Mögliche Millionenstrafen nach Verstößen gegen die Datenschutzgrundverordnung (DSGVO) sind in Österreich spätestens seit den Medienberichten der letzten Monate nichts Neues. Vielen Verantwortlichen ist jedoch nicht bewusst, dass neben einer Strafe durch die Datenschutzbehörde auch Schadenersatzzahlungen betroffener Personen drohen. Auch hier geht es potenziell um sehr hohe Summen.

Sowohl die DSGVO als auch das nationale Datenschutzgesetz (DSG) eröffnen den durch eine Datenschutzverletzung betroffenen Personen die Möglichkeit, Schadenersatzansprüche gegen Verantwortliche geltend zu machen. Das Datenschutzrecht bietet neben der Durchsetzung materieller Schadenersatzansprüche, also in Geld messbarer Vermögensschäden, auch die Möglichkeit, Ersatz für immaterielle Schäden, die nicht in Geld messbar sind, zu verlangen.

Bekannte Beispiele für derartige Ansprüche sind Schmerzensgeld oder Ersatz für entgangene Urlaubsfreuden. Immaterielle Schäden sind im österreichischen Recht aber grundsätzlich nur in Ausnahmefällen zu ersetzen. Für Datenschutzverstöße sehen Art. 82 DSGVO und § 29 DSG explizit vor, dass auch sie zu ersetzen sind.

Für die Durchsetzbarkeit von Schadenersatzansprüchen wird vorausgesetzt, dass tatsächlich ein Schaden entstanden ist, den die geschädigte Person vor Gericht zu behaupten und zu beweisen hat. Über die Frage, worin bei einem Verstoß gegen Datenschutzrecht der konkrete immaterielle Schaden liegt bzw. liegen kann, lässt sich allerdings trefflich streiten.

Der EuGH ist gefragt

Dazu ist derzeit auch der Europäische Gerichtshof (EuGH) aufgrund eines österreichischen und eines deutschen Vorabentscheidungsersuchens (C-300/21 und C-687/21) gefragt. Der Oberste Gerichtshof (OGH) hat dem EuGH unter anderem die Vorlagefrage gestellt, ob allein schon die Verletzung von Datenschutzbestimmungen für den Zuspruch von Schadenersatz ausreicht oder ob die betroffene Person darüber hinaus tatsächlich einen Schaden erlitten haben muss.

Zur Begründung führte der OGH (6 Ob 35/21x) aus, dass der Ersatz eines immateriellen Schadens nach Art 82 DSGVO einen konkret nachzuweisenden ideellen Nachteil voraussetzt. Dies können beispielsweise Gefühlsbeeinträchtigungen wie Ängste oder Stress sein, die aus einem Datenschutzverstoß resultieren. Derartige Beeinträchtigungen müssen laut dem Obersten Gerichtshof zwar nicht besonders schwerwiegend sein, sind aber von unbeachtlichen Unannehmlichkeiten abzugrenzen, die mit der Rechtsverletzung typischerweise einhergehen.

Strafwirkung

Andernfalls hätte die Ersatzpflicht eine Art von Strafwirkung. Ein Strafschadenersatz aber wäre dem Unionsrecht im Allgemeinen fremd. Dementsprechend wurde der EuGH auch gefragt, ob für den Zuspruch immateriellen Schadens eine Folge der Rechtsverletzung von zumindest einigem Gewicht vorliegen muss, die über den üblichen Ärger hinausgeht.

Da Datenanwendungen in der Regel Standardisiert ablaufen, passieren auch Fehler beim Datenschutz oftmals "Standardisiert" und können dadurch eine Vielzahl an Personen betreffen. Daraus wiederum kann sich aus Sicht der Verantwortlichen auch bei geringen Schadenersatzansprüchen der einzelnen Betroffenen in Summe ein erhebliches Kostenrisiko ergeben.

Man darf also gespannt sein, ob und welche "Spürbarkeitsschwelle" aus Sicht des EuGH für einen immateriellen Schadenersatzanspruch überschritten werden muss. (Marco Riegler, Thomas Schwab, 16.5.2022)