13. März 2024
Wenn personenbezogene Daten digital weitergegeben werden, liegt in der Regel eine Datenverarbeitung nach der Datenschutzgrundverordnung (DSGVO) vor. Obwohl dies in einer zunehmend digitalisierten Welt, immer öfter der Standard ist, übermitteln Verantwortliche manchmal Daten auch mündlich. Inwiefern eine mündliche Übermittlung als Datenverarbeitung zu werten ist, hat der EuGH in einem aktuellen Urteil vom 07.03.2024 entschieden. (mehr …)
4. Mai 2023
Der Europäische Gerichtshof (EuGH) urteilte am 04.05.2023 über eine wichtige Grundsatzfrage zum Schadensersatzanspruch (Rechtssache C-300/21). Dabei ging es insbesondere um die Frage, unter welchen Umständen es bei Verstößen gegen den Datenschutz zu Schadensersatzforderungen kommen kann.
Vorgeschichte
Im Jahr 2017 hatte die Österreichische Post begonnen, Informationen über die politischen Präferenzen der österreichischen Bevölkerung zu sammeln. Mithilfe eines Algorithmus wurden aus verschiedenen sozialen und demografischen Merkmalen “Zielgruppenadressen” definiert, die dann an verschiedene Organisationen verkauft wurden, um ihnen gezielte Werbung zu ermöglichen. Dabei wurden Kundendaten wie Name, Geschlecht und Alter mit verschiedenen Wahl-Statistiken kombiniert, um herauszufinden, welcher politischen Partei ihre Kunden nahestanden. Mehr als zwei Millionen Österreicher waren von diesem Vorfall betroffen.
Der Kläger, der nicht der Verarbeitung seiner personenbezogenen Daten zugestimmt hatte, fühlte sich beleidigt, als die Österreichische Post aufgrund ihrer Datenverarbeitung eine hohe Affinität zu einer bestimmten politischen Partei bei ihm feststellte. Er reichte Klage gegen die Österreichische Post ein, um die Verarbeitung seiner Daten zu stoppen und eine Entschädigung für den immateriellen Schaden zu erhalten, den er erlitten hatte. Das Landesgericht für Zivilrechtssachen Wien gab ihm in Bezug auf die Verarbeitung seiner Daten Recht, lehnte jedoch sein Schadenersatzbegehren ab.
Das Oberlandesgericht Wien bestätigte das erstinstanzliche Urteil und verwies auf die Vorschriften der DSGVO in Bezug auf die zivilrechtliche Haftung. Es stellte fest, dass ein Verstoß gegen die Vorschriften zum Schutz personenbezogener Daten nicht automatisch zu einem immateriellen Schaden führe und nur dann einen Schadenersatzanspruch begründete, wenn ein solcher Schaden eine “Erheblichkeitsschwelle” erreiche. In diesem Fall sah das Gericht keine Erheblichkeitsschwelle überschritten.
Vorlage an den EuGH
Der Oberste Gerichtshof Österreichs bestätigte die Entscheidung des Landesgerichts in Bezug auf die Unterlassungsverpflichtung der Österreichischen Post, gab jedoch dem Schadenersatzbegehren des Klägers vorerst nicht statt. Das Verfahren wurde ausgesetzt und der Gerichtshof bat nun den EuGH um Klärung der folgenden Fragen:
- Erfordert der Zuspruch von Schadenersatz nach Art. 82 DSGVO neben einer Verletzung von Bestimmungen der DSGVO auch, dass der Kläger einen Schaden erlitten hat oder reicht bereits die Verletzung von Bestimmungen der DSGVO als solche für die Zuerkennung von Schadenersatz aus?
- Bestehen für die Bemessung des Schadenersatzes neben den Grundsätzen der Effektivität und Äquivalenz weitere Vorgaben des Unionsrechts?
- Ist die Auffassung mit dem Unionsrecht vereinbar, dass Voraussetzung für den Zuspruch immateriellen Schadens ist, dass eine Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht vorliegt, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgeht?
Schadenersatzanspruch setzt Verstoß, Schaden und Kausalzusammenhang voraus
Der EuGH stellte klar, dass die Begriffe der DSGVO für die Anwendung der Verordnung als autonome Begriffe des Unionsrechts anzusehen seien, die in allen Mitgliedstaaten einheitlich auszulegen sind. Der Wortlaut von Art. 82 Abs. 1 DSGVO zeige, dass das Vorliegen eines Schadens eine der Voraussetzungen für den Schadenersatzanspruch sei, zusammen mit einem Verstoß gegen die DSGVO und einem Kausalzusammenhang zwischen dem Schaden und dem Verstoß. Eine Auslegung, dass jeder Verstoß gegen die DSGVO automatisch den Schadenersatzanspruch eröffnet, würde dem Wortlaut von Art. 82 Abs. 1 DSGVO widersprechen. Dies werde auch durch den Zusammenhang bestätigt, in den sich diese Bestimmung einfüge, sowie durch die Erläuterungen in den Erwägungsgründen 75, 85 und 146 der DSGVO.
