Im Gastblog erklärt Robert Faußner, warum der EuGH auch bei kleinen Datenschutzverstößen Schadenersatz erlaubt.

Der Gerichtshof der Europäischen Union (EuGH) hat in der Rechtssache Österreichische Post (EuGH, Urt. v. 04.05.2023 – C-300/21) erstmalig zum datenschutzrechtlichen Schadenersatz nach Art. 82 Datenschutz-Grundverordnung (DS-GVO) ein Urteil gefällt. Dieses wurde mit Spannung erwartet, da diesbezüglich noch sehr viele Rechtsfragen offen sind und Rechtsunsicherheit herrscht.

Die Österreichische Post AG verfügt über eine Gewerbeberechtigung als Adressenverlag und war zehn Jahre lang als Adresshändlerin mit dem Ziel tätig, ihren werbetreibenden Kunden den zielgerichteten Versand von Werbung zu ermöglichen. In diesem Zusammenhang erhob die Österreichische Post AG seit 2017 Informationen zu den Parteiaffinitäten der gesamten österreichischen Bevölkerung. Meinungsforschungsinstitute führten zudem anonyme Umfragen durch, bei denen konkrete Fragen zum Interesse an Wahlwerbung gestellt wurden. Die Ergebnisse kombinierte die Österreichische Post AG mit Statistiken aus Wahlergebnissen, um mithilfe eines Algorithmus "Zielgruppenadressen" nach soziodemografischen Merkmalen zu definieren, denen meistens über hundert Personen zugeschrieben wurden. Die einzelnen Personen wurden je nach Wohnort, Alter, Geschlecht einer oder mehreren Marketinggruppen und -klassifikationen zugeordnet. Dafür kaufte die Österreichische Post AG auch Adressdaten von anderen Adresshändlern oder aus Kunden- und Interessentendateien von Unternehmen zu. Diese Daten wurden an verschiedene Organisationen verkauft.

Schadenersatz aufgrund vermuteter FPÖ-Affinität

Ein Betroffener war über die durch die Österreichische Post AG zugeschriebene "hohe Affinität" zur FPÖ derart verärgert, dass er vor dem Landesgericht für Zivilrechtssachen Wien Klage erhob. Der Kläger verlangte das Unterlassen dieser Verarbeitung und immateriellen Schadenersatz in Höhe von 1.000 Euro. Er führte dabei an, dass ein Sympathisieren mit Parteien des rechten Randes ihm fernliege, weshalb die ihm zugeordnete Parteiaffinität eine Beleidigung und beschämend sowie im höchsten Maß kreditschädigend sei. Das Verhalten der Beklagten habe bei ihm zudem ein großes Ärgernis und einen Vertrauensverlust ausgelöst, aber auch ein Gefühl der Bloßstellung. In diesem Fall wurden die Daten aber nicht an Dritte übermittelt. Mit Urteil vom 14. Juli 2020 gab das Gericht dem Unterlassungsbegehren statt, wies das Schadenersatzbegehren jedoch ab.

Der Rechtsstreit ging über mehrere Instanzen und führte schließlich zur Einbeziehung des EuGH.
IMAGO/U. J. Alexander

Der Kläger legte Berufung ein, und das mit der Berufung befasste Oberlandesgericht Wien bestätigte mit Urteil vom 9. Dezember 2020 das erstinstanzliche Urteil. Nach österreichischem Recht führe nach dem Oberlandesgericht Wien ein Verstoß gegen die Vorschriften zum Schutz personenbezogener Daten nicht automatisch zu einem immateriellen Schaden und begründe nur dann einen Schadenersatzanspruch, wenn ein solcher Schaden eine "Erheblichkeitsschwelle" erreiche. Dies sei jedoch bei den negativen Gefühlen, auf die sich der Kläger des Ausgangsverfahrens berufen habe, nicht der Fall.

Der von beiden Parteien des Ausgangsverfahrens angerufene Oberste Gerichtshof wies darauf hin, dass aus dem Erwägungsgrund 146 DS-GVO hervorgehe, dass mit Art. 82 DS-GVO eine eigenständige Haftungsregelung für den Schutz personenbezogener Daten eingeführt worden sei, die in den Mitgliedsstaaten geltenden Regelungen überlagert habe. Daher seien die in Art. 82 DS-GVO enthaltenen Begriffe, insbesondere der in Art. 82 Abs. 1 DS-GVO verwendete Begriff "Schaden", autonom auszulegen und die Voraussetzungen für den Eintritt der Haftung nicht anhand der Vorschriften des nationalen Rechts, sondern anhand der Anforderungen des Unionsrechts zu bestimmen.

