EuGH, Urt. 4.5.2023 - C-300/21
Keine Bagatellschwelle in Art. 82 DSGVO
Autor: RA Markus Rössel, LL.M. (Informationsrecht), Köln
Aus: IT-Rechtsberater, Heft 07/2023
Aus: IT-Rechtsberater, Heft 07/2023
Der von Art. 82 Abs. 1 DSGVO vorausgesetzte Schaden muss keinen bestimmten Grad an Erheblichkeit erreichen.
VO (EU) 2016/679 Art. 82
Unionsautonomer Schadensbegriff: Unionsrechtsbegriffe, die, wie der „Schaden“ i.S.v. Art. 82 DSGVO, für ihre Interpretation nicht ausdrücklich auf nationales Recht verwiesen, müssten i.d.R. in der EU autonom und einheitlich ausgelegt werden. Aus dem Wortlaut von Art. 82 Abs. 1 und 2, Erwgrd. 75, 85, 146 DSGVO gehe klar hervor, dass das Vorliegen eines „Verstoßes“ gegen die DSGVO, eines „Schadens“ und ihr Kausalzusammenhang kumulative Voraussetzungen für den Schadenersatzanspruch darstellten (Rz. 29–37, 44).
Systematische Abgrenzung: Die Artt. 77, 78, 83, 84 DSGVO zu Rechtsbehelfen und Sanktionen setzten keinen Schaden voraus, woraus sich dessen eigenständige Bedeutung ergebe. Die unterschiedlichen Bestimmungen des Kapitels böten sich ergänzende Anreize zur Einhaltung der DSGVO. Art. 82 DSGVO sei geeignet, von der Wiederholung von Verstößen abzuschrecken (Rz. 39 f.).
Kein Ausschluss von Bagatellschäden: Eine Erheblichkeitsschwelle stünde im Widerspruch zum weiten Schadensbegriff i.S.v. Erwgrd. 146 Satz 3 DSGVO, der „den Zielen der Verordnung in vollem Umfang“ zu entsprechen habe, die nach Erwgrd. 10 DSGVO ein hohes Datenschutzniveau beinhalteten (vgl. zu Art. 15 Abs. 1 lit. c DSGVO bzgl. Datenempfängern, EuGH v. 12.1.2023 – C-154/21 – Österr. Post I Rz. 44, K&R 2023, 118 = CR 2023, 103 m. Anm. Füllsack/Kirschke-Biller = ITRB 2023, 31 [Johnson/Kornbrust]). Demgegenüber könne eine von verschiedenen Gerichten zu beurteilende Erheblichkeitsschwelle die Kohärenz von Art. 82 DSGVO beeinträchtigen (Rz. 45–49).
Nachweis eines Schadens: Der Betroffene müsse allerdings nachweisen, dass die für ihn negativen Folgen des DSGVO-Verstoßes einen Schaden i.S.v. Art. 82 DSGVO darstellten (Rz. 50).
Ersatzbemessung: Mangels einschlägiger Unionsregeln sei es nach dem Grundsatz der Verfahrensautonomie Sache der nationalen Rechtsordnung, die verfahrensrechtlichen Modalitäten der Rechtsbehelfe bei Unionssachverhalten festzulegen. Diese Modalitäten dürften nicht ungünstiger als bei innerstaatlichem Recht unterliegenden Sachverhalten sein (Äquivalenzgrundsatz) und die Ausübung der Unionsrechtsrechte nicht übermäßig erschweren (Effektivitätsgrundsatz; Rz. 53).
Ausgleichsfunktion: Eine Entschädigung sei „vollständig und wirksam“ i.S.v. Erwgrd. 146 Satz 6 DSGVO, wenn sie den Ausgleich des konkret erlittenen Schadens in vollem Umfang ermögliche, ohne Strafschadenersatz zu bewirken (Rz. 57 f.).
