Der Oberste Gerichtshof (OGH) hat am 25.9.2023 ein Verfahren unterbrochen, um ein beim EuGH anhängiges Vorabentscheidungsersuchen (C-667/21) abzuwarten. In Gang gesetzt wurde dieses Vorabentscheidungsersuchen von deutschen Gerichten, die dem EuGH unter anderem die Frage stellten, ob die Gewährung von (immateriellem) Schadenersatz nach DSGVO das Vorliegen von Verschulden erfordert oder nicht.
Ausgangsfall des OGH
Im österreichischen Rechtsstreit bringt die Klägerin vor, sie habe an die Beklagte einen auf Art 15 DSGVO gestützten Antrag auf Auskunft gestellt. Diese Auskunft sei entgegen den Anforderungen der DSGVO ungenügend und nicht in verständlicher Form erteilt worden. Sie begehrt nunmehr neben der Auskunft immateriellen Schadenersatz in Höhe von 2.500 EUR. Sie habe die Kontrolle über ihre Daten verloren und leide an dem „unguten“ Gefühl, dass die Beklagte über personenbezogene Informationen verfüge, die die Klägerin freiwillig nie offengelegt hätte.
Die Beklagte behauptet, die Auskunft sei ausreichend und verständlich erteilt worden, und bestreitet (sollte ein DSGVO-Verstoß angenommen werden) das Vorliegen eines Verschuldens.
Verschuldens(un)abhängige Haftung ?
Wie in vorherigen Blogs bereits berichtet, sind die Voraussetzungen für einen (immateriellen) Schadenersatz, der Datenschutzrechtsverstoß, ein tatsächlich eingetretener (immaterieller) Schaden und ein kausaler Zusammenhang zwischen Rechtsverstoß und Schaden. Nach der Entscheidung des EuGH vom 4.5.2023 in der Rechtssache C-300/21 (siehe dazu bereits unseren KWR Blog vom 17.05.2023 Gefühlsschaden II | KWR) ist eine Erheblichkeitsschwelle für den Schadenseintritt grundsätzlich nicht erforderlich.
Nun hat der EuGH aber zusätzlich die Frage betreffend das Verschulden für einen möglichen Schadenersatzanspruch zu klären. Die Schlussanträge des Generalanwalts (ECLI:EU:C:2023:433) liegen bereits vor. Der Generalanwalt kommt zum Entschluss, dass der Anspruch auf (immateriellen) Schadenersatz nach der DSGVO nicht von einem Verschulden abhängt. Betont wird außerdem, dass dafür „nicht einmal ein ganz geringfügiges“ Verschulden notwendig sei.
Dies würde aber in der Praxis zu einem unbefriedigenden Ergebnis führen: Unternehmen unterlägen einer verschärften Haftung im Zusammenhang mit DSGVO-Verstößen. Zusätzlich zum Entfall der Erheblichkeitsschwelle steht auch der Entfall des Verschuldens im Raum.
Die Entscheidung des EuGH bleibt abzuwarten.
Für Fragen steht Ihnen das KWR-Datenschutzteam gerne zur Verfügung.