Am 4. Mai 2023 hat der Europäische Gerichtshof (EuGH) ein wegweisendes Urteil in der Rechtssache C‑300/21 gefällt, das neue Klarheit in Bezug auf Schadensersatzansprüche bei Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) bringt.
Hintergrund des Falls
Die Österreichische Post hatte 2017 begonnen, Informationen über die politischen Präferenzen der österreichischen Bevölkerung zu sammeln und diese Daten zu verkaufen. Ein betroffener Kunde, der nicht der Verarbeitung seiner personenbezogenen Daten zugestimmt hatte, fühlte sich beleidigt und reichte Klage ein, um die Verarbeitung seiner Daten zu stoppen und eine Entschädigung für den immateriellen Schaden zu erhalten, den er erlitten hatte. Die österreichischen Gerichte gaben ihm in Bezug auf die Verarbeitung seiner Daten Recht, lehnten jedoch sein Schadenersatzbegehren ab.
Das Urteil des EuGH
Der EuGH stellte klar, dass das Vorliegen eines Schadens eine der Voraussetzungen für den Schadenersatzanspruch ist, zusammen mit einem Verstoß gegen die DSGVO und einem Kausalzusammenhang zwischen dem Schaden und dem Verstoß. Eine Auslegung, dass jeder Verstoß gegen die DSGVO automatisch den Schadenersatzanspruch eröffnet, würde dem Wortlaut von Art. 82 Abs. 1 DSGVO widersprechen.
Darüber hinaus hat das Gericht klargestellt, dass keine Anforderung besteht, dass der erlittene immaterielle Schaden einen bestimmten Schweregrad erreichen muss, um ein Recht auf Entschädigung zu begründen. Dies bedeutet, dass jeder Art von immateriellem Schaden, unabhängig von seiner Schwere, potenziell zu einer Entschädigung führen kann, wenn die anderen beiden Bedingungen erfüllt sind.
Bedeutung des Urteils
Das Urteil des Gerichts ist bedeutend, da es bestätigt, dass das Recht auf Entschädigung für immaterielle Schäden infolge rechtswidriger Datenverarbeitung eine wichtige Sicherung der Datenschutzrechte von Einzelpersonen darstellt. Es erkennt auch die breite Auffassung zum “Schaden” an, die von der EU-Gesetzgebung übernommen wurde, zu der jegliche Art von Schaden gehört, den eine Person erleidet.
Insgesamt unterstreicht dieser Gerichtsbeschluss die Bedeutung des Schutzes der Datenschutzrechte von Einzelpersonen und der Gewährleistung wirksamer Abhilfemaßnahmen für jeglichen Schaden, der als Folge rechtswidriger Verarbeitung personenbezogener Daten erlitten wurde. Er hebt auch die Notwendigkeit hervor, dass die Mitgliedstaaten klare und wirksame Mechanismen zur Bestimmung von Entschädigungen in Fällen von immateriellen Schäden infolge vonDSGVO-Verstößen schaffen.
Die Rolle der nationalen Gerichte
Das Gericht betonte jedoch auch, dass die DSGVO keine spezifischen Regeln zur Bewertung von Schäden enthält und es den Rechtsordnungen der einzelnen Mitgliedstaaten überlassen bleibt, den Umfang der in diesem Zusammenhang zu leistenden Entschädigung festzulegen. Solange die Grundsätze der Gleichwertigkeit und Wirksamkeit eingehalten werden, sind die Mitgliedstaaten frei, die detaillierten Regeln für Maßnahmen zur Sicherung der Rechte festzulegen, die Einzelpersonen aus der DSGVO ableiten, und insbesondere die Kriterien zur Bestimmung des Umfangs der in diesem Zusammenhang zu zahlenden Entschädigung.
Fazit
Das Urteil des EuGH in der Rechtssache C‑300/21 liefert wichtige Klarstellungen für die Praxis und unterstreicht die Bedeutung des Schutzes der Datenschutzrechte von Einzelpersonen. Es bestätigt, dass das Recht auf Entschädigung für immaterielle Schäden infolge rechtswidriger Datenverarbeitung eine wichtige Sicherung der Datenschutzrechte von Einzelpersonen darstellt und hebt die Notwendigkeit hervor, dass die Mitgliedstaaten klare und wirksame Mechanismen zur Bestimmung von Entschädigungen in Fällen von immateriellen Schäden infolge von DSGVO-Verstößen schaffen.
Es ist zu erwarten, dass dieses Urteil weitreichende Auswirkungen auf die Praxis haben wird und dazu beitragen wird, die Rechte von Einzelpersonen im Bereich des Datenschutzes weiter zu stärken.
