Die aktuelle Entscheidung des Europäischen Gerichtshofes zu Schadensersatz nach Datenschutz-Verletzungen beendet das schnelle Geschäft mit der DSGVO.
Wir beziehen uns auf die Rechtssache C-300/21: Der Europäische Gerichtshof hat zur Bewertung von Schadensersatzforderungen nach fehlerhafter oder unzulässiger Verarbeitung personenbezogener Daten ein starkes Urteil gesprochen. Dass Daten einer Person nicht gesetzeskonform verwaltet wurden, löst nach der Ansicht des Gerichts für die betroffene Person für sich genommen noch keinen Schadensersatzanspruch aus.
In der Vergangenheit nutzten Findige die Möglichkeit, im Rahmen von Abmahnungen wegen Datenschutzverstößen pauschalierten Schadensersatzforderungen zu stellen. Aber, so Fritsch: „So etwas wird es in Zukunft in der Form nicht mehr geben können, der EuGH hat diesem Vorgehen eine Absage erteilt!"
Die Österreichische Post hatte Daten über die politischen Vorlieben und Interessen der Österreicher gesammelt und Mailings an spezifische Gruppen als Dienstleistung angeboten, ohne den Käufern die Adressen zur Verfügung zu stellen. Speziell ausgearbeitete Algorithmen sollten Adresslisten generieren, damit Mailings immer in der richtigen Zielgruppe landen. Ob damit aber einem betroffenen Empfänger ein wirklicher Schaden entstanden ist, kann wohl allgemein verneint werden. So hatte es auch grundsätzlich der Oberste Gerichtshof gesehen.
Ein Kläger hatte aber ausgeführt, dass ihm durch die Zuordnung zu einer bestimmten Partei ein großes Ärgernis entstanden sei, zudem ein immenser Vertrauensverlust und ein Gefühl der Bloßstellung. Dafür wollte der Mann entschädigt werden, und zwar mit 1000 Euro.
Da der Oberste Österreichische Gerichtshof die Sache nicht eindeutig klären wollte und eine Entscheidung auf europäischer Ebene anstrebte, musste der EuGH entscheiden - und der entschied etwas unerwartet.
Fragestellung war: Kann ein bloßer Verstoß gegen die DSGVO ausreichen, um einen Schadensersatzanspruch zu begründen? Oder muss ein Schaden einen gewissen Grad der "Erheblichkeit" erreichen - also mehr als ein Gefühl oder eine Sorge betreffen und einen echten Schaden darstellen?
Der EuGH setzte sich vertieft mit dem DSGVO-Text auseinander und stellt fest, dass im verhandelten Fall keine der drei Voraussetzungen gegeben seien, die dem Kläger Schadensersatz zusprechen könnten. Weder gab es den konkreten Verstoß im Umgang mit seinen Daten, noch war ein realer Schaden nachweisbar, noch gab es einen direkten kausalen Zusammenhang zwischen dem angeblichen Schaden und dem Verstoß. Der EuGH stellt im Einklang mit dem Generalanwalt aber auf jeden Fall fest: "Ein Verstoß gegen die DSGVO führt nicht zwangsläufig zu einem Schaden und es muss ein Kausalzusammenhang zwischen dem fraglichen Verstoß und dem entstandenen Schaden bestehen, um einen Schadensersatzanspruch zu begründen.“
Zum immateriellen Schaden bleibt es aber dabei, dass die Erheblichkeit schwerlich zu messen ist.
Unsere Meinung: „Nach Verletzungen von Persönlichkeitsrechten muss der Schaden im Rahmen einer Klage von Anfang an gut und nachvollziehbar vorgetragen werden. Schadensersatz ist strategisch nur dann zu erreichen, wenn das Opfer auch den Nachweis eines eingetretenen Schadens führen kann!“