Der Europäische Gerichtshof erkennt Nutzer:innen das Recht auf Schadenersatz für die unrechtmäßige Verarbeitung ihrer Daten an. Ein Anspruch besteht zwar nicht grundsätzlich bei jedem Verstoß, sondern es muss konkreter ein Schaden für die betroffene Person entstanden sein. Die Schwere dieses Schadens spielt für die Frage ob ein Schadenersatz fällig wird, jedoch keine entscheidende Rolle, da eine Erheblichkeitsschwelle der DSGVO nicht zu entnehmen ist. Dies wurde in einem am 04. Mai 2023 veröffentlichten Urteil des EuGH festgestellt.
Verletzung grundlegender Rechte
Im konkreten Fall entschied das EU-Gericht über einen Datenschutzverstoß durch die Österreichische Post. Das Unternehmen hatte eine große Menge an Daten über Menschen in Österreich gesammelt, darunter Adressen und demografische Informationen, und ihnen aufgrund dieser Daten eine "Affinität" zu politischen Parteien zugeschrieben. Die Post bot diese Daten ihrer Werbekundschaft an, darunter auch österreichischen Parteien. Dies wurde jedoch von der Datenschutzbehörde als rechtswidrig eingestuft. Eine Datenschutzstrafe gegen das Unternehmen wurde jedoch später von einem österreichischen Gericht aufgrund eines Formfehlers aufgehoben.
Österreichische Post zahlte freiwillig Schadensersatz
Zuletzt zahlte die Post in einem außergerichtlichen Vergleich Schadenersatz in Höhe von bis zu 1.350 Euro an etwa 2.000 betroffene Personen. Es war jedoch unklar, unter welchen Umständen sie dazu rechtlich verpflichtet war.
Die Prüfung des Gerichts
Der Kläger verlangte trotzdem weiter gerichtlich Schadenersatz für die rechtswidrige Verarbeitung seiner Daten und brachte den Fall vor den österreichischen Obersten Gerichtshof. Dieser bat den EuGH um Klärung, ob nicht ein erheblicher Schaden nachgewiesen werden müsse, um einen Anspruch auf Schadenersatz zu haben.
Datenschützer Schrems zeigt sich zufrieden
Der EuGH hat nun geklärt, dass es keine "Erheblichkeitsschwelle" für Schadenersatz gibt. Die Ablehnung einer solchen Schwelle durch das Gericht in Luxemburg wurde vom österreichischen Juristen Max Schrems von der Datenschutzorganisation noyb in einer Pressemitteilung begrüßt. Er erklärte: "Eine ganze Gruppe von Juristen hat versucht, die DSGVO umzuinterpretieren, um zu vermeiden, dass Nutzern Schadenersatz gezahlt werden muss. Der EuGH hat dem nun ein Ende bereitet."
Auswirkungen auf den Datenschutz
Die Klarstellung des EuGH ebnet den Weg für angemessenen Schadenersatz. Der betroffene Kläger hatte von der Post 1.000 Euro gefordert. Es ist zu erwarten, dass sich ähnliche Schadensersatzsummen als Standard etablieren werden.
.svg)
