Recht
Kein Schadensersatz bei bloßem Verstoß gegen DSGVO
Ein Verstoß gegen die Datenschutz-Grundverordnung (DGSVO) muss nicht zwangsläufig zu einem Schadensersatzanspruch führen, so hat der Europäische Gerichtshof entschieden (Az.: C-300/21).
Es müssen vielmehr drei Voraussetzungen gegeben sein:
- ein Verstoß gegen die DSGVO,
- ein materieller oder immaterieller Schaden, der aus diesem Verstoß resultiert, und
- ein Kausalzusammenhang zwischen dem Schaden und dem Verstoß.
Der Entscheidung war die Klage einer Privatperson gegen die österreichische Post AG wegen einer unrechtmäßigen Datenverarbeitung vorausgegangen.
Die Post AG hatte ohne Einwilligung Informationen zu den politischen Ausrichtungen der österreichischen Bevölkerung erhoben. Mit Hilfe eines Algorithmus definierte sie anhand bestimmter Merkmale politische Zielgruppen. Dieser Algorithmus stufte den Kläger als der FPÖ nahe stehend ein. Dieser reklamierte, dass ihm durch die Zuordnung zu dieser Partei ein immenser Vertrauensverlust und ein Gefühl der Bloßstellung entstanden seien. Er forderte einen Schadensersatz von 1000 Euro.
Die Post AG hatte ohne Einwilligung Informationen zu den politischen Ausrichtungen der österreichischen Bevölkerung erhoben. Mit Hilfe eines Algorithmus definierte sie anhand bestimmter Merkmale politische Zielgruppen. Dieser Algorithmus stufte den Kläger als der FPÖ nahe stehend ein. Dieser reklamierte, dass ihm durch die Zuordnung zu dieser Partei ein immenser Vertrauensverlust und ein Gefühl der Bloßstellung entstanden seien. Er forderte einen Schadensersatz von 1000 Euro.
Der Oberste Österreichische Gerichtshof wollte die Sache nicht abschließend klären und strebte eine Entscheidung auf europäischer Ebene an.
Der EuGH hat über folgende Fragestellung entschieden: Ist ein bloßer Verstoß gegen die DSGVO ausreichend, um einen Schadensersatzanspruch zu begründen? Oder muss ein Schaden einen gewissen Grad der "Erheblichkeit" erreichen - also mehr als ein Gefühl oder eine Sorge betreffen und einen echten Schaden darstellen?
Der EuGH stellt fest, dass in dem der Entscheidung zugrundeliegendem Fall keine der drei Voraussetzungen gegeben seien, die dem Kläger Schadensersatz zusprechen könnten. Weder gab es den konkreten Verstoß im Umgang mit seinen Daten, noch war ein realer Schaden nachweisbar, noch gab es einen direkten kausalen Zusammenhang zwischen dem angeblichen Schaden und dem Verstoß. Der EuGH kommt zu dem Ergebnis, dass ein Verstoß gegen die DSGVO nicht zwangsläufig zu einem Schaden führe und es müsse ein Kausalzusammenhang zwischen dem fraglichen Verstoß und dem entstandenen Schaden bestehen, um einen Schadensersatzanspruch zu begründen.
Der Schadenersatzanspruch hängt nach Auffassung des EuGH jedoch nicht davon ab, dass der entstandene immaterielle Schaden eine gewisse Erheblichkeit erreicht.