Der EuGH hat klargestellt, dass ein bloßer Verstoß gegen die DSGVO für sich allein nicht ausreicht, um einen Schadenersatzanspruch zu begründen. Es bedarf auch hier eines Schadensnachweises und eines Kausalzusammenhangs. Eine Erheblichkeitsschwelle für den Ersatz immaterieller Schäden würde allerdings der DSGVO widersprechen.
Das Urteil des EuGH vom 4.5.2023, C-300/21 – UI/ Österreichische Post AG, erging zu einem Vorabentscheidungsersuchen des OGH (6 Ob 35/21x) betreffend eine auf Art 82 DSGVO gestützte Schadenersatzklage einer „betroffenen Person“ gegen die – hier als Adressenhändlerin tätige – Österreichische Post AG (vgl Art 82 Abs 1 DSGVO: „Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter“). Der Kläger begehrte wegen der ohne seine Einwilligung erfolgten, rechtswidrigen Speicherung von Daten (ohne Weitergabe an Dritte) zu seiner angeblichen (politischen) Parteiaffinität und dem daraus resultierenden „großen inneren Ungemachs“ (Verärgerung, Beleidigung etc) einen immateriellen Schadenersatz in Höhe von EUR 1.000.-.
Da die Vorinstanzen den Schadenersatzanspruch mangels eines tatsächlich eingetretenen und „erheblichen“ ideellen Schadens abgewiesen hatten, wandte sich der Betroffene an den OGH. Dieser richtete folgende Fragen an den EuGH:
1. Erfordert der Zuspruch von Schadenersatz nach Art 82 DSGVO neben einer Verletzung von Bestimmungen der DSGVO auch, dass der Kläger einen Schaden erlitten hat oder reicht bereits die Verletzung von Bestimmungen der DSGVO als solche für die Zuerkennung von Schadenersatz aus?
2. Bestehen für die Bemessung des Schadenersatzes neben den Grundsätzen der Effektivität und Äquivalenz weitere Vorgaben des Unionsrechts?
3. Ist die Auffassung mit dem Unionsrecht vereinbar, dass Voraussetzung für den Zuspruch immateriellen Schadens ist, dass eine Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht vorliegt, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgeht?
Nachdem zuvor bereits der Generalanwalt einen Schadenersatzanspruch wegen der bloßen Verletzung der DSGVO (bei reinem Kontrollverlust über die eigenen Daten) bzw wegen bloßem „Ärger“ verneint hatte (wobei es allerdings Sache der nationalen Gerichte sei, herauszuarbeiten, wann das subjektive Unmutsgefühl aufgrund seiner Merkmale im Einzelfall als immaterieller Schaden angesehen werden kann), stellte der EuGH zu den einzelnen Fragen in der mit Spannung erwarteten Entscheidung – zusammengefasst – Folgendes fest:
Zur ersten Frage: Die Begriffe „materieller oder immaterieller Schaden“ und „Schadenersatz“ in Art 82 Abs 1 DSGVO sind autonome Begriffe des Unionsrechts, die in allen Mitgliedstaaten einheitlich auszulegen sind. Aus dem Wortlaut dieser Bestimmung geht klar hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen für den hier vorgesehenen Schadenersatzanspruch darstellt – ebenso wie das Vorliegen eines Verstoßes gegen die DSGVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind. Daher kann nicht davon ausgegangen werden, dass jeder „Verstoß“ gegen die DSGVO für sich genommen den Schadenersatzanspruch der betroffenen Person eröffnet. Weiters ist hervorzuheben, dass die gesonderte Erwähnung eines „Schadens“ und eines „Verstoßes“ in Art 82 Abs 1 DSGVO überflüssig wäre, wenn der Unionsgesetzgeber davon ausgegangen wäre, dass ein Verstoß gegen die Bestimmungen der DSGVO für sich allein in jedem Fall ausreichend wäre, um einen Schadenersatzanspruch zu begründen. Auch aus den Erwägungsgründen 75, 85 und 146 der DSGVO ergibt sich erstens, dass der Eintritt eines Schadens im Rahmen einer solchen Verarbeitung nur potenziell ist, zweitens, dass ein Verstoß gegen die DSGVO nicht zwangsläufig zu einem Schaden führt, und drittens, dass ein Kausalzusammenhang zwischen dem Verstoß und dem entstandenen Schaden bestehen muss.
