SBS Firmengruppe Logos

| Datenschutzrecht

Kein Schadensersatz trotz Verstoßes gegen die DSGVO


Die Datenschutzgrundverordnung (DSGVO) ist inzwischen an vielen Stellen in unserem Alltag zu finden. Sie regelt den sicheren Umgang der Unternehmen mit unseren personenbezogenen Daten und sichert sowohl den Schutz von uns als auch den gesammelten Informationen. Um einen Verstoß gegen die DSGVO ahnden zu können und somit den Schutz unserer Daten zu gewährleisten, sieht die DSGVO selbst einen Schadensersatzanspruch für Betroffene vor. In einem neuen Urteil positioniert sich der Europäische Gerichtshof (EuGH) zu diesem Schadensersatzanspruch. Er stellt fest, dass ein bloßer Verstoß gegen die DSGVO allein noch keine Schadensersatzpflicht begründet und im Falle eines Schadensersatzes dieser nicht davon abhängt, dass der Schaden eine gewisse Erheblichkeit erreicht.

Neues EuGH-Urteil klärt Rechtsfragen zu dem DSGVO-Schadensersatzanspruch

Auslöser für die Entscheidung war ein Verfahren vor dem österreichischen Obersten Gerichtshof: Seit 2017 sammelte die Österreichische Post Informationen über die politischen Affinitäten der österreichischen Bevölkerung und fasste diese mithilfe eines Algorithmus zu „Zielgruppenadressen“ nach sozialen und demographischen Merkmalen zusammen; übermittelte die gesammelten Daten allerdings nicht an Dritte. Durch die persönlichen Daten konnte anschließend die Nähe einer bestimmten Person, des Klägers, zu einer politischen Partei abgeleitet werden. Der Kläger hatte der Verarbeitung seiner personenbezogenen Daten durch die Österreichische Post nicht zugestimmt und äußerte neben großer Verärgerung darüber auch Gefühle des Vertrauensverlustes und der Bloßstellung wegen der Zuschreibung zu der konkreten Partei. Daraus resultierte nach Auffassung des Klägers ein immaterieller Schaden in Höhe von 1000 €. Der Oberste Gerichtshof hegte Zweifel bezüglich des in der DSGVO vorgesehenen Schadensersatzanspruchs und wandte sich mit seinen Fragen an den EuGH. Dieser sollte sich vor allem drei zentralen Fragen widmen:

Reicht ein bloßer Verstoß gegen die DSGVO aus, um einen Schadensersatzanspruch zu begründen?

Der in der DSGVO vorgesehene Schadensersatzanspruch ist laut EuGH an drei Voraussetzungen geknüpft, die kumulativ vorliegen müssen. Um einen derartigen Anspruch auszulösen, muss zunächst ein Verstoß gegen die Verordnung vorliegen, aus dem ein Schaden resultiert und bei dem ein Kausalzusammenhang zwischen Verstoß und Schaden besteht. Der EuGH stellte jedoch fest, dass nicht jeder Verstoß direkt eine Schadensersatzpflicht herbeiführt, trotz eines Verstoßes kann also die Schadensersatzpflicht ausbleiben. Etwas anderes anzunehmen, verstoße gegen den Wortlaut der Erwägungsgründe der DSGVO, laut denen ein Verstoß nicht zwangsläufig zu einem kausalen Schaden führe. Damit unterscheidet sich der Schadensersatzanspruch maßgeblich von anderen in der DSGVO vorgesehenen Rechtsbehelfen, insbesondere denen, die die Verhängung von Geldbußen erlauben. Im Kontrast zu dem Schadensersatzanspruch muss bei den sonstigen Rechtsbehelfen der individuelle Schaden nicht im speziellen nachgewiesen werden, sodass der Schadensersatzanspruch strengere Voraussetzungen erfordert.


Muss für den Ersatz eines immateriellen Schadens eine gewisse Erheblichkeit des Schadens erreicht sein?

Das zweite Problem, mit dem sich der EuGH auseinandersetzen musste, war die Frage, ob der Schaden eine gewisse Erheblichkeit aufweisen müsste, um die Ersatzpflicht auszulösen. Dies wurde von dem Gerichtshof verneint. Es gibt nicht nur im Wortlaut der DSGVO keine Erwähnung einer Erheblichkeitsschwelle, eine solche Beschränkung würde auch im Widerspruch mit dem vom Unionsgesetzgeber gewählten weiten Verständnis des Schadensbegriffs stehen. Würde der Schadensersatzanspruch von den Erheblichkeit abhängig gemacht werden, würde das mit der Regelung verfolgte Ziel beeinträchtigt werden, indem die Beurteilung des Schadens von Gericht zu Gericht unterschiedlich hoch ausfallen könnte.

Welche unionsrechtlichen Vorgaben existieren für die Festsetzung der Höhe des Schadensersatzes?

Die DSGVO selbst enthält keine Bestimmungen zu Regelungen der Bemessung des Schadensersatzes, sodass deren Ausgestaltung laut dem EuGH Aufgabe der Mitgliedsstaaten ist. Näher auszugestalten sind dabei insbesondere die Klageverfahren, die den Schutz Einzelner und deren aus der DSGVO erwachsenden Rechte gewährleisten sollen, und die Kriterien für die Ermittlung des Umfangs des geschuldeten Schadensersatzes. Zudem betonte der Gerichtshof die Ausgleichsfunktion des vorgesehenen Schadensersatzanspruchs, der den vollständigen und wirksamen Schadensersatz für erlittene Schäden sicherstellen soll.


SBS LEGAL - Anwalt für Datenschutzrecht

Wir, als Experten im Datenschutzrecht, beraten Sie in allen Belangen rund um den Datenschutz und auch das IT-Recht.

Die DSGVO schützt uns und unsere persönlichen Daten, sodass ein Verstoß dagegen nicht nur einen Eingriff in unsere Rechte darstellen kann, sondern zusätzlich zu einem materiellen oder immateriellen Schaden führen kann. Unser Team hilft Ihnen gerne mit seiner langjährigen fachlichen Expertise bei jeglichen datenschutzrechtlichen Anliegen. Als spezialisierte Anwälte für Datenschutz- und Internetrecht beraten wir Sie gerne ausführlich und mit Blick auf die aktuelle Rechtsprechung zu sämtlichen Belangen, um Sie und Ihre Daten zu schützen.

Sie haben Fragen zu dem Datenschutzrecht oder wollen selbst Auskunft über den Schadensersatzanspruch aus der DSGVO?

Zögern Sie nicht, den Kontakt wegen Ihrer datenschutzrechtlicher Fragen zu uns aufzunehmen! Mit unserer jahrelangen Erfahrung stehen wir Ihnen zur Seite und sind schnell und direkt für Sie zu erreichen.

Der Erstkontakt zu SBS LEGAL ist kostenlos.

SBS Direktkontakt

telefonisch unter (+49) 040 / 7344086-0 oder
per E-Mail unter mail@sbs-legal.de oder
per unten angebotenem SBS Direktkontakt.

Ich habe die Datenschutz-Richtlinien gelesen und stimmen diesen hiermit zu.

Zurück zur Blog-Übersicht