Der Europäische Gerichtshof hat am 4.5.2023 ein Grundsatzurteil zum immateriellen Schadensersatz nach Artikel 82 Absatz 1 DSGVO gefällt. Der Tenor lautet: Die Verletzung von DSGVO-Vorschriften muss nicht zwingend einen Schadensersatzanspruch begründen. Wenn dieser allerdings festgestellt wird, hängt er nicht von der Erheblichkeit des immaterielle Schadens ab (EuGH, Urteil vom 04.05.2023, Rs.: C-300/21).
DSGVO und Schmerzensgeld (immaterieller Schadensersatz)
Der EuGH hatte in letzter Instanz über die Klage eines Österreichers gegen die Österreichische Post zu entscheiden. Diese erhebt schon seit 2017 Daten zur Parteienaffinität der Bürgerinnen und Bürger, holt aber nicht deren Einwilligung dazu ein. Die Präferenzen des Klägers ordnete sie ins politisch rechte Spektrum ein. Nach dem von ihr verwendeten Algorithmus sympathisiere er mit der rechtsgerichteten FPÖ. Dies empfand der Kläger nicht nur als beschämend und beleidigend, sondern auch als erheblich kreditschädigend. Er verlangte daher per Klage 1.000 Euro Schadensersatz immateriellen Schadensersatz wegen Verstoß gegen Artikel 82 DSGVO. Die Richter der Vorinstanzen zweifelten die Entstehung eines Schadens an: Die Post verarbeitet die Daten nur intern und gibt sie nicht an Dritte weiter. Der Fall ging in Berufung bis zum ÖOGH (Österreichischer Oberster Gerichtshof). Dieser legte ihn dem EuGH zur Vorabentscheidung vor.
Behandelte Grundsatzfragen durch den EuGH
Der ÖOGH hatte in seiner Anfrage an den EuGH drei Fragen formuliert:
#1 Begründet ein bloßer DSGVO-Verstoß einen Schadenersatzanspruch?
Diese Frage beantwortet der EuGH mit einem Jein. Generell lässt sich der Schadensersatzanspruch aus dem Verstoß herleiten, er ist allerdings an drei Voraussetzungen geknüpft:
- nachgewiesener DSGVO-Verstoß
- feststellbarer materieller oder immaterieller Schaden
- Kausalzusammenhang zwischen Verstoß und Schaden
#2 Muss ein immaterieller Schaden für den Schadensersatzanspruch einen definierbaren Grad an Erheblichkeit aufweisen?
Nein, urteilt der EuGH. Das geht aus Artikel 82 DSGVO nicht hervor. Vielmehr ist der Schadensbegriff weit gefasst. Formuliert wird das unter anderem im Erwägungsgrund 146 der DSGVO. Die graduelle Abstufung soll auch deshalb vermieden werden, weil sich nur dadurch eine einheitliche Rechtsprechung in der EU erreichen lässt, die zur Grundintention der DSGVO gehört.
#3 Welche unionsrechtlichen Vorgaben legen die Höhe des Schadenersatzes fest?
Der EuGH stellt fest, dass es keine DSGVO-Bestimmungen zur Schadensersatzhöhe gibt. Dies obliegt den Gerichten der EU-Staaten. Sie müssen dabei die Grundsätze der Äquivalenz, der Effektivität und der Ausgleichsfunktion eines Schadenersatzanspruches beachten. Allerdings muss der geleistete Schadenersatz den erlittenen Schaden vollständig ausgleichen. Eine feste Schadensersatzhöhe lässt sich wegen unterschiedlicher Einkommen und Kosten in einzelnen Mitgliedsstaaten nicht festlegen.
Aufgabenstellung für nationale Gerichte
Die nationalen Gerichte der EU müssen nun praxistaugliche Kriterien für die Definition eines immateriellen Schadens und für die Höhe des Schadensersatzes entwickeln. Zu befürchten ist dadurch eine uneinheitliche Rechtsprechung in der EU. Es liegen dem EuGH allerdings noch acht ähnliche Verfahren vor, die Gelegenheit zur weiteren Klärung der offenen Fragen bieten.