Grundsätzlich sind materielle Schadenersatzansprüche für Datenschutzverletzungen in der Praxis kaum relevant und auch verhältnismäßig einfach festzustellen und zu beziffern. Immaterielle Schäden stellen die Gerichte – vor allem hinsichtlich der in Art 82 DSGVO vorgesehenen Ersatzfähigkeit – vor schwierige Herausforderungen. Viele Gerichte verlangten hierfür bislang den Nachweis einer gewissen Erheblichkeit der infolge einer Verletzung der DSGVO eingetretenen Folgen, sodass die meisten Klagen aufgrund des Nichterreichens dieser „Erheblichkeitsschwelle“ abgewiesen wurden. Andere Gerichte wiederrum sprachen bereits für verhältnismäßig geringfügige Rechtsverletzungen großzügig Schadenersatz zu.
Eine
richtungsweisende Entscheidung zu immateriellen Schadenersatzansprüchen für Datenschutzverletzungen nach Art 82 DSGVO erging am 04.05.2023 in der Rechtssache
C-300/21 betreffend ein Vorabentscheidungsersuchen nach Art 267 AEUV, eingereicht vom Obersten Gerichtshof (Österreich) in dem Verfahren UI gegen Österreichische Post AG.
Dabei handelt es sich um das erste Urteil des EuGH aus einer langen Reihe an Vorabentscheidungsersuchen zur Auslegung des Art 82 DSGVO.
Die Voraussetzungen für die Ersatzfähigkeit – Schaden, Kausalität und Rechtswidrigkeit
Wenig überraschend führte der EuGH zur ersten Vorlagefrage, nämlich ob für einen Schadenersatzanspruch bereits die Verletzung von Bestimmungen der DSGVO als solche ausreicht oder es darüber hinaus eines erlittenen Schadens bedarf, aus, dass die bloße Rechtsverletzung noch nicht ausreiche, um einen Schadenersatzanspruch nach Art 82 DSGVO zu begründen. Der betroffenen Person muss aufgrund der Datenschutzverletzung ein kausaler materieller oder auch immaterieller Schaden entstanden sein.
Erheblichkeitsschwelle stünde im Widerspruch zum weiten unionsrechtlichen Schadensbegriff
Die dritte Vorlagefrage, nämlich ob ein immaterieller Schadenersatzanspruch eine Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht erfordert, die über den dadurch hervorgerufenen Ärger hinausgeht, wurde vom EuGH unter Verweis auf einen Widerspruch zu dem unionsrechtlich weit auszulegenden Schadenbegriff abgelehnt. Die Notwendigkeit einer Erheblichkeitsschwelle wurde somit ausdrücklich vom EuGH abgelehnt, sodass nunmehr unmissverständlich klargestellt wurde, dass auch Rechtsverletzungen mit bloß geringfügigen Konsequenzen zu Schadenersatzansprüchen iSd Art 82 DSGVO führen können.
Bemessung des Schadenersatzanspruches
Letztlich wollte der Oberste Gerichtshof noch wissen, ob für die Bemessung des Schadenersatzes nach Art 82 DSGVO neben den Grundsätzen der Effektivität und Äquivalenz weitere Vorgaben des Unionsrecht bestehen. Der EuGH beantwortete diese vorgelegte Frage äußerst spärlich, zumal dieser lediglich auf das Recht der Mitgliedstaaten, welchen die Ausgestaltung von Klageverfahren zum Schutz der aus Art 82 DSGVO erwachsenden Rechte und die Festlegung der Kriterien für die Ermittlung des Umfangs des geschuldeten Schadenersatzes obliege. In diesem Zusammenhang sind jedoch die Grundsätze der Äquivalenz und der Effektivität des Unionsrechts zu beachten und ein „vollständiger und wirksamer Schadenersatz für den erlittenen Schaden“ sicherzustellen.
Feststellung und Nachweisbarkeit des Schadens
In der gegenständlichen Entscheidung betont der EuGH, dass eine betroffene Person jedenfalls nicht vom Nachweis, dass die negativen Folgen einer rechtswidrigen Verarbeitung auch einen immateriellen Schaden darstellen, befreit werden soll.
Der Nachweis des Vorliegens bzw des Eintritts eines immateriellen Schadens gestaltet sich in der Praxis jedoch äußerst schwierig. Oftmals handelt es sich dabei um Gemütsaufregungen bzw um Schäden, welche ausschließlich in der Sphäre des betroffenen Geschädigten auftreten. Nichtsdestotrotz darf unter Berücksichtigung der Grundsätze der Äquivalenz und der Effektivität keine strengeren Anforderungen an den Eintritt eines Schadens gestellt werden. Für die Praxis ist daher jedenfalls das „Zurückdenken“ an altbekannte immaterielle Schadenersatzansprüche (zB Körperverletzung) sinnvoll, da auch bei Eingriffen in das Rechtsgut Datenschutz ein ähnlicher Maßstab zur Anwendung gelangen sollte. In diesem Sinne ist daher auch bei bestimmten typischen Rechtsverletzungen des Rechtsgutes Datenschutz ein Schadenseintritt anzunehmen.
Richterliches Ermessen bei der Schadenbemessung von zentraler Bedeutung
Der EuGH sprach in der zitierten Entscheidung aus, dass ein „vollständiger und wirksamer Ausgleich“ zu erfolgen hat. Was genau unter diesem Stehsatz zu verstehen ist, beantwortete der EuGH jedoch nicht. In diesem Sinne ist daher mE bei der Bemessung des Schadens auf die sogenannte „objektive Maßfigur“ abzustellen, sodass die Frage, die sich die Gerichte im Zusammenhang mit der Schadenbemessung zu stellen haben, letztlich wie folgt lautet: „Mit welchem Betrag würde eine objektive Maßfigur die erlittene Beeinträchtigung als vollständig und wirksam ausgeglichen sehen?“.
Selbstverständlich handelt es sich hierbei um keine Neuerfindung und können auch die bestehenden Schmerzengeldtabellen für Körperverletzungen für die Schadenbemessung im Rahmen einer Datenschutzverletzung beigezogen werden. Nichtsdestotrotz kann das Gericht bei neuartigen Datenschutzverletzungen relativ großzügig von der Möglichkeit des freien richterlichen Ermessens iSd § 273 ZPO Gebrauch machen, sodass die Gefahr des sogenannten Überklagens nach wie vor ein großes Problem darstellt.
Es bleibt zu hoffen, dass durch den EuGH in den anderen beiden Vorabentscheidungsersuchen (C-182/22 und C-189/22) eine weitere Klärung in Bezug auf den Eintritt des Schadens sowie zu dessen Bemessung vorgenommen wird. Insgesamt wäre es wünschenswert, dass der EuGH eine unionsweit einheitliche Behandlung von immateriellen Schadenersatzansprüchen durch eine praxistaugliche Vorgehensweise bei der Ermittlung des Schadens schafft.
REMINDER: EU-U.S. Data Privacy Framework ist vor Schrems III.
Am 03.08.2023 findet das nächste Datenschutz-Frühstück zum Thema „EU-U.S. Data Privacy Framework und dessen Folgen für die internationale Datenübermittlung" statt.
Anmeldungen sind selbstverständlich nach wie vor möglich und auch erwünscht.
(c) dataprotect / 26.07.2023
Autorin: Mag. Theresa Jenner-Braunschmied
Kommentar schreiben