EuGH: Schadenersatz bei DSGVO-Verstößen möglich
Der Europäische Gerichtshof (EuGH) hat am Donnerstag bestätigt, dass bei einem Verstoß gegen die Datenschutzgrundverordnung (DSGVO) ein Recht auf Schadenersatz bestehen kann. Allerdings folgt dieser nicht aus einem bloßen Verstoß gegen die DSGVO – es muss auch tatsächlich ein Schaden entstanden sein.
Der Oberste Gerichtshof der EU urteilte, dass der in der DSGVO vorgesehene Schadenersatz an Voraussetzungen geknüpft ist: Es muss einen Verstoß gegen die DSGVO geben, einen daraus resultierenden materiellen oder immateriellen Schaden und einen kausalen Zusammenhang zwischen beidem.
Demnach begründet nicht jeder DSGVO-Verstoß einen Schadenersatzanspruch. Eine andere Auslegung liefe dem klaren Wortlaut der DSGVO zuwider, so der Gerichtshof.
Die Richter stellten in dem Urteil klar, dass Anspruch auf Schadenersatz auch bei einem sogenannten immateriellen Schaden bestehen kann. Dafür ist auch nicht nötig, dass der Schaden besonders groß ausfällt, wie zuvor von einigen Gerichten gefordert. Denn die DSGVO erwähne eine solche Schwelle nicht. Außerdem stünde eine solche Beschränkung mit dem Verständnis des Begriffs “Schaden” des EU-Rechts im Widerspruch.
Weiter erklärten die Richter, dass die DSGVO keine Regeln dafür enthält, wie hoch der Schadenersatz ausfallen muss. Die Kriterien für die Berechnung von solchem Schadenersatz müssen die EU-Länder festlegen, so die Richter.
Österreichische Post hatte Daten gesammelt
Hintergrund der Entscheidung ist ein Fall aus Österreich: Dort hatte die Post soziale und demografische Daten über die Bevölkerung gesammelt und daraus angebliche Neigungen von Bürgern zu politischen Parteien abgeleitet.
Ein Betroffener, dem eine hohe Affinität zur rechten FPÖ zugeschrieben wurde, hatte geklagt und 1000 Euro Schadenersatz gefordert. Seine Daten wurden laut EuGH zwar nicht an Dritte weitergeben, er hatte aber angeführt, durch die ihm zugeschriebene Affinität zu einer Partei habe er ein “großes Ärgernis und einen Vertrauensverlust sowie ein Gefühl der Bloßstellung verspürt”.
Der österreichische Oberste Gerichtshof hatte den Fall im Rahmen eines Vorabentscheidungsersuchens an den EuGH verwiesen. Auf diesem Wege können Gerichte der Mitgliedsstaaten dem EuGH Fragen zur Auslegung des Unionsrechts vorlegen. Der EuGH entscheidet nicht über den nationalen Rechtsstreit – die nationalen Gerichte müssen aber im Einklang mit den EuGH-Urteilen entscheiden.
Die Post hatte sich im Januar in dem Fall mit einem Teil der Betroffenen auf einen Vergleich geeinigt und sich bereit erklärt, insgesamt bis zu 2,7 Millionen Euro an mehr als 2000 Personen zu zahlen, die sich an einer Klage beteiligt hatten.
Gerichte hatten Ansprüche abgelehnt
Max Schrems von der österreichischen Datenschutzorganisation Noyb erklärte zu der nun ergangenen Entscheidung: “Wir begrüßen die Klarstellungen des EuGH. Eine ganze Gruppe von Juristen hat versucht, die DSGVO umzuinterpretieren, um zu vermeiden, dass Schadenersatz an Nutzer zu zahlen ist. Der EuGH hat dem nun ein Ende bereitet.”
Noyb zufolge hatten zuvor “viele nationale Gerichte” Ansprüche abgelehnt, weil eine vermeintliche “Erheblichkeitsschwelle” für immaterielle Schäden nicht erreicht wurde. Das Gericht habe nun bestätigt, dass die DSGVO eine solche Schwelle für Schadenersatz nicht verlange. (dpa / js)