VO (EU) 2016/679 Art. 82
Das Problem
Ein Adressenhändler generierte aus sozialen und demografischen Merkmalen Informationen über Neigungen von Österreichern zu politischen Parteien zwecks Verkaufs für zielgerichtete Werbung. Bei einem Betroffenen löste die Zuordnung zur FPÖ ein Gefühl der Bloßstellung aus, verursachte aber sonst keinen Schaden. Der OGH ging davon aus, dass durch die statistischen Wahrscheinlichkeitsberechnungen Art. 9 Abs. 1 DSGVO verletzt wurde und ein immaterieller Schaden i.S.v. Art. 82 Abs. 1 DSGVO – vorbehaltlich klärungsbedürftiger Erheblichkeitsschwelle – „einen konkret nachzuweisenden ideellen Nachteil durch den Datenschutzverstoß [voraussetzt, aus dem] Leidenszustände aufgrund einer erfolgten oder auch nur drohenden Bloßstellung“ o.Ä. herrühren.Die Entscheidung des Gerichts
Art. 82 DSGVO setze kein besonderes Ausmaß für einen Schaden aus einem DSGVO-Verstoß voraus.Unionsautonomer Schadensbegriff: Unionsrechtsbegriffe, die, wie der „Schaden“ i.S.v. Art. 82 DSGVO, für ihre Interpretation nicht ausdrücklich auf nationales Recht verwiesen, müssten i.d.R. in der EU autonom und einheitlich ausgelegt werden. Aus dem Wortlaut von Art. 82 Abs. 1 und 2, Erwgrd. 75, 85, 146 DSGVO gehe klar hervor, dass das Vorliegen eines „Verstoßes“ gegen die DSGVO, eines „Schadens“ und ihr Kausalzusammenhang kumulative Voraussetzungen für den Schadenersatzanspruch darstellten (Rz. 29–37, 44).
Systematische Abgrenzung: Die Artt. 77, 78, 83, 84 DSGVO zu Rechtsbehelfen und Sanktionen setzten keinen Schaden voraus, woraus sich dessen eigenständige Bedeutung ergebe. Die unterschiedlichen Bestimmungen des Kapitels böten sich ergänzende Anreize zur Einhaltung der DSGVO. Art. 82 DSGVO sei geeignet, von der Wiederholung von Verstößen abzuschrecken (Rz. 39 f.).
Kein Ausschluss von Bagatellschäden: Eine Erheblichkeitsschwelle stünde im Widerspruch zum weiten Schadensbegriff i.S.v. Erwgrd. 146 Satz 3 DSGVO, der „den Zielen der Verordnung in vollem Umfang“ zu entsprechen habe, die nach Erwgrd. 10 DSGVO ein hohes Datenschutzniveau beinhalteten (vgl. zu Art. 15 Abs. 1 lit. c DSGVO bzgl. Datenempfängern, EuGH v. 12.1.2023 – C-154/21 – Österr. Post I Rz. 44, K&R 2023, 118 = CR 2023, 103 m. Anm. Füllsack/Kirschke-Biller = ITRB 2023, 31 [Johnson/Kornbrust]). Demgegenüber könne eine von verschiedenen Gerichten zu beurteilende Erheblichkeitsschwelle die Kohärenz von Art. 82 DSGVO beeinträchtigen (Rz. 45–49).
Nachweis eines Schadens: Der Betroffene müsse allerdings nachweisen, dass die für ihn negativen Folgen des DSGVO-Verstoßes einen Schaden i.S.v. Art. 82 DSGVO darstellten (Rz. 50).
Ersatzbemessung: Mangels einschlägiger Unionsregeln sei es nach dem Grundsatz der Verfahrensautonomie Sache der nationalen Rechtsordnung, die verfahrensrechtlichen Modalitäten der Rechtsbehelfe bei Unionssachverhalten festzulegen. Diese Modalitäten dürften nicht ungünstiger als bei innerstaatlichem Recht unterliegenden Sachverhalten sein (Äquivalenzgrundsatz) und die Ausübung der Unionsrechtsrechte nicht übermäßig erschweren (Effektivitätsgrundsatz; Rz. 53).
Ausgleichsfunktion: Eine Entschädigung sei „vollständig und wirksam“ i.S.v. Erwgrd. 146 Satz 6 DSGVO, wenn sie den Ausgleich des konkret erlittenen Schadens in vollem Umfang ermögliche, ohne Strafschadenersatz zu bewirken (Rz. 57 f.).