EuGH: Bloßer Verstoß gegen DSGVO begründet keinen Schadenersatzanspruch

Ab dem Jahr 2017 sammelte die Österreichische Post Informationen über die politischen Affinitäten der österreichischen Bevölkerung. Mit Hilfe eines Algorithmus definierte sie anhand sozialer und demografischer Merkmale „Zielgruppenadressen“. 

Aus den so gesammelten Daten leitete die Österreichische Post ab, dass ein bestimmter Bürger eine hohe Affinität zu einer bestimmten österreichischen politischen Partei habe. Die verarbeiteten Daten wurden jedoch nicht an Dritte übermittelt.

Der betroffene Bürger, der der Verarbeitung seiner personenbezogenen Daten nicht zugestimmt hatte, behauptet, er habe dadurch, dass ihm eine besondere Affinität zu der fraglichen Partei zugeschrieben worden sei, großes Ärgernis und einen Vertrauensverlust sowie ein Gefühl der Bloßstellung verspürt. Als Ersatz des ihm angeblich entstandenen immateriellen Schadens begehrt er vor den österreichischen Gerichten die Zahlung von 1.000 Euro.

Die Fragen des OGH an den EuGH

Der österreichische Oberste Gerichtshof äußerte Zweifel in Bezug auf den Schadensersatzanspruch, den die Datenschutz-Grundverordnung (DSGVO) für den Fall vorsieht, dass wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist. Dieses Gericht möchte vom Gerichtshof wissen, ob der bloße Verstoß gegen die DSGVO ausreicht, um einen Schadenersatzanspruch zu begründen, und ob für den Ersatz der entstandene immaterielle Schaden einen bestimmten Grad an Erheblichkeit erreichen muss.

Des Weiteren möchte es wissen, welche unionsrechtlichen Vorgaben für die Festsetzung der Höhe des Schadenersatzes bestehen.

Die Antworten des EuGH

In seinem Urteil vom 4. Mai 2023 stellt der Gerichtshof als Erstes fest, dass der in der DSGVO vorgesehene Schadenersatzanspruch eindeutig an drei kumulative Voraussetzungen geknüpft ist: einen Verstoß gegen die DSGVO, einen materiellen oder immateriellen Schaden, der aus diesem Verstoß resultiert, und einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß. Demnach eröffnet nicht jeder Verstoß gegen die DSGVO für sich genommen den Schadenersatzanspruch. Eine andere Auslegung liefe dem klaren Wortlaut der DSGVO zuwider. Zudem führt nach dem Wortlaut der Erwägungsgründe der DSGVO, die speziell den Schadenersatzanspruch betreffen, ein Verstoß gegen die DSGVO nicht zwangsläufig zu einem Schaden und muss ein Kausalzusammenhang zwischen dem fraglichen Verstoß und dem entstandenen Schaden bestehen, um einen Schadenersatzanspruch zu begründen.

Als Zweites stellt der Gerichtshof fest, dass der Schadenersatzanspruch nicht auf immaterielle Schäden beschränkt ist, die eine gewisse Erheblichkeit erreichen. In der DSGVO wird ein solches Erfordernis nicht erwähnt, und eine solche Beschränkung stünde zu dem vom Unionsgesetzgeber gewählten weiten Verständnis des Begriffs „Schaden“ im Widerspruch.

Als Drittes und Letztes stellt der Gerichtshof zu den Regeln für die Bemessung des Schadenersatzes fest, dass die DSGVO keine Bestimmung enthält, die sich diesen Regeln widmet. Daher sind die Ausgestaltung von Klageverfahren und Festlegung der Kriterien für die Ermittlung des Schadenersatzes Aufgabe des Rechts des einzelnen Mitgliedstaats.