Kein Schadensersatz bei bloßem Verstoß gegen die DSGVO
29. September
Nach einem Urteil des Europäischen Gerichtshofs (EuGH) v. 4.5.2023 begründet der bloße Verstoß gegen die DSGVO keinen Schadensersatzanspruch. Der EuGH stellt als Erstes fest, dass der in der DSGVO vorgesehene Schadensersatzanspruch eindeutig an drei kumulative Voraussetzungen geknüpft ist:
• einen Verstoß gegen die DSGVO,
• einen materiellen oder immateriellen Schaden, der aus diesem Verstoß resultiert und
• einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß.
Demnach eröffnet nicht jeder Verstoß gegen die DSGVO für sich genommen den Schadensersatzanspruch.
Zweitens führte der EuGH aus, dass der Schadensersatzanspruch nicht auf immaterielle Schäden beschränkt ist, die eine gewisse Erheblichkeit erreichen. Als Drittes und Letztes stellt der EuGH fest, dass die DSGVO keine Regeln für die Bemessung des Schadensersatzes enthält. Daher sind die Festlegung der Kriterien für die Ermittlung des Umfangs des in diesem Rahmen geschuldeten Schadensersatzes Aufgabe der Rechtsordnung des einzelnen Mitgliedstaats, wobei der Äquivalenz- und der Effektivitätsgrundsatz zu beachten sind. In diesem Zusammenhang betonten die Richter des EuGH die Ausgleichsfunktion des in der DSGVO vorgesehenen Schadensersatzanspruchs und wiesen darauf hin, dass dieses Instrument einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden sicherstellen soll.
In dem vom EuGH entschiedenen Fall sammelte die Österreichische Post ab dem Jahr 2017 Informationen über die politischen Affinitäten der österreichischen Bevölkerung. Mit Hilfe eines Algorithmus definierte sie anhand sozialer und demografischer Merkmale „Zielgruppenadressen“. Nun forderte ein Mann von der österreichischen Post Entschädigung für einen immateriellen Schaden in Höhe von 1.000 €, da ihm dadurch eine besondere Affinität zu der fraglichen Partei zugeschrieben worden sei, und er ein großes Ärgernis und einen Vertrauensverlust sowie ein Gefühl der Bloßstellung verspürte.