Modalitäten müssen Äquivalenz- und Effektivitätsgrundsatz entsprechen
Das Urteil kommt zu dem Ergebnis, dass es mangels einschlägiger Unionsregeln nach dem Grundsatz der Verfahrensautonomie Sache der innerstaatlichen Rechtsordnung jedes Mitgliedstaats sei, die verfahrensrechtlichen Modalitäten der Rechtsbehelfe, die zum Schutz der Rechte der Bürger bestimmt sind, festzulegen. Dies setze allerdings voraus, dass diese Modalitäten bei unter das Unionsrecht fallenden Sachverhalten nicht ungünstiger sind als diejenigen, die gleichartige Sachverhalte regeln, die dem innerstaatlichen Recht unterliegen (Äquivalenzgrundsatz). Darüber hinaus dürften sie die Ausübung der durch das Unionsrecht verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren (Effektivitätsgrundsatz). Es sei somit Sache des vorlegenden Gerichts, festzustellen, ob die im österreichischen Recht vorgesehenen Modalitäten für die gerichtliche Festsetzung des Schadenersatzes, der aufgrund des in Art. 82 DSGVO verankerten Schadenersatzanspruchs geschuldet werde, die Ausübung der durch das Unionsrecht und insbesondere durch diese Verordnung verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren. Im Übrigen sei eine auf Artikel DSGVO gestützte finanzielle Entschädigung als „vollständig und wirksam“ anzusehen, wenn sie es ermögliche, den aufgrund des Verstoßes gegen diese Verordnung konkret erlittenen Schaden in vollem Umfang auszugleichen.
Keine Erheblichkeitsschwelle für immaterielle Schäden
Das Gericht bejaht die Frage, ob nationale Regelungen oder Praktiken, die den Ersatz eines immateriellen Schadens von einer bestimmten Erheblichkeit abhängig machen, mit Art. 82 Abs. 1 DSGVO unvereinbar sind. Die DSGVO definiere den Begriff “Schaden” nicht und lege keine Erheblichkeitsschwelle fest. Die Definition des Begriffs “Schaden” sollte den Zielen der DSGVO in vollem Umfang entsprechen. Eine Erheblichkeitsschwelle würde die Kohärenz der DSGVO beeinträchtigen, da sie je nach Beurteilung durch die Gerichte unterschiedlich hoch ausfallen könnte. Allerdings sei eine betroffene Person weiterhin verpflichtet, nachzuweisen, dass sie einen immateriellen Schaden erlitten habe.
Fazit
Das Urteil aus Luxemburg hat mehrere wichtige Aspekte der Datenschutz-Grundverordnung (DSGVO) beleuchtet. Zunächst betont das Gericht, dass das Recht auf Entschädigung gemäß der DSGVO drei kumulative Bedingungen unterliegt: Verstoß gegen die DSGVO, materieller oder immaterieller Schaden infolge dieses Verstoßes und ein kausaler Zusammenhang zwischen dem Schaden und dem Verstoß. Daher führt ein bloßer Verstoß gegen die DSGVO nicht automatisch zu einem Entschädigungsanspruch. Diese Interpretation entspricht der Formulierung und den Erwägungsgründen der DSGVO.
Zweitens hat das Gericht klargestellt, dass keine Anforderung besteht, dass der erlittene immaterielle Schaden einen bestimmten Schweregrad erreichen muss, um ein Recht auf Entschädigung zu begründen. Dies bedeutet, dass jeder Art von immateriellem Schaden, unabhängig von seiner Schwere, potenziell zu einer Entschädigung führen kann, wenn die anderen beiden Bedingungen erfüllt sind.
Die Entscheidung des Gerichts ist bedeutend, da sie bestätigt, dass das Recht auf Entschädigung für immaterielle Schäden infolge rechtswidriger Datenverarbeitung eine wichtige Sicherung der Datenschutzrechte von Einzelpersonen darstellt. Es erkennt auch die breite Auffassung zum “Schaden” an, die von der EU-Gesetzgebung übernommen wurde, zu der jegliche Art von Schaden gehört, den eine Person erleidet. Das Gericht betonte jedoch auch, dass die DSGVO keine spezifischen Regeln zur Bewertung von Schäden enthält und es den Rechtsordnungen der einzelnen Mitgliedstaaten überlassen bleibt, den Umfang der in diesem Zusammenhang zu leistenden Entschädigung festzulegen. Solange die Grundsätze der Gleichwertigkeit und Wirksamkeit eingehalten werden, sind die Mitgliedstaaten frei, die detaillierten Regeln für Maßnahmen zur Sicherung der Rechte festzulegen, die Einzelpersonen aus der DSGVO ableiten, und insbesondere die Kriterien zur Bestimmung des Umfangs der in diesem Zusammenhang zu zahlenden Entschädigung.
Insgesamt unterstreicht dieser Gerichtsbeschluss die Bedeutung des Schutzes der Datenschutzrechte von Einzelpersonen und der Gewährleistung wirksamer Abhilfemaßnahmen für jeglichen Schaden, der als Folge rechtswidriger Verarbeitung personenbezogener Daten erlitten wurde. Er hebt auch die Notwendigkeit hervor, dass die Mitgliedstaaten klare und wirksame Mechanismen zur Bestimmung von Entschädigungen in Fällen von immateriellen Schäden infolge von DSGVO-Verstößen schaffen.