Schadenersatz  ·  29. Juli 2025

Verarbeitung von Marketingattributen durch die Post – kein Schadenersatz bei bloßem „Erkennen“ der Datenschutzverletzung

OGH | 03.07.2025 | 6 Ob 113/24x

Rechtssatz: Eine DSGVO-Verletzung begründet allein noch keinen Schadenersatzanspruch nach Art. 82 DSGVO, wenn kein konkreter ideeller Schaden eingetreten ist.

Sachverhalt

Die Österreichische Post AG hatte einem Betroffenen Marketingattribute wie „Bioaffinität“, „Nachtschwärmereigenschaft“ oder „Investment-Affinität“ zugeordnet.

 

Der Betroffene (ein Rechtsanwalt) hatte dieser Verarbeitung nicht zugestimmt. Fünf der sieben Attribute trafen auf ihn tatsächlich zu – bei welchen, blieb unklar. Die Daten wurden jedoch nicht an Dritte weitergegeben und später gelöscht.

 

Der Kläger begehrte 7.000 EUR immateriellen Schadenersatz wegen Verletzung seiner Rechte durch die unzulässige Datenverarbeitung. Er erklärte, sich „abgestuft geärgert“ zu haben, machte aber keine konkreten psychischen Auswirkungen geltend.

Rechtliche Beurteilung

Der OGH bestätigte die Vorinstanzen und wies die Revision ab:

  • Die verwendeten Marketingklassifikationen sind personenbezogene Daten im Sinne der DSGVO (unter Bezug auf frühere Entscheidung 6 Ob 127/20z).

  • Für einen Schadenersatzanspruch nach Art. 82 DSGVO müssen drei Voraussetzungen kumulativ vorliegen: Verstoß gegen die DSGVO, tatsächlicher (ideeller oder materieller) Schaden, und Kausalität.

  • Ein ideeller Schaden liegt nicht allein darin, dass eine betroffene Person von der Datenschutzverletzung Kenntnis erlangt oder sich „rational ärgert“.

  • Die DSGVO kennt keinen Strafschadenersatz – Schadenersatz dient ausschließlich dem Ausgleich tatsächlich erlittener Nachteile.

  • Eine vom Kläger behauptete Beeinträchtigung konnte nicht festgestellt werden. Selbst das subjektiv empfundene Ärgernis wurde nicht ausreichend dargelegt.

Fazit und Empfehlung für Verantwortliche


Die Entscheidung stellt - wieder einmal im Einklang mit der Rechtsprechung des EuGH - klar: DSGVO-Verstöße führen nicht automatisch zu Schadenersatzansprüchen.

Organisationen müssen jedoch weiterhin sorgfältig prüfen, ob die Verarbeitung personenbezogener Daten rechtmäßig erfolgt. Insbesondere bei der Verwendung von Marketingattributen – auch wenn diese aus statistischen Modellen stammen – ist eine Rechtsgrundlage erforderlich, etwa die Einwilligung oder ein berechtigtes Interesse samt Interessenabwägung.

Verantwortliche sollten:

  • Transparenz schaffen, welche Daten verarbeitet werden und zu welchem Zweck.

  • Datenklassifikationen als personenbezogene Daten behandeln.

  • Betroffenenrechte ernst nehmen – nicht nur aus rechtlicher, sondern auch aus reputationsbezogener Sicht.

  • Technische und organisatorische Maßnahmen zur Minimierung unrechtmäßiger Profilbildungen setzen.

 

Tags: personenbezogene Daten; Marketingklassifikation; immaterieller Schaden; ideeller Schaden; Schadenersatz; Art 82 DSGVO; Kontrollverlust; Profilbildung; Interesse

Kommentar schreiben

Kommentare: 0
1 Gilt für Lieferungen in folgendes Land: Österreich. Lieferzeiten für andere Länder und Informationen zur Berechnung des Liefertermins siehe hier: Liefer- und Zahlungsbedingungen
2 inkl. MwSt.
Impressum | AGB | Widerrufsbelehrung und -formular | Datenschutz | Cookie-Richtlinie | Sitemap | Vertrag widerrufen
(C) by dataprotect schweiger.legal Rechtsanwälte OG | Dr. Thomas Schweiger, LL.M. (Duke)
Anmelden Abmelden | Bearbeiten