Voraussetzungen eines Schadensersatzanspruches nach der DSGVO EuGH, Urteil vom 4. Mai 2023 - C-300/21

Voraussetzungen eines Schadensersatzanspruches nach der DSGVO
EuGH, Urteil vom 4. Mai 2023 - C-300/21


Der Europäische Gerichtshof (EuGH) hatte sich mit Fragen rund um den datenschutzrechtlichen Schadensersatzanspruch aus der Datenschutzgrundverordnung (DSGVO) auseinanderzusetzen. Im Ausgangsstreit ging es um Tätigkeiten der Österreichischen Post. Diese sammelte Informationen über die politischen Affinitäten der österreichischen Bevölkerung. Mithilfe eines Algorithmus konnte die Post anhand verschiedener sozialer und demografischer Merkmale sogenannte Zielgruppenadressaten definieren. Die so generierten Daten wurden an verschiedene Organisationen verkauft, um ihnen den zielgerichteten Versand von Werbung zu ermöglichen. Bei diesem Datenverarbeitungsprozess verarbeitete die Österreichische Post auch Daten, aus denen sie durch eine statistische Hochrechnung eine hohe Affinität des im Ausgangsverfahren klagenden Betroffenen zu einer bestimmten österreichischen politischen Partei ableitete. In die Verarbeitung der dafür benötigten personenbezogenen Daten hatte der Betroffene allerdings nicht eingewilligt. Er fühlte sich sogar beleidigt, dass ihm eine Affinität zu dieser Partei zugeschrieben wurde. Dies führte zu großem Ärger und auch einem Vertrauensverlust aufseiten des Beklagten. Überdies fühlte er sich bloßgestellt. Ein weiterer Schaden ist allerdings nicht eingetreten. Dennoch klagte der Betroffene gegen die Österreichische Post auf Unterlassung der Verarbeitung der fraglichen personenbezogenen Daten sowie der Zahlung eines Schadensersatzes. Dem Unterlassungsbegehren wurde stattgegeben, doch das Schadensersatzbegehren wurde abgewiesen. Ein solches Schadensersatzbegehren lässt sich grundsätzlich auf Artikel 82 der DSGVO stützen. Dabei stellte der EuGH fest, dass dafür zunächst einmal keine Erheblichkeitsschwelle zu überschreiten ist.
Der EuGH musste sich unter anderem aber auch damit auseinandersetzen, ob dieser Artikel dahingehend auszulegen ist, dass schon allein der Verstoß gegen die Bestimmungen der DSGVO ausreichend ist, um einen Schadensersatz zu begründen, unabhängig davon, ob ein Schaden tatsächlich entstanden ist. Der EuGH stellte zunächst fest, dass es sich um die in Artikel 82 DSGVO genannten Begriffe um autonome Begriffe handele, die einheitlich in allen Mitgliedsstaaten auszulegen seien. Grundsätzlich habe nach dieser Norm dann jeder einen Anspruch auf Schadensersatz gegen den Verantwortlichen, der wegen eines Verstoßes gegen die DSGVO entstanden ist. Dafür ist allerdings auch ein Schaden erforderlich sowie das Vorliegen eines DSGVO-Verstoßes und eines Kausalzusammenhangs zwischen dem entstandenen Schaden und dem Verstoß. Diese Voraussetzungen müssen allesamt gegeben sein, um einen Schadensersatzanspruch begründen zu können. Das heißt umgekehrt allerdings, dass nicht jeder DSGVO-Verstoß auch den Anwendungsbereich dieser Schadensersatznorm eröffnet. Dies leitete der EuGH auch aus den dazugehörigen Erwägungsgründen der Richtlinie ab. Schlussendlich stellte der EuGH damit fest, dass eine bloße Verletzung der DSGVO nicht für die Begründung eines Schadensersatzanspruches ausreicht. Würde ein solcher Anspruch nach der DSGVO allerdings angenommen, könnten individuelle mitgliedsstaatliche Vorschriften über den Schadensersatzumfang hinzugezogen werden, solange sie bestimmte unionsrechtliche Grundsätze beachten.