Der Europäische Gerichtshof ebnet den Weg für Personen, welche durch Datenschutzverstöße geschädigt wurden.
Ausgangsituation der Entscheidung war, dass die Österreichische Post, eine im Adresshandel tätige Gesellschaft des öffentlichen Rechts, seit 2017 Informationen über die politischen Affinitäten der österreichischen Bevölkerung sammelte. Mit Hilfe eines Algorithmus, der verschiedene soziale und demografische Merkmale berücksichtigte, definierte sie „Zielgruppenadressen“. Die so generierten Daten wurden an verschiedene Organisationen verkauft, um ihnen den zielgerichteten Versand von Werbung zu ermöglichen.
Österreicher klagt auf immateriellen Schadensersatz
Der Kläger hatte der VerarbeitungJeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgan... More der Daten nicht zugestimmt und fühlte sich durch seine Zuordnung zu einer bestimmten Partei beleidigt. Daraufhin erhob er Klage beim Landgericht für Zivilrechtssachen Wien gegen die Österreichische Post auf Unterlassung der VerarbeitungJeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgan... More der fraglichen personenbezogenen Daten und auf Zahlung von 1 000 Euro, als Ersatz des ihm angeblich entstandenen immateriellen Schadens. Zwar hatte die Österreichische Post zuletzt in einem außergerichtlichen Verfahren rund 2000 Betroffenen einen Schadensersatz in Höhe von bis zu 1350 Euro gezahlt, allerdings war nicht abschließend geklärt, unter welchen Umständen eine Verpflichtung bestanden hätte.
Das Gericht gab dem Unterlassungsbegehren in seinem Urteil vom 14. Juli 2020 statt, wies allerdings den Schadensersatzanspruch ab. Dieses Urteil wurde von dem, mit der Berufung befassten, Oberlandesgericht Wien mit dem Urteil vom 9. Dezember 2020 bestätigt. Der Kläger ging weiter bis vor den österreichischen Obersten Gerichtshof, welcher schließlich den EuGH befragte
Erheblichkeitschwelle nicht erforderlich
Geklärt werden musste nun, ob eine sogenannte „Erheblichkeitsschwelle“ für Schadensersatz besteht, also ob der der betroffenen Person entstandene Schaden einen bestimmten Grad erreicht hat. Der EuGH wies mit dem Urteil vom 4. Mai 2023 eine solche Schwelle zurück. Art. 82 Abs. 1 DSGVOVerordnung (EU) 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitu... More sei dahin auszulegen, dass er sonstigen Regelungen, welche eine solche „Erheblichkeitsschwelle“ voraussetzen, entgegensteht. Allerdings eröffnet nicht jeder Datenschutzverstoß allein ein Recht auf Entschädigung. Mehrere Vorausetunge müssen hierfür erfüllt werden, wie etwa der Kausalzusammenhang zwischen dem Schaden und dem Verstoß.
Die Entscheidung des EuGH wird von Datenschützern begrüßt. So schreibt etwa Max Schrems in einer Pressemitteilung von noyb: „Eine ganze Branche hat versucht, die Datenschutz-Grundverordnung neu auszulegen, um zu vermeiden, dass sie den Nutzern, deren Rechte sie verletzt haben, Schadenersatz zahlen muss. Dies scheint abgelehnt worden zu sein. Wir sind sehr froh über das Ergebnis.”
