EuGH entscheidet über Schadensersatz für Datenschutzverstöße
Der Europäische Gerichtshof (EuGH) urteilte am 04. Mai in einer sogenannten Vorabentscheidung über die Bedingungen für Schadensersatzansprüche aufgrund von Datenschutzverstößen. Das Urteil senkte die Hürden für die Geltendmachung von Ansprüchen deutlich, blieb jedoch trotzdem hinter den Erwartungen einiger Verbraucherschützer zurück.
Österreicher klagte gegen Österreichische Post AG
Dem Vorabentscheidungsverfahren zugrunde lag das Verfahren eines Österreichers, welches dort bereits in dritter Instanz, also vor dem Obersten Gerichtshof (OGH), geführt wird.
Gegenstand dessen ist, dass die Österreichische Post AG mithilfe eines Algorithmus die Parteipräferenz (unter anderen) des Betroffenen zu bestimmen versuchte und diese mit der jeweilige Wohnanschrift verknüpfte. Die hierbei gewonnen Daten, sollten zum Zwecke gezielter Wahlwerbung an Parteien weitergegeben werden.
Der Betroffene fühlte sich durch die nach seinen Angaben falsche Einordnung seiner politischen Einstellung “erbost und beleidigt” und verlangte Schadensersatz in Höhe von 1.000 Euro. Nach dem sowohl das Gericht der ersten als auch der zweiten Instanz ihm diesen nicht zusprachen, ist nun der OGH für das Verfahren zuständig.
Anders als die Vorinstanzen, sah dieser jedoch Klärungsbedarf im Hinblick auf die hier notwendige Auslegung europäischer Rechtsnormen über den Schadensersatz in Fällen von Datenschutzverstößen. Bestehen solche Zweifel bei einem obersten Nationalgericht – wie dem OGH – ist dieses zur Vorlage an den EuGH verpflichtet.
Weichenstellung durch den EuGH
Der OGH fragte den EuGH daher unter anderem, ob:
- Schon allein der Datenschutzverstoß als solcher ausreiche, um einen Schadensersatzanspruch des Betroffenen auszulösen; und
- Ob es zulässig ist, einen Schadensersatzanspruch davon abhängig zu machen, dass der Schaden ein gewisses Gewicht erreicht.
Datenschutzverstoß als solcher nicht ausreichend
Anders als von einigen Verbraucherschützern erhofft, entschied der EuGH nun, dass allein der Verstoß gegen Datenschutzgesetze nicht für einen Schadensersatzanspruch ausreiche.
Würde man eine solche Handhabung annehmen, würde dies praktisch die Einführung eines Strafschadensersatzanspruches zur Folge haben. Das sah auch schon der zuständige Generalstaatsanwalt Sánchez-Bordona vor wenigen Wochen so. Da Sinn des Ersatzanspruches jedoch gerade der Ausgleich eines Schadens ist, muss ein solcher auch vorliegen beziehungsweise nachgewiesen werden.
Wie ein solcher Nachweis den Betroffenen – welche oft durch Spam E-Mails oder Anrufe belästigt werden – möglich ist, bleibt zunächst offen. Einen direkten Zusammenhang zwischen den Empfang einer unerwünschten Mail und einem Datenleck herzustellen, dürfte bereits deshalb schwierig sein, weil die tatsächlichen Absender oft unbekannt sind und die Zirkulation geleakter Daten kaum nachvollziehbar.
Letztlich bleibt es hier allerdings den nationalen Gerichten überlassen, welche Anforderungen diese an den Nachweis stellen. Wie sich das Urteil hier auswirken wird, bleibt also zunächst offen.
Erheblichkeit nicht weiter von Relevanz
Aus Verbrauchersicht eindeutig positiv ist die Entscheidung des EuGH hinsichtlich der letzteren Vorlagefrage zu betrachten. Der – von vielen Gerichten bisher angeführten – Erheblichkeitsschwelle erteilte dieser nämlich eine eindeutige Absage.
Hintergrund ist, dass bei Schadensersatzansprüchen wegen Datenschutzverstößen oftmals gerade kein Vermögens-, sondern ein sogenannter “immaterieller Schaden” geltend gemacht wird. Von einem solchen ist die Rede, wenn nicht geldwerte Güter, wie z. B. die Gesundheit, körperliche Unversehrtheit oder eben auch das Recht auf informationelle Selbstbestimmung des Verletzten betroffen sind. Hier urteilten die Gerichte bislang oftmals, dass Bagatellfälle – wie etwa der Versand von Spam – nicht zu einem Ersatzanspruch führen könnten.
Dem erteilte der EuGH nun jedoch eine Absage. Schon die effektive Durchsetzung europäischen Rechts stehe einer solchen Rechtsanwendung entgegen.
Zusammenfassung
Das Urteil des EuGH vom 04. Mai stellt wichtige Weichen in Sachen Rechtsdurchsetzung bei Datenschutzverstößen und verschafft Verbrauchern Klarheit. Abzuwarten bleibt die Umsetzung des Urteils durch die nationalen Gerichte.
Hier ist zu fordern, dass diese Ansprüche nicht erneut über den Gesetzeswortlaut hinaus beschränken, um Klagen aus dem Weg zu gehen. Sollte dies doch der Fall sein, dürfte der EuGH schon bald erneut zu entscheiden haben.