Besprechung des EuGH-Urteils vom 4. Mai 2023 – C-300/21

EuGH zum Datenschutz: Ein Schaden muss sein, egal wie klein

Datenschutz, EuGH, Urteil

Am 4. Mai 2023 erließ der EuGH sein lang erwartetes Urteil zum Schadensersatz im Datenschutzrecht. Der große Knall blieb aus – trotz klarer Ansagen des Gerichts dürften die Auswirkungen in der Praxis eher gering bleiben.

Sachverhalt

Hintergrund der Entscheidung war ein Streit eines österreichischen Rechtsanwalts mit der Österreichischen Post AG. Diese hatte mit Hilfe eines Algorithmus unter Verwendung soziodemografischer Merkmale Informationen zur Parteiaffinität der österreichischen Bevölkerung gesammelt und darauf basierend “Zielgruppenadressen” festgelegt. Diese sollten dann an verschiedene Organisationen verkauft werden, um zielgerichtete Werbung zu ermöglichen.

Anzeige

Unter einer dieser definierten Zielgruppen befand sich auch der Kläger, dem durch den Algorithmus eine hohe Affinität zu einer bestimmten Partei zugesprochen wurde.

Der Kläger war mit diesem Ergebnis allerdings alles andere als einverstanden. Obwohl seine Daten nicht verkauft wurden, hielt er bereits die zugesprochene Affinität für beschämend, beleidigend und sogar kreditschädigend. Einen finanziellen Schaden konnte er natürlich nicht vorweisen. Er verlangt dennoch von der Österreichischen Post AG Ersatz des immateriellen Schadens in Höhe von EUR 1.000,00.

In den ersten beiden Instanzen unterlag der Kläger. Ein bloßer Verstoß gegen die Vorgaben der DSGVO begründe noch keinen Anspruch auf Schadensersatz. Es müsste schon ein materieller oder immaterieller Schaden vorliegen, der tatsächlich ersetzt werden könne. Das bloße Unbehagen des Klägers sei aber nicht schwerwiegend genug, um die im österreichischen Recht vorgesehene Erheblichkeitsschwelle, die nur Schäden ab einer bestimmten Schwere als ersatzfähig ansieht, zu überschreiten.

Anzeige

Diese Einschränkungen sind in der DSGVO jedenfalls nicht ausdrücklich vorgesehen, weshalb sich der als dritte Instanz aufgerufene Österreichische Oberste Gerichtshof entschied, den EuGH im Wege eines Vorabentscheidungsverfahrens nach der korrekten Auslegung der DSGVO zu fragen.

Der Oberste Gerichtshof fragte den EuGH, ob

  1. für einen Anspruch auf Schadensersatz auch ein Schaden erforderlich sei, oder ob die bloße Verletzung von Bestimmungen der DSGVO bereits ausreiche, um einen Ersatzanspruch zu begründen,
  2. nach dem Unionsrecht Vorgaben an die Bemessung des Schadensersatzes bestünden, und
  3. die Erheblichkeitsschwelle für immaterielle Schäden aus dem Österreichischen Recht mit dem Unionsrecht vereinbar sei.

Mit seinem am 4. Mai ergangenen Urteil hat der EuGH zu diesen Fragen nun Stellung bezogen.

Entscheidung des Gerichtshofs

Als erstes hat der EuGH zur Beantwortung der ersten Frage klargestellt, was für einen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO erforderlich ist. Ein Verstoß gegen die DSGVO allein reicht noch nicht aus. Aus dem Verstoß muss sich kausal auch ein Schaden ergeben. Dabei ist es egal, ob ein konkreter finanzieller Schaden vorliegt (ein materieller Schaden also) oder ob der Schaden nicht konkret bezifferbar sei, zum Beispiel weil er sich in einem bloßen Unbehagen oder Unmutsgefühl äußert (sog. immaterieller Schaden).

Wie hoch dieser Schaden ist, sei dafür aber egal. Eine Erheblichkeitsschwelle, wie sie das österreichische Recht kennt, passe im Unionsrecht nicht. Ansonsten gäbe es zu große Unterschiede zwischen diesen Mitgliedsstaaten, die eine solche Schwelle voraussetzen, und jenen, bei denen jeder Schaden, egal wie gering, ersetzt werden muss. Das Datenschutzrecht solle als Unionsrecht aber gerade einen einheitlichen (hohen) Schutzstandard festlegen und derartige Unterschiede aus der Welt schaffen.

Insoweit widersprüchlich ist dann aber die Antwort des EuGH zur Frage nach der Berechnung des Schadens. Das sollen die Mitgliedsstaaten selbst festlegen, auch auf die Gefahr hin, dass sich dadurch der eigentlich zu vermeidende unterschiedliche Schutz innerhalb der Union ergibt.