Insofern beschloss der Oberste Gerichtshof am 12.5.2021, das Verfahren auszusetzen und dem EuGH folgende Fragen zur Vorabentscheidung vorzulegen:

Entscheidung des EuGH

Der EuGH entschied zur ersten Vorlagefrage, dass nicht bereits ein bloßer Verstoß gegen die DS-GVO zu einem datenschutzrechtlichen immateriellen Schadensersatzanspruch führt. Kläger müssen vielmehr nachweisen, dass der Datenschutzverstoß auch kausal zu einem Schaden geführt hat. Dies war bisher umstritten. Nationale Gerichte wie zum Beispiel das deutsche Bundesarbeitsgericht (BAG) vertraten die Ansicht, dass das Vorliegen eines Datenschutzverstoßes ausreiche und keine Kausalität zwischen Verstoß und Schaden erforderlich sei.

Bei der zweiten Vorlagefrage weist der EuGH zunächst darauf hin, dass die DS-GVO keine Bestimmung für die Bemessung des Schadenersatzes, insbesondere die Festlegung der Kriterien für die Ermittlung des Umfangs des in diesem Rahmen geschuldeten Schadenersatzes, enthält. Insofern richtet sich laut dem EuGH die Bemessung der Höhe des Schadensersatzanspruchs nach nationalem Recht, soweit die Mitgliedsstaaten die Grundsätze der Effektivität und Äquivalenz einhalten.

Interessant ist dabei aber, dass der EuGH ausdrücklich betont, dass ein "vollständiger und wirksamer Schadenersatz für den erlittenen Schaden" gewährleistet sein muss. Der EuGH verweist zwar im Urteil auf die Ausführungen des Schlussantrags des Generalanwalts, der ein Strafschadenersatz ablehnt, äußert sich aber ausdrücklich nicht zur Frage, ob der Schadenersatz eine abschreckende Wirkung haben muss. Diesbezüglich könnte aber die Vorlagefrage an den EuGH durch das AG München, Vorlagebeschluss v. 03.03.2022 – 132 C 1263/21, Klarheit schaffen.

Bahnbrechend ist aber die Entscheidung zur dritten Vorlagefrage. Eine große Anzahl deutscher Gerichte ist bisher von einer Erheblichkeitsschwelle bzw. Bagatellgrenze bei der Geltendmachung von datenschutzrechtlichen Schadensersatzansprüchen ausgegangen (z. B. LG Hannover, Urt. v. 14.02.2022 – 13 O 129/21; OLG Frankfurt/M., Urt. v. 02.03.2022 – 13 U 206/20; OLG München, Urt. v. 20.09.2022 – 18 U 6314/20 Pre).

Der EuGH entschied nun aber, dass beim datenschutzrechtlichen immateriellen Schadenersatzanspruch nach Art. 82 DS-GVO gerade keine Erheblichkeitsschwelle erforderlich ist! Dies bedeutet, dass auch bei geringfügigen immateriellen Schäden der datenschutzrechtliche Schadenersatz nicht ausgeschlossen ist.

Der Gerichtshof begründet dies mit dem Wortlaut des Art. 82 DS-GVO, in dem von einer Erheblichkeitsschwelle keine Rede ist. Des Weiteren ergebe sich dies aus der Systematik und dem Sinn und Zweck der Schadenersatznorm.

Ab die Post mit den Klagen?

Was sind die Folgen des EuGH-Urteils? Es wurde nun klargestellt, dass der bloße Verstoß gegen eine Norm der DS-GVO nicht allein für eine Geltendmachung eines (immateriellen) Schadensersatzes ausreicht. Dennoch können nun sehr niedrigschwellige immaterielle Schäden wie ein "ungutes Gefühl" oder ein "gefühlter Kontrollverlust" ohne ernstliche Schäden zu einem Anspruch auf Schadensersatz nach Art. 82 DS-GVO führen. Der Fokus wird sich nun aber auf die Darlegungs- und Beweislast des Klägers richten, denn dieser muss zunächst nachweisen, dass der DS-GVO-Verstoß kausal zu einem Schaden geführt hat – und muss diesen Schaden auch noch nachweisen.

Welche Anforderungen an den Nachweis von insbesondere immateriellen Schäden gestellt werden, ist noch ungeklärt. Dies werden die nationalen Gerichte der Mitgliedsstaaten festlegen müssen. Dies ist auch der Fall für die Bemessung des Schadenersatzes. Der EuGH stellte klar, dass die Festlegung der Höhe des Schadenersatzes durch die Gerichte der Mitgliedsstaaten zu bestimmen ist. Es ist damit zu rechnen, dass dieses Urteil dem Geschäftsmodell der massenhaften Geltendmachung von Schadenersatz nach Art. 82 DS-GVO weiter Auftrieb geben wird. (Robert Faußner 28.7.2023)