[The lead of this article was modified to better reflect the ruling of the ECJ]
Der Europäische Gerichtshof hat in einem Urteil klargestellt, dass ein „bloßer Verstoß“ gegen die europäischen Datenschutzvorschriften nicht ausreicht, um Schadensersatz zu verlangen, hat aber nicht definiert, was ein immaterieller Schaden tatsächlich ist.
Das Urteil vom Donnerstag (4. Mai) befasste sich mit den Voraussetzungen, unter denen ein durch einen Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) verursachter Schaden als so schwerwiegend angesehen werden kann, dass ein Kläger eine Entschädigung erwarten kann.
Der Fall wurde von einem Kläger erhoben, dessen Daten von der Österreichischen Post zur Feststellung der politischen Zugehörigkeit zum Zweck der gezielten politischen Werbung per Post verarbeitet wurden. Die Verarbeitung erfolgte ohne seine Zustimmung und deutete auf eine „hohe Affinität“ zur österreichischen Rechtsextremisten FPÖ hin.
Dies verursachte dem Kläger „große Verärgerung“, der nach dem Haftungsregime der DSGVO Ersatz für „immateriellen Schaden“ forderte. Der österreichische Oberste Gerichtshof hat Zweifel an der Höhe der Entschädigungsansprüche für materielle und immaterielle Schäden geäußert und den Europäischen Gerichtshof (EuGH) aufgefordert, in dieser Angelegenheit zu entscheiden.
Ob eine von einem DSGVO-Verstoß betroffene natürliche Person, die einen immateriellen Schaden verursacht hat, Schadensersatz verlangen kann, ist Gegenstand heftiger Debatten – in vergleichbaren Fällen in den Mitgliedstaaten haben die nationalen Gerichte die Angelegenheit unterschiedlich entschieden.
Drei notwendige Bedingungen
In einer mit Spannung erwarteten Entscheidung urteilte der EuGH, dass „nicht jeder Verstoß gegen die DSGVO für sich genommen ein Recht auf Schadensersatz begründet“.
Stattdessen wies das Gericht auf drei notwendige Bedingungen hin, die ein Kläger erfüllen muss, um Ansprüche auf Entschädigung zu erhalten: dass ein Verstoß gegen die DSGVO vorliegt, dass der Verstoß zu materiellen oder immateriellen Schäden geführt hat und dass ein kausaler Zusammenhang zwischen ihnen hergestellt werden kann die Verletzung und der Folgeschaden.
„Der EuGH [ECJ] sagt jetzt: Ohne Schaden kein Schadensersatz“, sagte Simon Assion, Rechtsanwalt und Partner der Kanzlei Bird & Bird, weiter Twitter.
Daher geht es darum, die Höhe des immateriellen Schadens zu definieren.
„Schwelle der Ernsthaftigkeit“ abgeschafft
Bei dem Versuch, den immateriellen Schaden zu bestimmen, entschied sich der EuGH, der im Oktober letzten Jahres veröffentlichten Stellungnahme des Generalanwalts nicht zu folgen, der eine „Schwereschwelle“ forderte, oberhalb derer immaterieller Schaden ersetzt werden könnte.
Die Stellungnahme hatte damals Bedenken geweckt, dass eine immaterielle Schadensschwelle, wie Stress oder Verschlechterung der psychischen Gesundheit, in der Praxis besonders komplex zu bestimmen sein könnte und daher die Rechte von Antragstellern gemäß der DSGVO verletzen könnte.
Einige immaterielle Schäden wären als „echt“ eingestuft worden, während andere aus willkürlichen Gründen abgetan worden wären, sagte Ursula Pachl, stellvertretende Generaldirektorin der Europäischen Verbraucherorganisation, gegenüber EURACTIV.
Stattdessen entschied der Gerichtshof, dass das Recht auf Entschädigung nicht auf immaterielle Schäden beschränkt ist, die eine bestimmte Schwere erreichen.
Es warnte ferner, dass jede Schwelle in der Praxis „je nach Einschätzung der angerufenen Gerichte schwanken“ könnte.
„Das bedeutet, dass Verbraucher, die eine Entschädigung für DSGVO-Verstöße verlangen, dies tun können, ohne nachweisen zu können, dass eine bestimmte Schwelle für die ‚Ernsthaftigkeit‘ des Schadens erreicht ist“, fügte Pachl hinzu.
Zurück zu den nationalen Gerichten
Hinsichtlich der Bestimmung der Regeln für die Schadensfestsetzung stellte der Gerichtshof fest, dass es jedem nationalen Gericht obliegt, „die detaillierten Regeln vorzuschreiben“, die die Höhe des Schadensersatzes bestimmen, sofern die drei notwendigen Bedingungen erfüllt sind.
Dies sei eine „äußerst umsichtige“ Entscheidung, sagte Gianclaudio Malgieri, Wissenschaftler an der Universität Leiden und Co-Direktor des Brussels Privacy Hub, gegenüber EURACTIV.
Wahrscheinlich würden dann weitere Fälle den EuGH erreichen, sagte er, aufgrund der schieren Komplexität der Definition dessen, was immaterieller Schaden ist.
„Wie sollen wir eine emotionale Belastung quantifizieren, die sich aus der Verletzung eines Grundrechts ergibt?“ fragte Malgieri und schlug vor, sich auf „Bevölkerungserhebungen“ zu beziehen, um ein besseres Gefühl dafür zu bekommen, wie die Bürger emotionalen Stress verstehen.
Mit anderen Worten, diese Entscheidung frustriert Anwälte, die an ihren Ausgangspunkt zurückgeschickt werden.
Für Assion ist der „Elefant im Raum“ dieses Urteils das Potenzial, den Schadensersatz durch Sammelklagen auf ein Massenniveau zu heben.
„Nehmen Sie zum Beispiel ein soziales Netzwerk oder einen großen Telekommunikationsanbieter mit einem Kundenstamm von mehreren Millionen. Wenn jeder Kunde einen Schaden von 10 Euro hat, dann kann die Entschädigung große Summen erreichen.“
Laut Robert Bateman, einem Datenschutzexperten, könnte das Urteil zu sogenanntem „Forum-Shopping“ führen, bei dem Unternehmen die Gerichtsbarkeit wählen, in der sie sich niederlassen, aufgrund der Strenge der nationalen Gerichte bei der Beurteilung immaterieller Schäden.
[Edited by Luca Bertuzzi/Théo Bourgery-Gonse/Nathalie Weatherald]