Mit Spannung wurde erwartet, welche Anforderungen der Europäische Gerichtshof an die Geltendmachung eines Schadenersatzanspruches nach Artikel 82 DS-GVO stellt. Dazu hat die dritte Kammer des Europäischen Gerichtshofs mit Urteil vom 4. Mai 2023 (Rechtssache C-300/21) Stellung genommen; weitere Vorlageverfahren sind anhängig. Der Europäische Gerichtshof stellt fest, dass die bloße Verletzung von Vorschriften der Datenschutzgrundverordnung (DS-GVO) als solche nicht ausreicht, um einen Schadenersatzanspruch zu begründen. Es bedarf darüber hinaus des Vorliegens eines materiellen oder immateriellen Schadens der betroffenen Person, der kausal auf dem Verstoß beruht. Geht es um immaterielle Schäden, darf ein Schadensersatzanspruch nicht davon abhängig gemacht werden, dass der Schaden eine gewisse Erheblichkeitsschwelle überschreitet.

Zum Ausgangsverfahren
Der Entscheidung des Europäischen Gerichtshofes lag ein Rechtsstreit zwischen einer Person mit Wohnsitz in Österreich und der Österreichischen Post AG zugrunde. Die Österreichische Post AG, die u.a. im Adresshandel tätig ist, sammelte ab dem Jahr 2017 Informationen über die politischen Affinitäten der österreichischen Bevölkerung. Mit Hilfe eines Algorithmus, der verschiedene soziale und demografische Merkmale berücksichtigte, definierte sie „Zielgruppenadressen“. Die so generierten Daten wurden an verschiedene Organisationen verkauft, um den zielgerichteten Versand von Werbung zu ermöglichen. Die Österreichische Post AG verarbeitete u.a. die personenbezogenen Daten des Klägers und schrieb ihm im Wege einer statistischen Hochrechnung eine hohe Affinität zu einer bestimmten österreichischen politischen Partei zu. Der Kläger fühlte sich dadurch beleidigt. Die streitgegenständliche Information wurde nicht an Dritte übermittelt.

Nachdem das Landgericht für Zivilsachen Wien dem Kläger zunächst EUR 1.000,00 als Ersatz des ihm angeblich entstandenen immateriellen Schadens zugesprochen hatte, hob in der Berufung das Oberlandesgericht Wien das Urteil hinsichtlich des Schadensersatzes auf. In der Revisionsinstanz legte der Oberste Gerichtshof (Österreich) dem Europäischen Gerichtshof drei Fragen zur Vorabentscheidung vor. Gefragt wurde kurz gefasst danach, ob für das Zusprechen eines Schadenersatzanspruches es ausreicht, dass eine Verletzung von Vorschriften der DS-GVO vorliegt oder ober darüberhinausgehend dem Kläger ein materieller oder immaterieller Schaden entstanden sein muss. Weiter wollte das Gericht wissen, ob bei einem immateriellen Schaden eine Rechtsverletzung von zumindest einigem Gewicht vorliegen muss, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgeht. Und schließlich bat das vorlegende Gericht um Erläuterung, in wie weit für die Bemessung des Schadenersatzes weitere Voraussetzungen des Unionsrechts zu berücksichtigen sind. 

Zur Entscheidung des Europäischen Gerichtshofes
Der Europäische Gerichtshof antwortete, dass eine Verletzung von Vorschriften der DS-GVO als solche nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Denn die einschlägigen Vorschriften der DS-GVO würden ersichtlich zwischen einer „Rechtsverletzung“ einerseits und einem „Schaden“ andererseits unterscheiden. Eine solche Unterscheidung sei auch unter systematischen Gesichtspunkten geboten. Allerdings würde eine nationale Vorschrift oder die Rechtsprechungspraxis eines nationalen Gerichts dem Unionsrecht widersprechen, die einen Ersatz immaterieller Schäden daran knüpft, dass ein Schaden von „einiger Erheblichkeit“ vorliege. Denn das Unionsrecht kenne einen solchen Schwellenwert nicht. Hinsichtlich der Bemessung der Höhe des ggf. zu leistenden Schadenersatzes mache das Unionsrecht keine Vorgaben. Ausreichend sei insoweit, dass dem Effektivitätsgrundsatz genüge getan werde, wonach der konkret erlittene Schaden im vollen Umfang auszugleichen ist, ohne dass dies die Verhängung von Strafschadenersatz erfordern würde. 

Auswirkung für die Praxis
Das Urteil bedeutet in der Konsequenz, dass auch bereits geringfügige immaterielle Schäden, die Folge eines Verstoßes gegen Vorschriften der DS-GVO sind, zu einem Schadenersatz berechtigen. Eine Erheblichkeitsschwelle darf das nationale Recht nicht vorsehen. Offen bleibt die Frage, wann überhaupt ein immaterieller Schaden vorliegt und ob und ggf. wie sich ein (ersatzfähiger) immaterieller Schaden qualitativ oder quantitativ von bloßen (nicht ersatzfähigen) Beunruhigungen oder ähnlichen vorübergehenden Gefühlsanwandlungen der betroffenen Person unterscheidet. Die vorliegende Entscheidung des Europäischen Gerichtshofs scheint darauf hinzudeuten, dass eine solche Unterscheidung nicht zulässig ist; eindeutig beantwortet ist die Frage aber wohl nicht.

Als Korrektiv verbleibt in jedem Falle die Höhe des Schadensersatzanspruches. Der Europäische Gerichtshof zwar einen „vollumfänglichen“ Ausgleich des erlittenen Schadens; jedoch keinen Schadenersatz mit Strafcharakter. Bleiben generalpräventive Aspekte außen vor, dürften Bagatelle-Verstöße zu nur geringen Schadenersatzbeträgen berechtigen. Gleichwohl muss auch diese Frage als offen bezeichnet werden.

Unternehmen, die im erheblichen Umfang personenbezogene Daten verarbeiten, sind damit weiterhin einem hohen Haftungsrisiko ausgesetzt, dem nur durch die Implementierung eines Compliance-Systems wirksam begegnet werden kann. Dieses System muss den bestehenden Datenschutzrisiken angemessen sein und regelmäßig überprüft und aktualisiert werden. Darüber hinaus sind Schulungen von Mitarbeitern ein wichtiger Baustein eines jeden Datenschutzmanagementsystems. Dies vermindert nicht nur Schadensersatzrisiken, sondern führt auch dazu, dass Bußgeldrisiken signifikant verringert werden können.