Grundsätzlich sind materielle Schadenersatzansprüche für Datenschutzverletzungen in der Praxis kaum relevant und auch verhältnismäßig einfach festzustellen und zu beziffern. Immaterielle Schäden stellen die Gerichte – vor allem hinsichtlich der in Art 82 DSGVO vorgesehenen Ersatzfähigkeit – vor schwierige Herausforderungen. Viele Gerichte verlangten hierfür bislang den Nachweis einer gewissen Erheblichkeit der infolge einer Verletzung der DSGVO eingetretenen Folgen, sodass die meisten Klagen aufgrund des Nichterreichens dieser „Erheblichkeitsschwelle“ abgewiesen wurden. Andere Gerichte wiederrum sprachen bereits für verhältnismäßig geringfügige Rechtsverletzungen großzügig Schadenersatz zu.
Eine
richtungsweisende Entscheidung zu immateriellen Schadenersatzansprüchen für Datenschutzverletzungen nach Art 82 DSGVO erging am 04.05.2023 in der Rechtssache
C-300/21 betreffend ein Vorabentscheidungsersuchen nach Art 267 AEUV, eingereicht vom Obersten Gerichtshof (Österreich) in dem Verfahren UI gegen Österreichische Post AG.
Dabei handelt es sich um das erste Urteil des EuGH aus einer langen Reihe an Vorabentscheidungsersuchen zur Auslegung des Art 82 DSGVO.
Die Voraussetzungen für die Ersatzfähigkeit – Schaden, Kausalität und Rechtswidrigkeit
Wenig überraschend führte der EuGH zur ersten Vorlagefrage, nämlich ob für einen Schadenersatzanspruch bereits die Verletzung von Bestimmungen der DSGVO als solche ausreicht oder es darüber hinaus eines erlittenen Schadens bedarf, aus, dass die bloße Rechtsverletzung noch nicht ausreiche, um einen Schadenersatzanspruch nach Art 82 DSGVO zu begründen. Der betroffenen Person muss aufgrund der Datenschutzverletzung ein kausaler materieller oder auch immaterieller Schaden entstanden sein.
Erheblichkeitsschwelle stünde im Widerspruch zum weiten unionsrechtlichen Schadensbegriff
Die dritte Vorlagefrage, nämlich ob ein immaterieller Schadenersatzanspruch eine Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht erfordert, die über den dadurch hervorgerufenen Ärger hinausgeht, wurde vom EuGH unter Verweis auf einen Widerspruch zu dem unionsrechtlich weit auszulegenden Schadenbegriff abgelehnt. Die Notwendigkeit einer Erheblichkeitsschwelle wurde somit ausdrücklich vom EuGH abgelehnt, sodass nunmehr unmissverständlich klargestellt wurde, dass auch Rechtsverletzungen mit bloß geringfügigen Konsequenzen zu Schadenersatzansprüchen iSd Art 82 DSGVO führen können.
Bemessung des Schadenersatzanspruches
Letztlich wollte der Oberste Gerichtshof noch wissen, ob für die Bemessung des Schadenersatzes nach Art 82 DSGVO neben den Grundsätzen der Effektivität und Äquivalenz weitere Vorgaben des Unionsrecht bestehen. Der EuGH beantwortete diese vorgelegte Frage äußerst spärlich, zumal dieser lediglich auf das Recht der Mitgliedstaaten, welchen die Ausgestaltung von Klageverfahren zum Schutz der aus Art 82 DSGVO erwachsenden Rechte und die Festlegung der Kriterien für die Ermittlung des Umfangs des geschuldeten Schadenersatzes obliege. In diesem Zusammenhang sind jedoch die Grundsätze der Äquivalenz und der Effektivität des Unionsrechts zu beachten und ein „vollständiger und wirksamer Schadenersatz für den erlittenen Schaden“ sicherzustellen.
