Schadenersatzanspruch nach DSGVO

In einer Grundsatzentscheidung zur Österreichischen Post AG fiel kürzlich das lang ersehnte Urteil des Europäischen Gerichtshofes (EuGH) zur Auslegung des Schadenersatzanspruchs nach Art. 82 der DSGVO, der in Österreich in § 29 des Datenschutzgesetzes verankert ist. [...]

Mag. Andreas Schütz und Mag. Julia Allen, Juristen der Kanzlei Taylor-Wessing. (c) Taylor-Wessing
Mag. Andreas Schütz und Mag. Julia Allen, Juristen der Kanzlei Taylor-Wessing. (c) Taylor-Wessing

Das Resultat: Der oder die Verantwortliche oder Auftragsver­arbeiter:in im Sinne der DSGVO (in der Regel ein:e Unterneh­mer:in) haftet auch für geringfügige individuelle Schäden, die aus Verstößen gegen die Bestimmungen der DSGVO resultieren. Zum Hintergrund: Die Österreichische Post sammelte Informationen über die politischen Affinitäten der Bevölkerung; so auch über den Kläger. Der Kläger hatte jedoch der Verarbeitung seiner personenbezogenen Daten nicht zugestimmt, weshalb die Datensammlung bei ihm Ärger, einen Vertrauensverlust sowie das Gefühl der Bloßstellung ausgelöst habe. Diesen immateriellen Schaden bezifferte er mit 1.000 Euro. Der Schadenersatz wurde von den österreichischen Gerichten mangels Erreichens einer „Erheblichkeitsschwelle“ abgewiesen.

Gemäß DSGVO umfasst der Schadenersatzanspruch neben materiellen Schäden (z.B. finanzielle Verluste durch Identitätsdiebstahl oder Kreditkartenbetrug, Vermögensschäden durch Umsatzeinbußen) explizit auch immaterielle Schäden (z.B. Rufschädigung, Diskriminierung, emotionale Belastung, Verlust der Selbstbestimmung). Die Voraussetzungen für Schadenersatzanspruch sind dabei der Verstoß gegen eine Bestimmung der DSGVO einerseits und das Vorliegen eines konkreten, nachweisbaren, individuellen Schadens – materieller oder immaterieller Natur – andererseits. Ohne einen Verstoß gegen diese Bestimmungen bleibt der individuelle Schaden aus. Der EuGH hat in seiner Entscheidung nun explizit festgehalten, dass es keine Erheblichkeitsschwelle gibt, das heißt, dass der Schaden kein gewisses Mindestmaß erreichen muss, um ihn vor den Gerichten geltend zu machen. Folglich ist die Einstiegshürde für Schadenersatzforderungen nach der DSGVO niedrig. Die Festsetzung der konkreten Schadenshöhe bleibt im Einzelfall den nationalen Gerichten überlassen. Wesentlich ist hierbei allerdings, dass der konkret erlittene Schaden „vollständig und wirksam“ ausgeglichen wird.

Aber Achtung: Neben den oben beschriebenen Schadenersatzansprüchen können von der Aufsichtsbehörde (in Österreich die Datenschutzbehörde) zusätzlich Geldbußen verhängt werden, für die – im Gegensatz zum Schadenersatzanspruch nach Art. 82 DSGVO – kein individueller Schaden aus der Verletzung einer Bestimmung resultieren muss.

Fazit: Die Einhaltung der DSGVO-Bestimmungen – insbesondere die rechtmäßige Verarbeitung personenbezogener Daten – bleibt unbedingt erforderlich. Eine wirksame Datenschutz-Policy ist daher aus dem heutigen Wirtschaftsleben nicht mehr wegzudenken.

*Mag. Andreas Schütz und Mag. Julia Allen sind Juristen der Kanzlei Taylor-Wessing.


Mehr Artikel

News

Bad Bots werden immer menschenähnlicher

Bei Bad Bots handelt es sich um automatisierte Softwareprogramme, die für die Durchführung von Online-Aktivitäten im großen Maßstab entwickelt werden. Bad Bots sind für entsprechend schädliche Online-Aktivitäten konzipiert und können gegen viele verschiedene Ziele eingesetzt werden, darunter Websites, Server, APIs und andere Endpunkte. […]

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*