In einer Grundsatzentscheidung zur Österreichischen Post AG fiel kürzlich das lang ersehnte Urteil des Europäischen Gerichtshofes (EuGH) zur Auslegung des Schadenersatzanspruchs nach Art. 82 der DSGVO, der in Österreich in § 29 des Datenschutzgesetzes verankert ist. [...]
Das Resultat: Der oder die Verantwortliche oder Auftragsverarbeiter:in im Sinne der DSGVO (in der Regel ein:e Unternehmer:in) haftet auch für geringfügige individuelle Schäden, die aus Verstößen gegen die Bestimmungen der DSGVO resultieren. Zum Hintergrund: Die Österreichische Post sammelte Informationen über die politischen Affinitäten der Bevölkerung; so auch über den Kläger. Der Kläger hatte jedoch der Verarbeitung seiner personenbezogenen Daten nicht zugestimmt, weshalb die Datensammlung bei ihm Ärger, einen Vertrauensverlust sowie das Gefühl der Bloßstellung ausgelöst habe. Diesen immateriellen Schaden bezifferte er mit 1.000 Euro. Der Schadenersatz wurde von den österreichischen Gerichten mangels Erreichens einer „Erheblichkeitsschwelle“ abgewiesen.
Gemäß DSGVO umfasst der Schadenersatzanspruch neben materiellen Schäden (z.B. finanzielle Verluste durch Identitätsdiebstahl oder Kreditkartenbetrug, Vermögensschäden durch Umsatzeinbußen) explizit auch immaterielle Schäden (z.B. Rufschädigung, Diskriminierung, emotionale Belastung, Verlust der Selbstbestimmung). Die Voraussetzungen für Schadenersatzanspruch sind dabei der Verstoß gegen eine Bestimmung der DSGVO einerseits und das Vorliegen eines konkreten, nachweisbaren, individuellen Schadens – materieller oder immaterieller Natur – andererseits. Ohne einen Verstoß gegen diese Bestimmungen bleibt der individuelle Schaden aus. Der EuGH hat in seiner Entscheidung nun explizit festgehalten, dass es keine Erheblichkeitsschwelle gibt, das heißt, dass der Schaden kein gewisses Mindestmaß erreichen muss, um ihn vor den Gerichten geltend zu machen. Folglich ist die Einstiegshürde für Schadenersatzforderungen nach der DSGVO niedrig. Die Festsetzung der konkreten Schadenshöhe bleibt im Einzelfall den nationalen Gerichten überlassen. Wesentlich ist hierbei allerdings, dass der konkret erlittene Schaden „vollständig und wirksam“ ausgeglichen wird.
Aber Achtung: Neben den oben beschriebenen Schadenersatzansprüchen können von der Aufsichtsbehörde (in Österreich die Datenschutzbehörde) zusätzlich Geldbußen verhängt werden, für die – im Gegensatz zum Schadenersatzanspruch nach Art. 82 DSGVO – kein individueller Schaden aus der Verletzung einer Bestimmung resultieren muss.
Fazit: Die Einhaltung der DSGVO-Bestimmungen – insbesondere die rechtmäßige Verarbeitung personenbezogener Daten – bleibt unbedingt erforderlich. Eine wirksame Datenschutz-Policy ist daher aus dem heutigen Wirtschaftsleben nicht mehr wegzudenken.
*Mag. Andreas Schütz und Mag. Julia Allen sind Juristen der Kanzlei Taylor-Wessing.
Be the first to comment