Der Europäische Gerichtshof (EuGH) hat am 4. Mai 2023 ein seit längerem erwartetes Urteil im Hinblick auf Schadensersatz bei DSGVO-Vorfällen gefällt. Die vorgelegte Frage, ob eine Person einen Anspruch auf Schadensersatz bei Datenschutzverstößen hat, wurde von den Richtern mit Ja beantwortet. Eine Erheblichkeitsschwelle gibt es nicht – allerdings muss der Person ein konkreter Schaden durch den Datenschutzverstoß entstanden sein.
Anzeige
Verfahren aus Österreich
In einem Verfahren ging es um einen Datenschutzverstoß durch die Österreichische Post, die massenhaft Daten über Bewohner in Österreich gesammelt hatte. Dazu gehörten Adressen und demografische Daten, sowie auch daraus abgeleitete Präferenzen für politische Parteien. Diese Daten bot die Post rechtswidrig Werbekunden (u.a. österreichischen Parteien) an. Eine Strafe der Behörden wegen eines Datenschutzverstoßes wurde später wegen eines Formfehlers aufgehoben.
Ein Betroffener hatte aber geklagt und es gab einen Vergleich mit 2.000 weiteren Betroffenen. Der Kläger verlangte für die rechtswidrige Verarbeitung seiner Daten Schadenersatz. Diese Klage ging bis vor den österreichischen Obersten Gerichtshof, der dann vom EuGH eine Klärung erbat, ob für Schadenersatzansprüche nicht eine "Erheblichkeitsschwelle" bestehe, also ein schwerwiegender Schaden nachgewiesen werden müsse.
(Quelle: Pexels CC0 Lizenz)
Anzeige
Das EuGH-Urteil
In seinem Urteil vom 4. Mai 2023 in der Rechtssache C‑300/21 erkannten die Richter des EuGH an, dass es keine Schwelle der Erheblichkeit gebe, ab dieser ein Schadensersatz auf Grund einer Datenschutzverletzung geltend gemacht werden könne. Allerdings reicht ein bloßer Verstoß gegen die Bestimmungen der Datenschutzgrundverordnung (DSGVO) nicht ausreicht, um einen Schadenersatzanspruch zu begründen. Vielmehr muss der Kläger einen Schaden erlitten haben. Die Höhe des Schadensersatzes kann von nationalen Gerichten festgelegt werden.
Ich bin über obigen Tweet von Dennis Kipker auf dieses EuGH-Urteil gestoßen – welches bei netzpolitik.org in diesem Beitrag etwas detaillierter mit den Hintergründen aufgeschlüsselt wird.
Die englischsprachige Pressemitteilung des EuGH, wo das Urteil erläutert wird, findet sich hier. Laut Pressemitteilung des EuGH machte der betroffene Bürger, der in die Verarbeitung seiner personenbezogenen Daten nicht eingewilligt hatte, geltend, er fühle einen Vertrauensverlust und ein Gefühl der Bloßstellung aufgrund der Tatsache, dass zwischen ihm und der fraglichen Partei eine besondere Affinität hergestellt worden sei. Im Rahmen des Ersatzes des immateriellen Schadens, den er er erlitten zu haben behauptet, begehrt er vor den österreichischen Gerichten die Zahlung eines Betrags von 1 000 Euro.
Der österreichische Oberste Gerichtshof äußerte seine Zweifel am Umfang des Schadensersatzanspruchs, den die DSGVO für materielle oder immaterielle Schäden aus Verstößen gegen diese Verordnung vorsieht. Das Gericht fragt den EuGH, ob die bloße Verletzung der Datenschutz-Grundverordnung ausreicht, um diesen Anspruch zu begründen, und ob ein Ersatz nur möglich ist, wenn der erlittene immaterielle Schaden einen bestimmten Schweregrad erreicht.
Im Urteil stellt der EuGH klar, dass Schadensersatz von drei kumulativen Voraussetzungen abhängt: Verstoß gegen die Datenschutz-Grundverordnung, materieller oder immaterieller Schaden infolge dieses Verstoßes und Kausalzusammenhang zwischen dem Schaden und dem Verstoß. Daher begründet nicht jeder Verstoß gegen die Datenschutz-Grundverordnung für sich genommen einen Anspruch auf Entschädigung. Jede andere Auslegung würde dem klaren Wortlaut der Datenschutz-Grundverordnung zuwiderlaufen, so die Richter.
Außerdem wird in den Erwägungsgründen der Datenschutz-Grundverordnung, die sich speziell auf das Recht auf Entschädigung beziehen, ausgeführt, dass ein Verstoß gegen die DSGVO nicht notwendigerweise zu einem Schaden führt. Es muss ein Kausalzusammenhang zwischen dem fraglichen Verstoß und dem erlittenen Schaden bestehen, um einen einen Anspruch auf Schadensersatz zu begründen.
