Urteil des EuGH Schadensersatz für Verstöße gegen den Datenschutz
Reicht ein bloßer Verstoß gegen die Datenschutzgrundverordnung aus, um Schadensersatz zu verlangen? Nein, meint der Europäische Gerichtshof in einem Präzedenzfall. Trotzdem stärkt das Urteil die Rechte Betroffener.
Es ist eine grundsätzliche Frage, die der Europäische Gerichtshof nun auf dem Tisch hatte: Wann kann es bei Verstößen gegen den Datenschutz Schadensersatz geben?
Konkret stellte sich diese Grundsatzfrage wegen eines Datenschutzskandals in Österreich. Die österreichische Post hatte zwischen 2017 und 2019 Daten ihrer Kundinnen und Kunden gesammelt und ausgewertet. Sie hatte Kundendaten wie Name, Geschlecht und Alter mit verschiedenen Wahl-Statistiken kombiniert, um herauszufinden, welcher politischen Partei ihre Kunden nahestehen. Mehr als zwei Millionen Österreicher waren betroffen.
Ein klarer Verstoß gegen die Datenschutzgrundverordnung, so urteilten österreichische Gerichte. Offen war allerdings die Frage, ob den Kundinnen und Kunden Schadensersatz zusteht.
Kein Schadensersatz bei Datenschutzverstoß
Rechtsanwalt Oliver Peschel hatte die österreichische Post auf 1000 Euro Schadensersatz verklagt. Die Post hatte auch seine Daten gesammelt und ihm eine Nähe zur radikal rechten FPÖ zugeschrieben. Das sei eine "Beleidigung", so der Anwalt. Sympathie mit Parteien des rechten Randes liege ihm fern.
Österreichische Gerichte bejahten zwar den Datenschutzverstoß, lehnten Schadensersatz aber ab. Die Daten des Anwalts seien nicht an Dritte weitergeben worden. Außerdem könne es Schadensersatz nicht geben, wenn sich jemand über Datenschutzverstöße einfach nur ärgere.
Peschel meint, es gehe um ein Grundsatzproblem im europäischen Datenschutzrecht: "Die Frage ist: Reicht es aus, dass ein Unternehmen gegen die Datenschutzgrundverordnung verstößt, um dadurch bereits eine Art Schadensersatz zu generieren? Oder braucht es einen tatsächlichen Schaden im Sinne einer psychischen Beeinträchtigung?"
Es ginge dabei auch darum, dass Betroffene zusätzliche Arbeit damit hätten, nach einer nicht autorisierten Nutzung ihrer Daten die betreffenden Inhalte wieder löschen zu lassen.
Ärger und Vertrauensverlust gelten als Schaden
Die Datenschutzgrundverordnung sieht den sogenannten immateriellen Schadensersatz - also Schadensersatz für Schäden, die keine Vermögensschäden sind - ausdrücklich vor. Aber reicht für einen solchen Schadensersatz der bloße Verstoß gegen Datenschutzregeln aus?
Nein, sagt nun der Europäische Gerichtshof. Die Richter stellen in ihrem heutigen Urteil zum Datenschutz eindeutig klar: Nicht bei jedem Verstoß gegen die Datenschutzgrundverordnung gibt es Schadensersatz. Es muss immer ein konkreter Schaden vorliegen. Den muss derjenige beweisen, der Schadensersatz verlangt.
Allerdings reicht es durchaus, dass der Betroffene sich einfach nur erheblich geärgert, Vertrauen verloren oder das Gefühl hatte, bloßgestellt zu werden. Insofern hat das oberste Gericht der EU den Datenschutz gestärkt. Es gibt auch keine sogenannte Erheblichkeitsschwelle. Das heißt, es muss kein besonders intensiver Schaden entstanden sein. Es genügt, dass man sich über einen Datenschutzverstoß heftig geärgert hat und dadurch belastet ist. Wie hoch der Schadensersatz ist, hängt dann vom Recht der einzelnen Mitgliedstaaten ab.
In Deutschland hatten die meisten Gerichte bisher den Schadensersatz in solchen Fällen verneint. Das heutige Urteil aus Luxemburg kann daher auch Auswirkungen auf den Datenschutz hierzulande haben.
Aktenzeichen: C-300/21