "kann nicht davon ausgegangen werden, dass jeder 'Verstoß' gegen die Bestimmungen der DSGVO für sich genommen den Schadenersatzanspruch der betroffenen Person (...) eröffnet". Voraussetzungen dafür seien "eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DSGVO, ein der betroffenen Person entstandener Schaden und ein Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden".

EuGH

Europäischer Gerichtshof
Az.: C-300/21
Urteil vom 4. Mai 2023

Melden Sie sich hier zum zm Online-Newsletter an

Die aktuellen Nachrichten direkt in Ihren Posteingang

zm Online-Newsletter


Sie interessieren sich für einen unserer anderen Newsletter?
Hier geht zu den Anmeldungen zm starter-Newsletter und zm Heft-Newsletter.