Das Urteil lässt sich grob so zusammenfassen: Bagatellgrenzen, unterhalb denen es keinen Schadensersatz gibt, haben die Richter am EuGH verworfen. Allerdings bedingt ein reiner Verstoß gegen die DSGVO keinen Schadensersatz – ein Kläger muss nachweisen, dass ihm ein materieller oder immaterieller Schaden entstanden ist. Da die DSGVO keine Regeln hinsichtlich der Höhe des Schadensersatzes beinhaltet, obliegt es den Gerichten der Mitgliedsstaaten, diese Beträge festzulegen.
Max Schrems von noyb hat in dieser Pressemitteilung den Umstand begrüßt, dass es keinen Schwellenwert für den Schadensersatz bei DSGVO-Verstößen gebe. Wie bei jeder Schadensersatzklage verlangt der EuGH, dass eine Rechtswidrigkeit, ein Schaden und eine Kausalität vorliegen. Wenig überraschend, stellt der EuGH stellt fest, dass es ohne einen tatsächlichen Schaden keinen Anspruch auf Schadenersatz gibt, so Schrems. Max Schrems sagt: "Wir begrüßen die Klarstellungen des EuGH. Eine ganze Gruppe von Juristen hat versucht, die DSGVO umzuinterpretieren, um zu vermeiden, dass Schadenersatz an Nutzer zu zahlen ist. Der EuGH hat dem nun ein Ende bereitet. Wir sind sehr glücklich über das Ergebnis."
Schrems weist auf die Gleichwertigkeit mit anderen immateriellen Ansprüchen hin. Der EuGH habe auch betonte, dass die nationalen DSGVO-Verfahren nicht komplizierter sein dürfen als andere nationale Schadensersatzansprüche. "Wir haben passende Gesetze und Abläufe, um mit immateriellen Schäden in anderen Rechtsbereichen umzugehen. Die nationalen Gerichte können jetzt kein komplizierteres System für DSGVO-Klagen entwickeln."
Bleibt nun die spannende Frage, wie deutsche Gerichte oder in anderen europäischen Ländern im Einzelfall bei "immateriellen Schäden" entscheiden. Mir fällt da der Sachverhalt der Abmahnungen mit Schadensersatzforderungen wegen Google Fonts ein, wo diese auf Grund eines "vermuteten Datenschutzverstoßes", ermittelt durch Bots, geltend gemacht wurde (siehe Links am Artikelende). Hier dürften Kläger wohl eher leer ausgehen. Das Thema wird uns weiter beschäftigen.
Ähnliche Artikel:
Wissen: Google Fonts auf Webseiten, Abmahnung, Prüfung-Fallen
Einstweilige Verfügung gegen Google Font-Abmahner vom LG Baden-Baden
Achtung: Neue Google Fonts-Abmahn-Welle (Oktober 2022)
Neues zu Google Fonts-Abmahnungen: Googles veröffentlicht Erklärung
Neues zu Google Fonts-Abmahnungen: Razzia bei Berliner Abmahnanwalt
Schritte gegen Google-Fonts Abmahner Dikigoros Nikolaos Kairis durch Anwaltskammer Düsseldorf
Google Fonts: Abmahnern geht es an den Kragen, Stand in Deutschland und Österreich
Anzeige
Die Österreichische Post ist kein Einzelfall. Die Deutsche Post scannt Briefe offenbar seit sehr vielen Jahren, sammelt Adressdaten und verscherbelt sie. Sonst gäbe es nicht solche Vorfälle:
h**ps://www.rnd.de/panorama/tote-bekommen-schreiben-uber-corona-impfung-einer-ist-vor-39-jahren-gestorben-PUUKWHYFVSOD7E3TDFGWXTJTGA.html
Deutsche Einwohnermeldämter verkaufen doch die Daten der Bürger auch alle, wenn nicht aktiv dagegen widersprochen wird…
Meiner Meinung nach müsste der Erstattungsbetrag neben dem nachweisbaren Schaden zusätzlich um die Höhe des mit den Daten gemachten Umsatz (nicht nur Gewinn) erhöht werden.
Solange unsere Ämter das verkaufen dürfen interessiert mich die DSGVO nicht!
Da bleibt ja dann weiter das Betätigungsfeld für die Kanzleien erhalten, die bei Facebook, Youtube usw. die Gutgläubigen mit Versprechungen auf grandiose Schadensersatzzahlungen ködern und sich dabei nur selbst die Taschen vollmachen…