Liebe Nutzer,

für ein optimales und schnelleres Benutzererlebnis wird als Alternative zum von Ihnen verwendeten Internet Explorer der Browser Microsoft Edge empfohlen. Microsoft stellt den Support für den Internet Explorer aus Sicherheitsgründen zum 15. Juni 2022 ein. Für weitere Informationen können Sie sich auf der Seite von -> Microsoft informieren.

Liebe Grüße,
Ihr ifb-Team

EuGH: Schadenersatz nach DSGVO nur bei tatsächlichem Schaden

Der bloße Verstoß gegen die Vorschriften der Datenschutzgrundverordnung (DSGVO) allein genügt nicht, um bereits einen Schadenersatzanspruch zu begründen. Hierfür muss beim Betroffenen unter anderem ein konkreter Schaden vorliegen.

Europäischer Gerichtshof, Urteil vom 04. Mai 2023, C-300/21

ifb-Logo
Redaktion
Stand:  13.6.2023
Lesezeit:  02:00 min
Teilen: 

Das ist passiert:

Ein österreichischer Staatsangehöriger forderte von der österreichischen Post AG immateriellen Schadenersatz. Diese hatte durch einen Algorithmus Parteipräferenzen ermittelt. Grundlage waren unter anderem soziodemografische Merkmale, welche wiederum auf der jeweiligen Wohnanschrift basierten. Tatsächlich wurden auch die Präferenzen des Klägers durch dieses Vorgehen ermittelt, wonach er einer bestimmten Partei der österreichischen Politik zugeneigt sei. Die Daten der Hochrechnung wurden nicht an Dritte weitergegeben. In die Verarbeitung hatte der Mann jedoch nicht eingewilligt, auch war er „erbost und beleidigt“ über seine angebliche Parteiaffinität. Daher forderte er gem. Art. 82 DSGVO Schadenersatz in Höhe von 1.000 Euro von der österreichischen Post. Der Oberste Gerichtshof legte den Fall dem Europäischen Gerichtshof (EuGH) mit der Frage vor, ob die bloße Verletzung von Vorschriften der DSGVO bereits für die Begründung eines Schadenersatzanspruches ausreiche, oder aber ob ein immaterieller Schaden konkreter darzulegen sei. 

Das entschied das Gericht:

Der EuGH stellte fest, dass ein tatsächlich entstandener Schaden Voraussetzung für die Geltendmachung eines Schadenersatzanspruches ist. So müssen nach dem Gesetzeswortlaut, so der EuGH, drei konkrete Voraussetzungen vorliegen: Erstens müsse ein Verstoß gegen die DSGVO vorliegen. Zweitens müsse ein materieller oder immaterieller Schaden aus diesem Verstoß resultiert sein. Zu guter Letzt habe ein Kausalzusammenhang zwischen dem Schaden und dem Verstoß vorzuliegen. Dabei sei es unerheblich, ob eine gewisse Erheblichkeit des Schadens eingetreten sei, vielmehr sei der Begriff „Schaden“ weit auszulegen. Daneben enthalte die DSGVO keine Bestimmungen für die Ermittlung einer Schadenshöhe, sondern dies sei Aufgabe des Rechts der einzelnen Mitgliedsstaaten. 

Hintergrund und Bedeutung für die Praxis:

Einige deutsche Gerichte beantworteten die Frage, mit der sich der EuGH konfrontiert sah, in der Vergangenheit anders (siehe z.B. 10.000 Euro Schadensersatz wegen Verletzung der DSGVO-Auskunftspflicht (betriebsrat.de)). Der EuGH klärte damit eine wichtige Frage im Umgang mit Datenschutzverstößen. Offen bleibt, welche Kriterien für die Bezifferung eines immateriellen Schadens herangezogen werden können und was überhaupt unter den Begriff „immaterieller Schaden“ fällt. Erwägungsgrund 85 kann hier Anhaltspunkte liefern, wonach u.a. der „Verlust der Kontrolle über personenbezogene Daten“ einen materiellen oder immateriellen Schaden darstellen kann. Diese Argumentation kann bei den zahlreich anhängigen Klagen mit Facebook noch eine wichtige Rolle einnehmen. 
(sts)

Diese Artikel könnten Sie auch interessieren

Seminarvorschlag