Der EuGH klärte in seinem Urteil vom 04.05.2023 (Az. C-300/21) wesentliche Fragestellungen rund um das Thema Schadensersatz gemäß Art. 82 DSGVO. Dabei befasste der EuGH sich insbesondere mit der Frage, ob bereits ein bloßer DSGVO-Verstoß einen Schadensersatzanspruch begründet und ob der Anspruch auf Schadensersatz für immaterielle Schäden eine bestimmte Erheblichkeitsschwelle erreichen muss.

Hintergrund

Die Beklagte des Ausgangsverfahrens war die Österreichische Post AG, die als Adressenverlag Informationen zu den Parteiaffinitäten der Bevölkerung Österreichs erhob und mithilfe eines Algorithmus anhand bestimmter sozialdemografischer Merkmale Zielgruppenadressen definierte, ohne dass hierin seitens der betroffenen Personen eingewilligt wird. Der Kläger des Ausgangsverfahren erhob deswegen Klage gegen die Post und verlangte 1.000 € immateriellen Schadensersatz, weil das Vorgehen der Post ihm ein großes Ärgernis sei und er einen Vertrauensverlust sowie ein Gefühl der Bloßstellung verspürte, weil ihm eine besondere Affinität zu einer fraglichen Partei zugeschrieben worden war.

Der EuGH hat zum Thema Schadenserfordernis geantwortet, dass nicht jeder Verstoß gegen die DSGVO für sich genommen einen Schadensersatzanspruch begründe. Vielmehr sei es notwendig, dass neben einem Verstoß gegen die DSGVO auch tatsächlich ein materieller oder immaterieller Schaden entstanden ist und vor Gericht nachgewiesen werden kann. Dieser Schaden müsse zudem kausal auf der Verletzung der DSGVO beruhen.

Zudem stellt der EuGH in dem Urteil aber auch klar, dass ein immaterieller Schadensersatzanspruch keiner Erheblichkeitsschwelle unterliegt. Es sei damit Sache der Gerichte im Einzelfall zu entscheiden, wie hoch letztlich der Ersatz für den jeweils erlittenen Schaden ausfällt.

Anmerkung

Das EuGH-Urteil bedeutet im Ergebnis, dass Betroffene bei der Geltendmachung von DSGVO-Schadensersatzansprüchen nicht mehr einfach „ins Blaue hinein“ ohne konkrete Darlegung eines Schadens Klage erheben können, sondern vielmehr nun einen kausalen Schaden nachweisen müssen. Das Landgericht München I ging mit seinem Urteil vom 30.03.2023 (Az. 4 O 13063/22) sogar noch einem Schritt weiter, in dem es festhielt, dass es einer wirklichen persönlichen Betroffenheit des Anspruchstellers bedarf und es rechtsmissbräuchlich ist, einen Datenschutzverstoß zu provozieren. Hintergrund war hier eine sog. „Google-Font-Abmahnung“, die allerdings auf dem automatisierten Besuch eines sog. Webcrawlers auf einer Homepage beruhte – eine regelrechte „Google-Font-Abmahnwelle“ hielt Praxen und andere Unternehmen Ende letzten Jahres in Atem.

Auch das Landgericht Memmingen hat im März diesen Jahres geurteilt (Az. 35 O 1036/22), dass für einen Schadensersatz- oder Schmerzensgeldanspruch aufgrund einer Datenschutzverletzung eine bloße Gefährdung nicht ausreiche. Es genüge auch nicht, wenn der Betroffene einen Kontrollverlust über seine Daten und deshalb großes Unwohlsein sowie u.a. Sorgen wegen potentiellen Datenmissbrauchs behaupte. Hintergrund war hier sog. Facebook-Scraping – öffentlich zugängliche Daten werden dabei auf der Plattform durch Dritte unbefugt abgegriffen.

Cave!

Auch wenn nunmehr vom höchsten europäischen Gericht geklärt ist, dass es für einen DSGVO-Schadensersatz eines wirklichen Schadens bedarf, so bedeutet dies nicht, dass dieses Urteil ein Freibrief ist, es mit dem Datenschutz nicht mehr so genau zu nehmen. Beispielsweise sollten Werbe-E-Mails nicht ohne entsprechende Einwilligung des betreffenden Empfängers versendet werden, auch wenn bei diesem hierdurch kein Schaden verursacht werden mag … . Denn nach wie vor können die zuständigen Behörden bei Datenschutzverstößen Sanktionen verhängen, wie z.B. Bußgelder. Die DSGVO setzt diesbezüglich einen weiten Rahmen, der je nach Schwere und Auswirkung eines Datenschutzverstoßes ausgeschöpft werden kann.

Rechtsanwältin Walburga van Hövell, LL.M. (Medizinrecht)

lennmed.de Rechtsanwälte

Bonn | Berlin | Baden-Baden

Stichworte: DSGVO-Schadensersatz, EuGH, Datenschutzverstoß