Grundsatzurteil des Europäischen Gerichtshofs zum Schadenersatz nach der DSGVO

Am 4.5.2023 hat der Europäische Gerichtshof (EuGH) ein Grundsatzurteil zur Auslegung von Schadenersatz nach Art 82 DSGVO erlassen.

Im Anlassfall begehrte der Kläger Schadenersatz von der Österreichischen Post AG. Diese hat nämlich mithilfe eines Algorithmus die Parteiaffinität des Klägers berechnet. Der Oberste Gerichtshof (OGH) urteilte, dass es sich bei der errechneten Parteiaffinität des Klägers um eine besondere Datenkategorie im Sinne des Art 9 Abs 1 DSGVO handle, da damit dem Kläger eine politische Meinung unterstellt werde, und dass die Datenverarbeitung mangels ausdrücklicher Einwilligung des Klägers rechtswidrig war (OGH 6 Ob 35/21x). Zum Schadenersatzbegehren legte der OGH dem EuGH mehrere Fragen zur Vorabentscheidung vor.

Das Urteil des EuGH zu C-300/21 liegt nunmehr vor. Die wesentlichen Aussagen daraus sind:

1. Der nach der DSGVO vorgesehene Schadenersatzanspruch ist an drei kumulative Voraussetzungen geknüpft: einen Verstoß gegen die DSGVO, einen materiellen oder immateriellen Schaden, der aus diesem Verstoß resultiert, und einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß.
2. Der bloße Verstoß gegen die DSGVO begründet keinen Schadenersatzanspruch.
3. Ersatz von immateriellem Schaden ist jedoch nicht von der Erreichung einer bestimmten Erheblichkeitsschwelle abhängig.
4. Der betroffenen Person obliegt der Nachweis, dass sie einen immateriellen Schaden erlitten hat.
5. Die Kriterien für die Bemessung der Höhe des Schadenersatzes bleibt dem Recht der Mitgliedsstaaten überlassen, wobei der Äquivalenz- und der Effektivitätsgrundsatz zu beachten sind.
6. Der aufgrund des Verstoßes gegen die DSGVO erlittene Schaden ist „in vollem Umfang“ auszugleichen.
7. Ein solcher vollumfänglicher Ausgleich erfordert nicht die Verhängung von Strafschadenersatz.

Der EuGH hat in seinem Grundsatzurteil damit klargestellt, dass ein materieller oder immaterieller Schaden für den Zuspruch von Schadenersatz vorliegen muss. Im Unterschied zur Rechtsansicht des Generalanwalts ist dafür jedoch nicht erforderlich, dass der immaterielle Schaden eine gewisse Erheblichkeit erreicht. Eine solche Erheblichkeitsschwelle stünde der einheitlichen Anwendung der DSGVO entgegen.

Offen bleibt die Frage, wann ein immaterieller Schaden vorliegt. Es scheint zumindest nicht ausgeschlossen, dass auch „bloßer Ärger“ über einen Datenschutzverstoß einen ersatzfähigen Schaden nach Art 82 DSGVO begründet. Die Gerichte der Mitgliedsstaaten werden klären müssen, wann ein ersatzfähiger Schaden vorliegt, und welche Höhe des Schadenersatzes für einen „vollständigen und wirksamen“ Ausgleich des Schadens erforderlich ist.

Der EuGH wird sich jedenfalls demnächst ein weiteres Mal zum Schadenersatz nach Art 82 DSGVO äußern. Im Verfahren zu C-340/21 geht es um die Frage des Schadenersatzes nach einem Hackerangriff („Data Breach“). Nach Ansicht des Generalanwalts haftete der Verantwortliche für mutmaßliches Verschulden und es komme eventuell der Ersatz des immateriellen Schadens in Betracht.