Aus dem Unionsrecht ergeben sich nur die Vorgaben, unionsrechtliche Sachverhalte genau so zu behandeln wie nationale Sachverhalte (sog. Äquivalenz) und die Ausübung von EU-Recht weder unmöglich zu machen noch maßgeblich zu erschweren (sog. Effektivität). Zu letzterem gehört auch die Vorgabe aus dem 146. Erwägungsgrund der DSGVO, nachdem der Schadensersatz in Art. 82 Abs. 1 DSGVO einen „vollständigen und wirksamen Schadensersatz für den erlittenen Schaden“ sicherstellen soll. Das hatte aber bereits der vorlegende Oberste Gerichtshof erkannt.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Keine großen Auswirkungen auf die Praxis

In der Praxis dürfte das Urteil des EuGH zu keinen großen Änderungen führen.

Vor Erlass des Urteils bestand die Befürchtung, der Gerichtshof würde einen sog. Strafschadensersatz begründen, also einen Schadensersatzanspruch ohne Schaden, nur auf Grund einer Verletzung einer Vorschrift der DSGVO. Gerade mit Blick auf Informationspflichten und Datenschutzvorgaben für Websites hatten sich hier schon Legal-Tech-Kanzleien in Position gebracht. Mittels automatisierter Suche nach unvollständigen oder veralteten Datenschutzhinweisen und in Sekundenschnelle maschinell erstellten Abmahnschreiben wäre die nächste Abmahnwelle ein regelrechter Tsunami geworden.

Der Gerichtshof stellt aber klar: wo kein Schaden, da kein Anspruch. Ein Strafschadensersatz sei neben dem Ersatz des konkret entstandenen Schadens gerade nicht erforderlich. Dieser wäre dem deutschen Recht auch bisher fremd, so dass gerade die hiesigen Unternehmen keine Umstellungen befürchten müssen.

Verteidiger der Erheblichkeitsschwelle haben nun zwar eine Absage erteilt bekommen. Gerade die deutschen Gerichte hatten diese allerdings schon im Vorfeld mehrfach abgelehnt. Im Grunde kann also jeder Schaden, unabhängig davon wie schwerwiegend er ist, auch immaterieller Art, zu einem Ersatzanspruch führen. Trotzdem muss weiterhin der Anspruchsteller einen Schaden nachweisen. Das könnte dazu führen, dass Schäden, die vor dem Urteil an einer Erheblichkeitsschwelle gescheitert wären, nun schlicht gar nicht erst als Schaden anerkannt werden. Mit einem erheblichen Anstieg an Schadensersatzansprüchen ist also aufgrund des Urteils nicht zu rechnen.

Wird ein Schaden dann doch anerkannt, ist die Höhe des zu leistenden Ersatzes wie bisher auch nach nationalem Standard festzulegen. Hier ändert sich also nichts; für Deutschland bleibt es bei materiellen Schäden bei einem Ausgleich des tatsächlich entstandenen Schadens – bei immateriellen Schäden wird der Ausgleich weiterhin nach dem Ermessen der Richter bewertet.

Mit dem Urteil des EuGH sind zwar noch nicht alle Fragen des Schadensersatzrechts im Datenschutz beantwortet worden. Insbesondere, ob jeder Verstoß gegen die DSGVO, der einen Schaden begründet, einen Ersatzanspruch auslöst, oder ob der Verstoß in der Form einer rechtswidrigen Datenverarbeitung vorliegen muss, lässt der Gerichtshof offen.

Trotzdem bringt das Urteil eine gute Portion Rechtssicherheit für Unternehmen. Durch die Absage an den Strafschadensersatz sollte es deutlich einfacher werden, Risiken im Datenschutz einzuschätzen und Rücklagen nach Verstößen gegen die DSGVO zu beziffern.

Lorenz Wascher Dentons

Lorenz

Wascher

Senior Associate

Dentons

Lorenz Wascher ist Senior Associate im Berliner Büro von Dentons und Mitglied der Praxisgruppe Compliance und Untersuchungen. Vor seiner Tätigkeit bei Dentons war Lorenz Wascher stellvertretender Datenschutzbeauftragter des Robert Koch-Instituts und Teamleiter Datenschutz und Informationssicherheit.
Sebastian von Haldenwang Dentons

Sebastian

von Haldenwang

Senior Associate

Dentons

Sebastian von Haldenwang ist Senior Associate im Berliner Dentons Büro und Mitglied der Praxisgruppen Compliance und Gesellschaftsrecht. Herr von Haldenwang berät Mandanten im Bereich Compliance und konzentriert sich dabei auf die Beratung im Datenschutzrecht und im Markteintritt.
Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.