Zur zweiten Frage: Nach ständiger Rechtsprechung ist es Sache der innerstaatlichen Rechtsordnung jedes Mitgliedstaats, die verfahrensrechtlichen Modalitäten der Rechtsbehelfe, die zum Schutz der Rechte der Bürger bestimmt sind, festzulegen, vorausgesetzt, dass diese Modalitäten bei unter das Unionsrecht fallenden Sachverhalten nicht ungünstiger sind als diejenigen, die gleichartige Sachverhalte regeln, die dem innerstaatlichen Recht unterliegen (Äquivalenzgrundsatz), und dass sie die Ausübung der durch das Unionsrecht verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren (Effektivitätsgrundsatz). Die DSGVO enthält keine Bestimmung, die sich den Regeln für die Bemessung des Schadenersatzes widmet. Daher sind die Ausgestaltung von Klageverfahren, die den Schutz der dem Einzelnen aus Art 82 DSGVO erwachsenden Rechte gewährleisten sollen, und insbesondere die Festlegung der Kriterien für die Ermittlung des Umfangs des in diesem Rahmen geschuldeten Schadenersatzes in Ermangelung einschlägiger unionsrechtlicher Vorschriften Aufgabe des Rechts des einzelnen Mitgliedstaats. In Anbetracht der Ausgleichsfunktion des hier vorgesehenen Schadenersatzanspruchs ist eine auf diese Bestimmung gestützte finanzielle Entschädigung als „vollständig und wirksam“ anzusehen, wenn sie es ermöglicht, den aufgrund des Verstoßes gegen diese Verordnung konkret erlittenen Schaden in vollem Umfang auszugleichen, ohne dass ein solcher vollumfänglicher Ausgleich die Verhängung von Strafschadenersatz erfordert.
Zur dritten Frage: Art 82 DSGVO beschränkt sich auf die ausdrückliche Feststellung, dass nicht nur ein „materieller Schaden“, sondern auch ein „immaterieller Schaden“ Anspruch auf Schadenersatz eröffnen kann, ohne dass eine wie auch immer geartete Erheblichkeitsschwelle genannt wird. Auch der Zusammenhang, in den sich diese Bestimmung einfügt, deutet darauf hin, dass der Schadenersatzanspruch nicht davon abhängt, dass der betreffende Schaden eine gewisse Erheblichkeit erreicht. Es stünde zu dem vom Unionsgesetzgeber gewählten, weiten Verständnis des Begriffs „Schaden“ im Widerspruch, wenn dieser Begriff auf Schäden mit einer gewissen Erheblichkeit beschränkt wäre. Würde der Ersatz eines immateriellen Schadens von einer Erheblichkeitsschwelle abhängig gemacht, könnte dies die Kohärenz der mit der DSGVO eingeführten Regelung beeinträchtigen, da die graduelle Abstufung einer solchen Schwelle, von der die Möglichkeit, Schadenersatz zu erhalten, abhinge, je nach Beurteilung durch die angerufenen Gerichte unterschiedlich hoch ausfallen könnte. Allerdings bedeutet diese Auslegung nicht, dass eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden im Sinne von Art 82 dieser Verordnung darstellen.
Nutzen Sie die Vorteile einer Mitgliedschaft bei der ÖVMitgliedsvorteile
Aufsätze und Entscheidungen mit Anmerkungen von Experten
jährlich 6 HefteAbo Bestellung bei ManzEditorial/Inhalt aktuelle Ausgabe
09.04.2025
WKO, Rudolf Sallinger Saal, Wiedner Hauptstraße 63, 1040 WienMehrBericht vergangenes Seminar