Feststellung und Nachweisbarkeit des Schadens
In der gegenständlichen Entscheidung betont der EuGH, dass eine betroffene Person jedenfalls nicht vom Nachweis, dass die negativen Folgen einer rechtswidrigen Verarbeitung auch einen immateriellen Schaden darstellen, befreit werden soll.
Der Nachweis des Vorliegens bzw des Eintritts eines immateriellen Schadens gestaltet sich in der Praxis jedoch äußerst schwierig. Oftmals handelt es sich dabei um Gemütsaufregungen bzw um Schäden, welche ausschließlich in der Sphäre des betroffenen Geschädigten auftreten. Nichtsdestotrotz darf unter Berücksichtigung der Grundsätze der Äquivalenz und der Effektivität keine strengeren Anforderungen an den Eintritt eines Schadens gestellt werden. Für die Praxis ist daher jedenfalls das „Zurückdenken“ an altbekannte immaterielle Schadenersatzansprüche (zB Körperverletzung) sinnvoll, da auch bei Eingriffen in das Rechtsgut Datenschutz ein ähnlicher Maßstab zur Anwendung gelangen sollte. In diesem Sinne ist daher auch bei bestimmten typischen Rechtsverletzungen des Rechtsgutes Datenschutz ein Schadenseintritt anzunehmen.
Richterliches Ermessen bei der Schadenbemessung von zentraler Bedeutung
Der EuGH sprach in der zitierten Entscheidung aus, dass ein „vollständiger und wirksamer Ausgleich“ zu erfolgen hat. Was genau unter diesem Stehsatz zu verstehen ist, beantwortete der EuGH jedoch nicht. In diesem Sinne ist daher mE bei der Bemessung des Schadens auf die sogenannte „objektive Maßfigur“ abzustellen, sodass die Frage, die sich die Gerichte im Zusammenhang mit der Schadenbemessung zu stellen haben, letztlich wie folgt lautet: „Mit welchem Betrag würde eine objektive Maßfigur die erlittene Beeinträchtigung als vollständig und wirksam ausgeglichen sehen?“.
Selbstverständlich handelt es sich hierbei um keine Neuerfindung und können auch die bestehenden Schmerzengeldtabellen für Körperverletzungen für die Schadenbemessung im Rahmen einer Datenschutzverletzung beigezogen werden. Nichtsdestotrotz kann das Gericht bei neuartigen Datenschutzverletzungen relativ großzügig von der Möglichkeit des freien richterlichen Ermessens iSd § 273 ZPO Gebrauch machen, sodass die Gefahr des sogenannten Überklagens nach wie vor ein großes Problem darstellt.
Es bleibt zu hoffen, dass durch den EuGH in den anderen beiden Vorabentscheidungsersuchen (C-182/22 und C-189/22) eine weitere Klärung in Bezug auf den Eintritt des Schadens sowie zu dessen Bemessung vorgenommen wird. Insgesamt wäre es wünschenswert, dass der EuGH eine unionsweit einheitliche Behandlung von immateriellen Schadenersatzansprüchen durch eine praxistaugliche Vorgehensweise bei der Ermittlung des Schadens schafft.
REMINDER: EU-U.S. Data Privacy Framework ist vor Schrems III.
Am 03.08.2023 findet das nächste Datenschutz-Frühstück zum Thema „EU-U.S. Data Privacy Framework und dessen Folgen für die internationale Datenübermittlung" statt.
Anmeldungen sind selbstverständlich nach wie vor möglich und auch erwünscht.
(c) dataprotect / 26.07.2023
Autorin: Mag. Theresa Jenner-Braunschmied
In der Beschwerde vom 10.01.2023 brachte die Beschwerdeführerin zusammengefasst vor, durch die vom Beschwerdegegner auf Ersuchen des zuständigen Bezirksgerichtes veranlasste Übermittlung ihrer Daten in ihrem Recht auf Geheimhaltung verletzt worden zu sein. Ihre Daten seien ohne rechtliche Grundlage und ohne ihre Zustimmung im Zusammenhang mit einem laufenden Unterhaltsverfahren an das Bezirksgericht übermittelt worden.
