Erstes Urteil zum immateriellen Schadenersatz für DSGVO-Verstöße
Wien (OTS) – Im Vorlageverfahren in der Rechtssache „Österreichische Post“ stellt der Europäische Gerichtshof erstmals klar, dass bei DSGVO-Verstößen kein „Strafschadenersatz“ zusteht, immaterielle Schäden Betroffener aber unabhängig von ihrer Schwere zu ersetzen sind. Damit schiebt der EuGH der Rechtsprechung nationaler Gerichte, eine „Bagatellgrenze“ einzuziehen und die Haftung auf „erhebliche“ Schäden zu beschränken, einen Riegel vor.
Es handelt sich um das erste Urteil des Europäischen Gerichtshofs zur Haftung nach der DSGVO. Die in Artikel 82 DSGVO vorgesehene Ersatzfähigkeit immaterieller Schäden für Datenschutzverletzungen sorgte zuvor vor den nationalen Gerichten für beträchtliche Unsicherheiten. Das Urteil hat erhebliche praktische Bedeutung für eine effiziente Durchsetzung der DSGVO. Zehn weitere Vorabentscheidungsverfahren sind beim EuGH zur Thematik derzeit noch anhängig.
Im österreichischen Anlassfall hatte der Kläger über ein Auskunftsbegehren erfahren, dass die Österreichische Post AG ihm eine hohe Affinität zur Freiheitlichen Partei Österreichs (FPÖ) zugeschrieben hatte. Die Post hatte diesen Wert anhand soziodemografischer Merkmale zu Zwecken des Verkaufs an wahlwerbende Parteien errechnet, im Fall des Klägers aber nicht weitergegeben, da er sich in die österreichische Robinsonliste eingetragen hatte. Der Kläger begehrte EUR 1.000 Schadenersatz. Er sei beleidigt, erbost und verärgert über die ihm zugeschriebene Parteiaffinität; diese sei beschämend und kreditschädigend und habe bei ihm großen Ärger, einen Vertrauensverlust und ein Gefühl der Bloßstellung ausgelöst.
Die Gerichte erster und zweiter Instanz hatten die Klage mit der Begründung abgelehnt, dass der geltend gemachte immaterielle Schaden nicht „erheblich“ genug sei, um ersetzt zu werden. Der Oberste Gerichtshof hatte den EuGH daraufhin im April 2021 um Vorabentscheidung ersucht, ob für den Zuspruch von Schadenersatz nach Artikel 82 DSGVO bereits die DSGVO-Verletzung als solche ausreicht und ob eine „Erheblichkeitsschwelle“ eingezogen werden kann als Voraussetzung des Ersatzes.
Der Generalanwalt hatte in seinen Schlussanträgen vom Oktober 2022 keinerlei Bedenken gegen die Einziehung einer Erheblichkeitsschwelle. Die Schlussanträge waren von Verbraucherschutzorganisationen massiv kritisiert worden. So waren Ersatzansprüche von den nationalen Gerichten in vielen Fällen unter Verweis auf die mangelnde “Erheblichkeit” der erlittenen Gefühlsschäden abgewiesen worden. Auch in einem vom VKI im Auftrag des Sozialministeriums geführten Verfahren gegen die Österreichische Post war der immaterielle Schadenersatz verneint worden, weil die Erheblichkeitsschwelle nicht erreicht sei.
Der EuGH hat nun entschieden, dass Betroffene grundsätzlich ein Recht auf Schadenersatz haben, wenn ihre personenbezogenen Daten unrechtmäßig verarbeitet wurden. Für den Ersatz immaterieller Schäden darf keine „Geringfügigkeitsgrenze“ eingezogen werden, wie der EuGH klarstellt. Wie bei sonstigen Schadenersatzklagen auch, sind Schadenseintritt und Kausalität des Verstoßes Voraussetzungen für den Ersatzanspruch. Die Bemessung und Höhe des Ersatzanspruchs richten sich nach nationalem Recht, müssen aber den unionsrechtlichen Grundsätzen der Effektivität und Äquivalenz genügen.
„Das Urteil ist richtungsweisend für die Datenschutzrechte Betroffener und hat erhebliche praktische Bedeutung für die Durchsetzung der DSGVO. Wir begrüßen die Klarstellungen des EuGH“, resümiert Dr. Petra Leupold, Datenschutzexpertin und Juristin im VKI. „Gerade Datenschutzverstöße haben in der Regel keine greifbaren Vermögensschäden Betroffener zur Folge. Ein ‚Schwellenwert‘ für immaterielle Schäden hätte die Effektivität des Haftungsrechts de facto ausgehebelt und hat in praxi in vielen Fällen dazu geführt, dass DSGVO-Ansprüche abgewiesen wurden“, erklärt Leupold. „Der EuGH macht nun den Weg frei, dass Ansprüche Betroffener auch durchsetzbar sind. Zugleich stellt das Urteil klar, dass Kriterien für die Bemessung und Höhe des Ersatzes eine ausreichend effektive und angemessene Haftung sicherstellen müssen“, so Leupold.
SERVICE: EuGH 04.05.2023, C-300/21, Österreichische Post. Das Urteil im Volltext gibt es auf www.verbraucherrecht.at.