Nach dem Vorabentscheidungsersuchen des Obersten Gerichtshof vom 15.04.2021 zu 6 Ob 35/21x [Österreichische Post AG – siehe dazu auch KWR Blog vom 18.4.2023 Gefühlsschaden | KWR ], liegt nun nach langem Warten die Entscheidung des EuGH vor. Der EuGH stellte in seiner Entscheidung zu RS C‑300/21 klar, dass nicht jeder Verstoß gegen die DSGVO einen materiellen oder immateriellen Schadenersatz begründet. Weiters entschied der EuGH, dass bei Vorliegen eines immateriellen Schadens keine sogenannte Erheblichkeitsschwelle zur Anwendung kommen dürfe.
Hintergrund
Beklagte im Ausgangsverfahren war die österreichische Post, welche Informationen über die politische Affinitäten der österreichischen Bevölkerung sammelte. Diese wurden mittels statistischer Hochrechnung anhand sozialer und demografischer Merkmale ermittelt. Dem Kläger wurde von der österreichischen Post eine hohe politische Affinität für eine rechtsextreme politische Partei zugeschrieben. Eine Übermittlung dieser Daten an Dritte fand nicht statt. Der Kläger hatte für die Verarbeitung seiner personenbezogenen Daten zu diesem Zweck keine Einwilligung erteilt.
Der Kläger sah sich dadurch beleidigt und verärgert, dass ihm die Neigung zu einer rechtsextremen Partei zugeschrieben wurde. Er brachte vor, dies habe bei ihm zu einem Vertrauensverlust geführt und ein Gefühl der Bloßstellung ausgelöst.
Nach österreichischem Recht müssen immaterielle Schäden grundsätzlich eine sogenannte „Erheblichkeitsschwelle“ überschreiten, damit ein Anspruch auf Schadenersatz bejaht werden kann. Gilt diese Schwelle auch für Verstöße gegen die DSGVO und wurde im vorliegenden Fall diese Schwelle erreicht?
Da der Oberste Gerichtshof bei seiner Entscheidung Zweifel hegte, ersuchte er den EuGH um Klärung offener Fragen betreffend die Voraussetzungen für einen (immateriellen) Schadenersatzanspruch nach der DSGVO. Zusammengefasst wollte er wissen, ob jeder Verstoß gegen die DSGVO einen Schadenersatzanspruch begründet, ob die vorstehend genannte „Erheblichkeitsschwelle“ von den nationalen Gerichten angewandt werden könne und wie der Schadenersatz der Höhe nach zu bemessen sei.
Nicht jeder Verstoß gegen DSGVO begründet Schadenersatz
Der EuGH entschied, dass nicht jeder Verstoß gegen die DSGVO automatisch zu Schadenersatz berechtigt. Der EuGH verwies dabei auf den Wortlaut des Art 82 DSGVO. Für einen Schadenersatzanspruch bei Verstößen gegen die DSGVO müssen folgende drei Voraussetzungen erfüllt sein:
- Verstoß gegen die DSGVO und
- (immaterieller) Schaden und
- Kausalität.
Keine Erheblichkeitsschwelle
Nach dem zehnten Erwägungsgrund der DSGVO soll innerhalb der Union ein gleichmäßiges und hohes Niveau des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten gewährleistet werden. Zu diesem Zweck soll für eine unionsweit gleichmäßige und einheitliche Anwendung der Vorschriften gesorgt werden. Würde man den nationalen Gerichten erlauben, den immateriellen Schadenersatzanspruch von einer Erheblichkeitsschwelle abhängig zu machen, bestünde die Gefahr unterschiedlicher Rechtsprechung in den Mitgliedstaaten. Ein einheitliches Datenschutzniveau wäre dadurch nicht mehr gewährleistet. Daher, so der EuGH, darf eine Erheblichkeitsschwelle in der Gerichtspraxis nicht zur Anwendung gelangen.
Bemessung des Schadenersatzes
Die DSGVO enthält keine Regelungen zur Festsetzung der Höhe des Schadenersatzes. Nach der ständigen Rechtsprechung des EuGH ist, wenn eine unionsrechtliche Regelung fehlt, das nationale Recht heranzuziehen. Unter Berücksichtigung dieser beiden Grundsätze sind die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten für die Bemessung der Höhe des Schadensersatzes anzuwenden.
Das KWR-Datenschutzteam steht Ihnen bei Fragen gerne zur Verfügung.