Seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 stellt sich für Unternehmen gerade auch im Bereich der Direktwerbung die Frage, ob ein Verstoß gegen die Regelungen der DSGVO bei der Verarbeitung von Kundendaten neben dem bekannten Risiko einer Inanspruchnahme auf Unterlassung zusätzlich einen Anspruch auf immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO auslösen kann.
Diskutiert wird hierbei insbesondere die Frage, ob jeder festgestellte Verstoß gegen Bestimmungen der DSGVO bereits einen Schadensersatzanspruch auslöst, ob der Betroffene einen Schaden nachweisen muss und ob dieser immaterielle Schaden eine bestimmte Erheblichkeitsschwelle überschreiten muss, um einen Schadensersatzanspruch auszulösen – im Ergebnis also mehr darstellen muss als durch die Rechtsverletzung hervorgerufenen Ärger.
Dazu hat der Europäische Gerichtshof (EuGH) nun am 4. Mai 2023 ein Urteil (C-300/21) gesprochen, dass zwar nicht alle Fragen klärt, aber doch zumindest klarstellt: Das Einfordern einer gewissen Spürbarkeit bzw. Erheblichkeit eines der betroffenen Person entstandenen immateriellen Schadens ist mit Art. 82 DSGVO nicht vereinbar.
Vorausgegangen war folgender Rechtsstreit: Ein Adresshändler hatte mithilfe eines Algorithmus Daten über die politischen Affinitäten von natürlichen Personen mit Wohnsitz in Österreich selektiert, ohne dass diese, darunter der Kläger, dazu ihre Zustimmung erteilt hatten. Die Daten zur mutmaßlichen politischen Einstellung wurden zwar nicht an Dritte weitergegeben, jedoch stellte allein die erfolgte Verarbeitung aus Sicht des Klägers ein großes Ärgernis dar, verbunden mit dem Gefühl der Bloßstellung. Auch war der Kläger beleidigt, dass ihm eine Affinität zu einer bestimmten politischen Partei zugesprochen wurde.
Die unteren Instanzen hatten dem Kläger nun zwar einen Anspruch auf Unterlassung zugesprochen, aber den weiteren Anspruch auf immateriellen Schadensersatz nach Art. 82 DSGVO abgelehnt, da es für den vom Kläger geltend gemachten immateriellen Schadensersatzanspruch nach österreichischem Recht an dem Kriterium der Erheblichkeit scheitere.
Im Rahmen eines Vorabentscheidungsersuchens des Obersten Gerichtshof der Republik Österreich musste nun der EuGH zu dem Erfordernis der Erheblichkeit für immateriellen Schadensersatz Stellung nehmen.
Dieses Erfordernis, wie es einige nationale Rechtsordnungen in der Europäischen Union (EU) vorsehen, kann für einen Anspruch auf immateriellen Schadensersatz nach Art. 82 DSGVO nicht mehr herangezogen werden, denn nach Auffassung des EuGH würde dies dazu führen, dass innerhalb der EU die Frage, ob ein Verstoß gegen die DSGVO einen immateriellen Schadensersatzanspruch auslöst, unterschiedlich beantwortet würde: „(…) Nach alledem ist […] zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass er einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat.“
Allerdings stellt der EuGH auch klar, dass dies nicht bedeutet, dass der Betroffene vom Nachweis befreit wird, dass ein Verstoß gegen die DSGVO überhaupt auch einen emotionalen Schaden ausgelöst hat. Der bloße Verstoß gegen die Vorschriften der DSGVO reicht also nicht aus, um einen Schadensersatzanspruch zu begründen.
Was die Höhe eines etwaigen Schadensersatzanspruch betrifft, bleibt der EuGH allerdings vage, nur soweit: Zwar ist es nach Auffassung des EuGH grundsätzlich Sache der einzelnen Rechtsordnungen in den EU-Mitgliedsstaaten, Aussagen zu der Schadenshöhe zu treffen, allerdings müsse hierbei das zur Entscheidung berufene nationale Gericht sicherstellen, dass die finanzielle Entschädigung den konkret erlittenen Schaden auch in vollem Umfang ausgleicht, ohne dabei aber gleichwohl eine Art Strafschadensersatz darzustellen.
