Im Urteil in der Rechtssache C-300/21 hat der Europäische Gerichtshof (EuGH) entschieden, dass ein Schadenersatzanspruch nach Art. 82 der Datenschutz-Grundverordnung (DSGVO) nicht nur bei einem Verstoß gegen die Datenschutzbestimmungen an sich besteht, sondern auch das Vorliegen eines tatsächlichen Schadens erfordert. Die Entscheidung des EuGH hat Auswirkungen auf Organisationen, die personenbezogene Daten verarbeiten und verdeutlicht die Anforderungen an die Geltendmachung von Schadenersatzansprüchen im Zusammenhang mit Datenschutzverletzungen.
Worum ging es in der Sache?
Die Österreichische Post sammelte Informationen über politische Affinitäten der österreichischen Bevölkerung, um zielgerichtete Werbung zu ermöglichen. Dabei wurde ein Algorithmus verwendet, der verschiedene soziale und demografische Merkmale berücksichtigte. Ein Kläger fühlte sich durch die Verarbeitung seiner Daten ohne seine Zustimmung verletzt und reichte Klage gegen die Österreichische Post ein. Das Landesgericht Wien gab dem Unterlassungsbegehren statt, wies jedoch das Schadenersatzbegehren ab. Das Oberlandesgericht Wien bestätigte diese Entscheidung, woraufhin der Oberste Gerichtshof Österreichs den EuGH mit drei Vorlagefragen anrief.
Wie wurde entschieden?
Der EuGH entschied, dass für die Geltendmachung eines Schadenersatzanspruchs nach Artikel 82 DSGVO nicht nur ein Verstoß gegen die Datenschutzbestimmungen erforderlich ist, sondern auch das Vorliegen eines tatsächlichen Schadens. Das Gericht betonte, dass die Begriffe in Art. 82 DSGVO, insbesondere der Begriff „Schaden“, autonom ausgelegt werden müssen und dass die Anforderungen des Unionsrechts für die Haftung gelten, nicht die nationalen Rechtsvorschriften.
Was heißt das?
Diese Entscheidung hat Konsequenzen für Organisationen, die personenbezogene Daten verarbeiten. Sie verdeutlicht, dass ein Verstoß gegen die DSGVO allein nicht ausreicht, um einen Schadenersatzanspruch geltend zu machen. Vielmehr muss ein tatsächlicher Schaden nachgewiesen werden, der sich vom Verstoß selbst unterscheidet. Dies stellt eine höhere Hürde für die Betroffenen dar, die einen Schadenersatzanspruch aufgrund einer Datenschutzverletzung geltend machen möchten. Behörden sollten sich bewusst sein, dass Schadenersatzansprüche nicht automatisch entstehen und dass der Nachweis eines konkreten Schadens erforderlich ist.
Fazit:
Der EuGH hat mit seinem Urteil klargestellt, dass ein Schadenersatzanspruch nach Artikel 82 DSGVO das Vorliegen eines tatsächlichen Schadens erfordert, der sich vom Verstoß gegen die Datenschutzbestimmungen unterscheidet.
