EuGH-Urteil: Breiter Schadenersatzanspruch ist im Sinne der DSGVO

Der EuGH hat bestätigt, dass die DSGVO keine Erheblichkeitsschwelle für Schadenersatz vorgibt. Das Auskunftsrecht für Betroffene etwa von Scoring fasst er weit.

In Pocket speichern vorlesen Druckansicht 8 Kommentare lesen

(Bild: Zolnierek/Shutterstock.com)

Lesezeit: 5 Min.
Inhaltsverzeichnis

Fast fünf Jahre nach dem Greifen der Datenschutz-Grundverordnung (DSGVO) hat der Europäische Gerichtshof (EuGH) am Donnerstag in zwei Urteilen bisher damit verknüpfte höchst umstrittene Rechtsfragen geklärt. Zum einen haben die Luxemburger Richter klargestellt, dass die Verordnung keine Erheblichkeitsschwelle für Schadenersatz festlegt. Antragsteller müssen also keinen schwerwiegenden immateriellen Schaden nachweisen. Eine solche Grenze existierte im deutschen Recht vor der Einführung der DSGVO. Zum anderen hat der EuGH den Inhalt und den Umfang des Auskunftsrechts, das Betroffene einer Datenverarbeitung nach der Verordnung haben, breit ausgelegt.

In dem einen Fall, den der österreichische Oberste Gerichtshof (OGH) dem EuGH vorlegte, geht es um die Auswirkungen eines massiven Datenmissbrauchs durch die Post der Alpenrepublik. Der Dienstleister sammelte von 2017 an Informationen über die politischen Affinitäten der österreichischen Bevölkerung. Mithilfe eines Algorithmus definierte er anhand sozialer und demografischer Merkmale "Zielgruppenadressen". Aus den erhobenen Daten leitete die Österreichische Post ab, dass ein bestimmter Bürger eine hohe Affinität zu einer bestimmten österreichischen politischen Partei – der rechten FPÖ – habe.

Die so erlangten Informationen gingen zwar nicht an Dritte. Der Kläger verlangte dennoch Schadenersatz in Höhe von 1000 Euro für die rechtswidrige Verarbeitung seiner Daten. Er führte ins Feld, dass die behauptete Nähe zur FPÖ für ihn ein großes Ärgernis gewesen sei, verknüpft mit einem Vertrauensverlust sowie einem Gefühl der Bloßstellung. Diesen immateriellen Schaden müsse die Post ersetzen.

Bisher lehnten nationale Gerichte Ansprüche wegen des Nichterreichens einer vermeintlichen "Erheblichkeitsschwelle" für immaterielle Schäden oft ab. Auch der OGH schloss sich dieser vor allem von deutschen Juristen vertretenen Auffassung prinzipiell an und bat den EuGH um seine Interpretation. Dieser erklärte nun, dass der in der DSGVO vorgesehene Schadenersatzanspruch eindeutig an mehrere Voraussetzungen geknüpft ist. So müsse es etwa einen "Kausalzusammenhang zwischen dem Schaden und dem Verstoß" geben. Nicht jeder Verstoß gegen die DSGVO eröffne also für sich genommen ein Recht auf Entschädigung.

Die Luxemburger Richter hoben aber auch hervor, dass der Schadenersatzanspruch nicht auf immaterielle Schäden beschränkt ist, die eine gewisse Erheblichkeit erreichen. In der DSGVO werde ein solches Erfordernis nicht erwähnt, schreiben sie in dem Urteil in der Rechtssache C-300/2. Eine solche Beschränkung stünde auch zu dem vom Gesetzgeber gewählten weiten Verständnis des Begriffs "Schaden" im Widerspruch und würde die kohärente Anwendung der Verordnung gefährden. Die Mitgliedsstaaten seien daher gefordert, Kriterien für die Ermittlung des Umfangs des in diesem Rahmen geschuldeten Schadenersatzes festzulegen. Dabei müssten sie unter anderem beachten, dass der Ausgleich vollständig und wirksam sowie gleichwertig mit anderen immateriellen Ansprüchen ist.

Die Post hatte vor Kurzem in einem außergerichtlichen Vergleich rund 2000 Betroffenen einen Schadenersatz in Höhe von bis zu 1350 Euro gezahlt, was ihr insgesamt Kosten in Millionenhöhe verursachte. Offen blieb zunächst aber, ob und in welchem Ausmaß sie dazu rechtlich verpflichtet war. Max Schrems von der österreichischen Datenschutzorganisation Noyb begrüßte daher die Entscheidung: "Eine ganze Gruppe von Juristen hat versucht, die DSGVO umzuinterpretieren, um zu vermeiden, dass Schadenersatz an Nutzer zu zahlen ist. Der EuGH hat dem nun ein Ende bereitet."

Pascal Schumacher, Partner bei der Kanzlei Noerr in Berlin, bedauerte dagegen, der EuGH habe durch den Verzicht auf das Erfordernis einer Bagatellgrenze eine Gelegenheit verpasst, "der bisherigen, teilweise ausufernden Rechtsprechung einen Riegel vorzuschieben". Wichtig sei aber der nötige Nachweis einer erlittenen kausalen Beeinträchtigung: "Es genügt daher nicht zu behaupten, ein Hacker habe meine Daten wegen unzureichender Sicherheitsmaßnahmen erbeuten können."

Der zweite, jetzt entschiedene Fall stammt ebenfalls aus Österreich. Das dortige Bundesverwaltungsgericht wollte in der Rechtssache C-487/21 vom EuGH wissen, wie weit das in der DSGVO verankerte Auskunftsrecht über eigene personenbezogene Daten reicht. Anlass war, dass die Auskunftei Crif (Deltavista) einem Kunden nur in aggregierter Form eine Liste der von ihm verarbeiteten Informationen übermittelte, nicht jedoch die von ihm verlangte Kopie von Dokumenten wie E-Mails und Auszüge aus Datenbanken "in einem üblichen technischen Format".

Der Betroffene wandte sich daher zunächst an die österreichische Datenschutzbehörde, die seine Beschwerde aber abwies, und in Folge an die Gerichte. Der EuGH entschied nun, dass das österreichische Schufa-Pendant, dessen jahrelange Scoringpraxis als weitgehend rechtswidrig gilt, dem Kläger "eine originalgetreue und verständliche Reproduktion" aller seiner über ihn verarbeiteten Daten aushändigen muss. Dies schließe Kopien von Dokumenten und Auszüge aus Datenbanken ein, "wenn die Zurverfügungstellung einer solchen Kopie unerlässlich ist, um der betroffenen Person die wirksame Ausübung der ihr durch die DSGVO verliehenen Rechte zu ermöglichen". Rechte und Freiheiten Dritter seien dabei zu berücksichtigen.

Der Begriff "Kopie" beziehe sich nicht auf ein Dokument als solches, "sondern auf die personenbezogenen Daten, die es enthält und die vollständig sein müssen", erläuterten die Luxemburger Richter zugleich. Es müsse einem Betroffenen möglich sein zu prüfen, ob die über ihn gesammelten Informationen in zulässiger Weise verarbeitet werden. Verantwortliche sollten zudem geeignete Maßnahmen treffen, um alle einschlägigen Daten "in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln". Insbesondere, wenn personenbezogene Angaben aus anderen Daten generiert werden oder wenn sie auf freien Feldern beruhen, sei auch der Kontext der Verarbeitung unerlässlich.

(mho)