Das Datenschutzrecht und insbesondere die Datenschutzgrundverordnung (DSGVO) haben schon viele Emotionen geweckt. Wo die einen realitätsferne Überregulierung sehen und die DSGVO selbst als Ärgernis empfinden, ist für andere der Sanktions- und Haftungsdruck noch nicht hoch genug. Nun hat sich zuletzt der EuGH mit dem Thema Haftung beschäftigt und auch hier ging es im Kern um genau das: Emotionen.
Auf Vorlage aus Österreich hatte der EuGH zu entscheiden, ob Schadenersatzansprüche eines Betroffenen auch dann bestehen können, wenn kein (echter) Schaden vorliegt, aber die DSGVO verletzt wurde. Und wenn es denn eines Schadens bedarf und dieser nur immateriell ist: Ist dann eine besondere Erheblichkeit erforderlich? Oder praktisch und etwas verkürzt gefragt: Können Betroffene schon dann Schadenersatzansprüche geltend machen, wenn ihre Daten unrechtmäßig verarbeitet werden, das für sie wirtschaftlich folgenlos bleibt, sie sich aber zumindest emotional betroffen fühlen und sich entsprechend ärgern?
Gerade in einer datengetriebenen Wirtschaft, in der personenbezogene Daten häufig nur als Beifang intelligenter maschineller Prozesse verarbeitet werden, ist diese Frage von enormer Bedeutung. Denn auch dieser unbeabsichtigte Beifang löst das volle Programm datenschutzrechtlicher Compliance-Pflichten mit allen Sanktions- und Haftungsfolgen bei Verstößen aus. Und wer kann in diesem Zusammenhang schon ausschließen, dass (a) Fehler passieren und (b) z.B. Mitarbeiter davon zumindest emotional betroffen sind.
Der EuGH hat nun mit Urteil vom 04.05.2023 (C-300/21) gewissermaßen salomonisch entschieden: Ein Schadenersatz soll neben der Verletzung von Bestimmungen der DSGVO auch voraussetzen, dass tatsächlich ein Schaden (im Rechtssinne) kausal verursacht wurde. Die bloße Rechtsverletzung der DSGVO (also der Compliance-Verstoß) soll für einen Schadenersatz nicht ausreichen. Andererseits soll gerade auch ein immaterieller Schaden voll ersatzfähig sein, ohne dass es hier einer besonderen Mindestschwelle bedarf. Für die Geltendmachung der Ansprüche verweist der EuGH auf das nationale Recht.
Salomonische Urteile stehen im Verdacht, es keiner Seite besonders recht zu machen. Und so beantwortet der EuGH die vorgelegten Fragen zwar formaljuristisch gewissenhaft, bildet sich aber in der Sache (Was ist nun mit dem bloßen Ärger über die rechtswidrige Datenverarbeitung?) keine wirklich klare Meinung. Der EuGH operiert entlang des Wortlauts der DSGVO und geht schlicht davon aus, dass z.B. der Begriff des immateriellen Schadens im Kontext der DSGVO bereits eindeutig ist. So wird man sich auch in Zukunft vor Gericht darüber streiten können, ob bloße emotionale Ärgernisse der betroffenen Person nun in jedem Einzelfall zu Schadenersatz führen.
Es bleibt zumindest spannend und Folgeentscheidungen zum Thema sind zu erwarten.
Bis dahin mit besten Grüßen
Dr. Korbinian Hartl