Verstoßen Unternehmen gegen die Vorgaben der Datenschutz-Grundverordnung (DSGVO), kann das teuer werden. Das liegt nicht nur an den möglichen Bußgeldern, die Behörden verhängen können, sondern auch am Recht auf Schadensersatz. Denn nach Artikel 82 hat jede Person, der wegen eines DSGVO-Verstoßes „ein materielle oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen“.
DSGVO-Verstoß: So entsteht laut EuGH ein Schadensersatzanspruch
Der Europäische Gerichtshof (EuGH) hat nun geklärt, ob jeder DSGVO-Verstoß Schadensersatzansprüche auslöst. Nein, befanden die Luxemburger Richter (Urteil vom 4. Mai 2023, Az: C‑300/21) und stützten ihre Entscheidung auf den Wortlaut der DSGVO. Artikel 82 Absatz 2 definiere drei Voraussetzungen für die Entstehung eines Schadensersatzanspruches:
- Bei der Verarbeitung personenbezogener Daten wird gegen die DSGVO verstoßen.
- Der betroffenen Person ist ein Schaden entstanden.
- Es besteht ein Zusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden.
Darüber hinaus stellte der EuGH klar, dass sich der Schadensersatzanspruch nicht auf immaterielle Schäden beschränkt, die einen gewissen Grad der Erheblichkeit überschreiten. Wie hoch der Schadenersatzanspruch im Einzelfall ist, müssen den Luxemburger Richtern zufolge nationale Gerichte entscheiden – nach den Vorgaben des jeweiligen EU-Mitgliedstaats.
Unvollständige DSGVO-Auskunft: Ex-Mitarbeiterin fordert 6.000 Euro
Die Hintergründe zur EuGH-Entscheidung
Hintergrund für diese EuGH-Entscheidung ist ein Datenschutzverstoß der Österreichischen Post. Die hatte Informationen über die „politischen Affinitäten“ der österreichischen Bevölkerung erfasst – ohne sich die Zustimmung der betroffenen Bürger einzuholen. Die erfassten Daten nutzte die Post, um ihren Kunden den zielgerichteten Versand von Werbung anzubieten. So kam es dazu, dass ein Mann Wahlwerbung von einer rechtspopulistischen Partei erhielt. Er fühlte sich dadurch „beleidigt und verklagte die Post auf Schadensersatz. Doch der Mann scheiterte zunächst vor dem Landes- und Oberlandesgericht. Der Oberste Gerichtshof legte die Sache schließlich dem EuGH vor.
Wie ist die EuGH-Entscheidung einzuordnen?
Laut der Beratungsgesellschaft Ecovis hat der EuGH mit seiner Entscheidung nun „Klarheit in einige Fragen im Bereich des Schadensersatzes im Datenschutzrecht gebracht“. Erfreulich für Unternehmer sei, dass nicht jeder fahrlässige Verstoß gegen die DSGVO automatisch Schadenersatzansprüche auslöst“. Dennoch sei Vorsicht geboten, so die Beratungsgesellschaft. Denn der EuGH habe in seiner Entscheidung auch klar gestellt, dass jeder Schaden ersatzfähig ist und es keine Bagatellgrenze gibt.
Tipp: Sie wollen keine wichtigen Infos zum Thema Datenschutzrecht verpassen? Dann abonnieren Sie hier den handwerk.com-Newsletter. Jetzt hier anmelden!
Auch interessant:
1.000 Euro Schadensersatz wegen fehlender DSGVO-Auskunft
