Der Gerichtshof der Europäischen Union (EuGH) befasste sich im Wege eines Vorabentscheidungsverfahrens mit drei Grundsatzfragen der Datenschutz-Grundverordnung (DSGVO) und sorgte für mehr Verständnis von Rechtsfragen bezüglich der DSGVO. Konkret ging es in seinem Urteil vom 04.05.2023 in der Rechtssache C-300/21 um die Auslegung von Artikel (Art.) 82 DSGVO.
Anlass war die Vorlage durch den Obersten Gerichtshof Österreichs infolge eines Rechtsstreits mit der österreichischen Post AG, die seit 2017 Daten über die politische Affinität der österreichischen Bevölkerung erhob. Daraus erstellte sie mit Hilfe eines Algorithmus Zielgruppenadressen, welche auf sozialen wie auf demographischen Merkmalen beruhten. Sie verkaufte diese Daten an verschiedene Organisationen, um diesen einen zielgerichteten Versand von Werbung zu ermöglichen. Die Daten des hiesigen Klägers wurden zwar nicht an Dritte übermittelt, jedoch fühlte dieser sich durch die Verarbeitung seiner personenbezogenen Daten ohne seine Einwilligung in seinen Rechten verletzt. Durch die Zuordnung zu einer bestimmten Partei fühle er Ärgernis, Bloßstellung und Vertrauensverlust. Diese negativen Gefühle begründen nach der Auffassung der österreichischen Gerichte noch keinen immateriellen Schaden.
Dahingehend erfragt das vorlegende Gericht zunächst, ob der Zuspruch von Schadensersatz nach Art. 82 DSGVO einen Schaden des Klägers erfordert oder ob bereits eine bloße Verletzung der Bestimmungen einen Schadensersatzanspruch begründen könne.
Zunächst stellte der EuGH klar, dass der Schadensbegriff innerhalb der DSGVO autonom nach europäischen Recht auszulegen und nicht an dem des nationalen Rechts zu messen sei. So begründet auch der EuGH, dass die Begriffsbestimmungen des Unionsrechts nicht ausdrücklich auf das Recht der Mitgliedsstaaten verweise, um eine autonome und einheitliche Auslegung innerhalb der gesamten Union zu ermöglichen. Der EuGH legt dar, dass anhand des Wortlauts der DSGVO zunächst ein Schaden, der aufgrund eines Verstoß gegen die DSGVO entstanden ist, erste Anspruchsvoraussetzung sei. Eine Auslegung, die eine bloßen Verstoß als Anspruchsvoraussetzung genügen ließe, laufe dem Wortlaut der DSGVO aber zuwider. Eine gesonderte Erwähnung von „Verstoß“ und „Schaden“ innerhalb Art. 82 Abs. 1 DSGVO sei dann nämlich überflüssig, wenn allein der Verstoß den Schadensersatzanspruch begründen würde. Auch die Erläuterungen in den Erwägungsgründen 75, 85 und 146 der DSGVO bestätigten nach dem EuGH diese Auslegung. Diese führen aus, dass ein Schaden nur eine potenzielle Folge der Verarbeitung personenbezogener Daten ist und diese nicht zwangsläufig einen Schaden begründe. Ferner lasse sich aus dem Vergleich zu Art. 77 und 78 DSGVO, welche Rechtsbehelfe bei einem behaupteten Verstoß vorsehen, erkennen, dass diese keinen Schaden erfordern. Im Vergleich zu Art. 83 und 84 DSGVO, welche eine Verhängung von Sanktionen, auch in Form von Geldbußen erlauben, zeige sich schließlich als weiteres Argument, dass der Schadenseintritt ein eigenes Anspruchskriterium darstelle, sodass in bloßer Verstoß gegen die DSGVO zur Begründung eines Schadensersatzanspruches nicht genüge.
Mit der zweiten Frage begehrte das vorlegende Gericht Auskunft seitens des EuGH darüber, ob für die Bemessung der Schadensersatzhöhe nach Art. 82 DSGVO neben den Grundsätzen der Effektivität und Äquivalenz weitere unionsrechtliche Vorgaben bestünden. Der EuGH verweist hierfür hingegen auf die innerstaatlichen Vorschriften über den Umfang von Schadensersatz, soweit diese jedenfalls den Grundsätzen der Effektivität und Äquivalenz folgten. Die in Art. 82 DSGVO vorgesehene Ausgleichsfunktion solle ermöglichen, den durch die Verletzung erlittenen Schaden vollumfänglich auszugleichen, ohne dass es die Verhängung von Strafschadensersatz erfordere.
Als dritte Frage beschäftigt das Gericht, ob das Überschreiten einer Erheblichkeitsschwelle für den Zuspruch eines Schadensersatzes notwendig sei, der über das bloße Ärgernis des Betroffenen über die Rechtsverletzung hinausgehe.
Anhand des Wortlauts ist dies nach dem EuGH nicht erkennbar. Auch eine systematische Auslegung anhand der Vorschriften, in die sich der Art. 82 DSGVO eingliedert, zeige, dass das Überschreiten einer Erheblichkeitsschwelle nicht erforderlich sei. Auch der Unionsgesetzgeber zeige in dem 146. Erwägungsgrund der DSGVO ein weites Verständnis des Schadensersatzes, zu welcher das Erfordernis einer Erheblichkeitsschwelle zuwiderlaufen würde. In selbigen Erwägungsgrund wird auch gefordert, dass bei der Definition des Schadensbegriff den Zielen der Verordnung in vollem Umfang zu entsprechen sei. Bei Erfordernis einer Erheblichkeitsschwelle drohe eine unionsweit uneinheitliche Beurteilung der Schadensersatzanspruchsberechtigung, abhängig von dem angerufenen Gericht. Dies laufe dem Ziel der DSGVO zuwider, ein unionsweit gleichmäßiges Niveau an Schutz für natürliche Personen bei Verarbeitung ihrer personenbezogenen Daten zu gewährleisten. Eine besondere Erheblichkeitsschwelle lehnte der EuGH deshalb ab.
Zusammenfassend steht damit nunmehr fest, dass der bloße Verstoß gegen die DSGVO noch keinen Schadensersatzanspruch für betroffene Personen begründet. Dieser Anspruch erfordert neben einem Verstoß gegen die DSGVO auch einen Schaden sowie eine Kausalität zwischen Verstoß und Schaden. Der Schaden selbst muss jedoch keine Erheblichkeitsschwelle überschreiten, um zu einem Anspruch für betroffene Personen zu führen.
"EuGH: Schadensersatz nach DSGVO – keine Einschränkung durch Erheblichkeitsschwelle"
von Annemarie Schulz, wissenschaftliche Mitarbeiterin