Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 04.05.2023 (Az: C-300/21) zum immateriellen Schadensersatz (Schmerzensgeld) bei Datenschutzverletzungen entschieden und dabei einheitliche Vorgaben für die Zuerkennung von Schmerzensgeld festgelegt.

1. SACHVERHALT

Der klagende Mann im österreichischen Ausgangsverfahren machte gegen die österreichische Post AG einen immateriellen Schadensersatzanspruch geltend. Mit Hilfe eines Algorithmus und diesem zugrunde liegender soziodemografischer Merkmale basierend auf der jeweiligen Wohnanschrift hatte die österreichische Post AG nämlich Informationen zu Parteipräferenzen ermittelt. Dabei hatte sie dem Kläger fälschlicherweise eine Affinität zu einer rechten politischen Partei unterstellt.

Der Kläger war der Ansicht, ihm stehe aufgrund der erlittenen Unannehmlichkeit eine angemessene Entschädigung zu, weshalb er gem. Art. 82 DSGVO Schadensersatz in Höhe von 1.000 Euro forderte.

Die Vorinstanzen wiesen die Klage ab. Der österreichische Oberste Gerichtshof legte dem EuGH zur Vorabentscheidung die Frage vor, ob Schadensersatz bereits allein für die Verletzung von DSGVO-Vorgaben zuzusprechen oder ein immaterieller Schaden genauer darzulegen sei. Zudem wollte er wissen, ob es im Einklang mit dem Unionsrecht stehe, wenn für die Verurteilung zur Zahlung immateriellen Schadensersatzes eine Rechtsverletzung von einigem Gewicht verlangt werden könne, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgehe.

2. ENTSCHEIDUNG

Der EuGH stellte fest, dass der Schadensersatzanspruch nach der DSGVO an drei kumulative Voraussetzungen geknüpft ist: Notwendig seien (1) ein Verstoß gegen die DSGVO, (2) ein materieller oder immaterieller Schaden als Folge dieses Verstoßes und (3) ein Kausalzusammenhang zwischen dem Schaden und dem Verstoß.

Neben einem Verstoß gegen die DSGVO setze der Schadensersatzanspruch nach Art. 82 DSGVO zusätzlich einen kausalen Schaden des Betroffenen voraus. Der Betroffene müsse demnach einen materiellen oder immateriellen Schaden erlitten haben. Dies begründete der EuGH damit, dass Art. 82 DSGVO nach seiner Auffassung im Gegensatz zu Art. 8384 DSGVO keinen Strafcharakter habe, sondern eine Ausgleichsfunktion. Es handele sich deshalb um unterschiedliche Rechtsbehelfe, die sich gegenseitig ergänzten.

Weiterhin stellte der EuGH fest, dass es keine Grenze für Bagatellschäden gebe, sodass keine Schäden von gewisser Erheblichkeit notwendig seien. Bereits ein Unbehagen des Betroffenen könne einen ersatzfähigen Schaden begründen. Jedoch entbinde die weite Auslegung den Betroffenen nicht davon, einen auf die Datenschutzverletzung zurückzuführenden Schadenseintritt nachzuweisen, da ein Kausalzusammenhang zwischen dem Schaden und der Datenschutzverletzung erforderlich sei und vom Betroffenen nachgewiesen werden müsse.

Da Art. 82 DSGVO keine Vorgaben zur Schadensbemessung enthalte und keine andere unionsrechtliche Regelung hierzu bestehe, richte sich die Schadensbemessung nach den jeweiligen nationalen Regelungen. Wichtig sei, dass ein finanzieller Ausgleich erfolge, der als „vollständig und wirksam“ anzusehen sei, aber keinen Strafschadensersatz darstelle.

3. FAZIT 

Die Entscheidung des EuGH präzisiert die Anforderungen des Art. 82 DSGVO und führt dadurch zu mehr Rechtssicherheit. Es ist jedoch zu vermuten, dass sich Unternehmen aufgrund der erleichterten Anforderungen an die Gewährung von Schadensersatz einer Vielzahl von Schadensersatzansprüchen ausgesetzt sehen werden. Vor allem bei größeren Datenschutzverletzungen (z.B. nach Cyberangriffen) stellt dies ein erhebliches Risiko dar. Aus diesem Grund ist Unternehmen zu empfehlen, einen nachhaltigen und skalierbaren Datenschutz-Compliance-Prozess zu erarbeiten, der sowohl die präventive Vermeidung künftiger Verstöße gegen die DSGVO als auch die Abwehr von Schadensersatzansprüchen umfasst.

EUGH zum immateriellen Schadensersatz bei Datenschutzverletzungen