Mit Urteil vom heutigen Tage hat sich der EuGH das erste Mal zu den Voraussetzungen des Schadensersatzanspruchs nach Art. 82 DSGVO geäußert. Demnach genügt nicht jeder Verstoß gegen die DSGVO, der Betroffene muss auch einen Schaden erlitten haben und dieser muss auf dem Verstoß beruhen (Rechtssache C-300/21). Was als Schaden zählt, lässt der EuGH leider offen.
Geklagt hatte ein Österreicher, der sich darüber ärgerte, dass die Österreichische Post Informationen über die politischen Affinitäten der Bevölkerung sammelte und diese Daten an verschiedene Organisationen verkaufte. Die Speicherung von Daten zu seinen mutmaßlichen politischen Meinungen durch die Österreichische Post habe bei dem Kläger großes Ärgernis und einen Vertrauensverlust sowie ein Gefühl der Bloßstellung ausgelöst. Außer diesen vorübergehenden gefühlsmäßigen Beeinträchtigungen konnten die österreichischen Gerichte keinen Schaden feststellen.
Art. 82 DSGVO gewährt jeder Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen. Die Gerichte in Österreich haben die Klage insoweit abgewiesen, da es jedenfalls an der „Spürbarkeit“ des Schadens fehle, der Schaden müsse also eine gewisse Intensität erreichen, um erstattungsfähig zu sein.
Der EuGH stellt in seiner Entscheidung zum einen klar, dass nicht jeder Verstoß gegen die DSGVO zu einem Schadensersatzanspruch führt – dies ergäbe sich schon aus dem klaren Wortlaut der Vorschrift und dem Zusammenhang, in den sie sich einfügt.
Die Frage, ob der eingetretene Schaden erheblich sein muss, um zu einem Anspruch zu führen, verneint der EuGH, jedoch mit einem überraschenden Ansatz. So betonen die Richter, die Begriffe „Schaden“ und „immaterieller Schaden“ in Art. 82 DSGVO müssten unionsweit eine einheitliche Definition erhalten. Insoweit gälte EU-weit, dass bei Vorliegen eines materiellen oder immateriellen Schadens als Folge eines Datenschutzverstoßes ein Schadensersatzanspruch besteht, unabhängig vom Erreichen eines bestimmten Grads der Erheblichkeit.
Zur Schadensbemessung selbst enthalte die DSGVO jedoch keine Bestimmungen, so dass die Festlegung der Kriterien für die Ermittlung des Umfangs des geschuldeten Schadenersatzes Aufgabe des Rechts des einzelnen Mitgliedstaats sei. Hier sieht das österreichische Recht vor, dass eine rechtswidrige Datenverarbeitung nur bei Erreichen einer Erheblichkeitsschwelle einen Schadensersatzanspruch begründet. Die vom EuGH angestrebte EU-weite Vereinheitlichung des Rechts ist so nicht erreichbar, da jeder Mitgliedsstaat abweichende Regelungen zur „Erheblichkeitsschwelle“ einführen kann. Es wäre wünschenswert gewesen, dass der EuGH sich auch zu der Frage positioniert, ob die geschilderten negativen Gefühle des Klägers ausreichen, um einen Schadensersatzanspruch zu begründen.
Die Frage hat in der Praxis ganz erhebliche Bedeutung, da bspw. bei „Leaks“ (Datenabfluss) von Personendaten durch Anbieter sozialer Netze oft viele tausend Personen betroffen sind und versuchen, gerichtlich Schadensersatzansprüche geltend zu machen. Die Mehrheit der deutschen Gerichte lehnt Zahlungsansprüche bei bloßem „Unwohlsein“ derzeit ab (siehe bspw. AG München Az. 178 C 13527/22; LG Hamburg Az. 316 O 188/22; LG Bonn Az. 10 O 142/22). Daran dürfte sich nach der heutigen Entscheidung nichts ändern.