Der Beschwerdegegner erwiderte, dass dieser gemäß Art 102 Abs 2 AußStrG zur Auskunftserteilung gegenüber dem Bezirksgericht verpflichtet war, da die Beschwerdeführerin die Sachleistung „Wohnen in einer teilbetreuten Wohneinrichtung“ als Sozialleistung iSd § 12 Abs 2 Z 1 des Landesgesetzes betreffend die Chancengleichheit von Menschen mit Beeinträchtigung („Oö ChG“) in Anspruch nahm. Die Übermittlung der Daten der Beschwerdeführerin sei daher durch § 102 Abs 2 AußStrG gedeckt und gemäß Art 6 Abs 1 lit c DSGVO auch rechtmäßig erfolgt.
Gemäß § 102 Abs 1 AußStrG haben „Personen, deren Einkommen oder Vermögen für die Entscheidung über den gesetzlichen Unterhalt zwischen in gerader Linie verwandten Personen von Belang ist, dem Gericht hierüber Auskunft zu geben und die Überprüfung von deren Richtigkeit zu ermöglichen“. Gemäß § 102 Abs 2 leg cit kann das Gericht dabei auch „das Arbeitsmarktservice, die in Betracht kommenden Träger der Sozialversicherung und andere Sozialleistungen gewährende Stellen um Auskunft über Beschäftigungs- oder Versicherungsverhältnisse oder über Einkommen von Personen ersuchen, deren Einkommen für die Entscheidung über den gesetzlichen Unterhalt zwischen in gerader Linie verwandten Personen von Belang ist“; die ersuchten Personen sind hierbei gemäß § 102 Abs 4 leg cit zur Auskunft verpflichtet.
Das in § 1 DSG verankerte Grundrecht auf Datenschutz schützt prinzipiell jedermann, der einen Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten hat, vor der Ermittlung seiner Daten und der Weitergabe der über ihn ermittelten Daten. Dieses Grundrecht gilt jedoch nicht absolut, da dieses durch bestimmte, zulässige Eingriffe beschränkt werden darf.
Laut rechtlicher Beurteilung der Datenschutzbehörde stellt die gegenständliche durch den Beschwerdegegner erfolgte Übermittlung der Daten der Beschwerdeführerin an das zuständige Gericht einen solchen zulässigen Eingriff dar. Als Begründung führte die Datenschutzbehörde an, dass der Beschwerdegegner iSd § 102 Abs 2 iVm Abs 4 AußStrG zur Auskunftserteilung gegenüber dem Bezirksgericht verpflichtet gewesen ist, da die Beschwerdeführerin eine Sachleistung als Sozialleistung in Anspruch nahm und der Beschwerdegegner daher als „ausbezahlende“ Stelle zu qualifizieren war. Die Übermittlung der Daten ist somit durch § 102 Abs 2 AußStrG gedeckt und gemäß Art 6 Abs 1 lit c DSGVO auch rechtmäßig erfolgt. Ob die Beschwerdeführerin eine Zustimmung bzw Einwilligung der erteilt hat, ist in einem solchen Fall obsolet, sodass die Beschwerde nicht berechtigt und gemäß § 24 Abs 5 DSG abzuweisen war.
FAZIT: Aus dieser Entscheidung der Datenschutzbehörde ergibt sich, dass die Weiterleitung von Daten auf Ersuchen einer zuständigen Stelle keine Verletzung des Grundrechts auf Datenschutz iSd § 1 DSG darstellt und somit rechtmäßig erfolgt. Dies ist meines Erachtens nicht nur bei Unterhaltsverfahren, sondern auch bei sämtlichen anderen Verfahren, bei welchen eine Auskunftspflicht gegeben ist, der Fall.
(c) dataprotect / 25.07.2023
Autorin: Mag. Theresa Jenner-Braunschmied