Begründet der bloße Verstoß gegen Normen der DS-GVO einen Schadenersatzanspruch des Betroffenen?
Bislang war in der nationalen Rechtsprechung umstritten, ob ein bloßer Verstoß gegen die DS-GVO Ansprüche auf Schadensersatz des Betroffenen begründen kann.
Der Europäische Gerichtshof ("EuGH") hat nunmehr mit Urteil vom 04.05.2023, Az.: C-300/21, entschieden, dass der bloße Verstoß gegen Voraussetzungen der DS-GVO allein keinen Anspruch auf Schadenersatz nach Art. 82 DS-GVO begründet.
Das Urteil
bezieht sich auf eine Klage eines Bürgers gegen die Österreichische Post AG wegen der Verarbeitung seiner personenbezogenen Daten, hier insbesondere über seine politischen Affinitäten.
Damit der Betroffene einen Anspruch auf Schadensersatz geltend machen kann, müssen laut EuGH drei Voraussetzungen kumulativ vorliegen:
- ein Verstoß gegen die DS-GVO,
- ein materieller oder immaterieller Schaden, der aus diesem Verstoß resultiert, wobei hinsichtlich des immateriellen Schadens jedoch keine bestimmte Erheblichkeitsschwelle überschritten werden muss,
- und ein ursächlicher Zusammenhang, also Kausalität, zwischen Schaden und Verstoß.
Somit wurde seitens des EuGH Klarheit darüber geschaffen, unter welchen Voraussetzungen der Betroffene einen Anspruch auf Schadensersatz geltend machen kann und für Betroffene strengere Voraussetzungen hinsichtlich der Darlegung der einzelnen Aspekte des Schadensersatzanspruchs festgelegt, denn nicht jeder Verstoß gegen Vorgaben der DS-GVO begründet für sich genommen einen Anspruch auf Schadensersatz des Betroffenen.
Zu beachten bleibt jedoch, dass bei den weitaus "schärferen" Geldbußen gemäß Art. 83 DS-GVO das Vorliegen eines individuellen Schadens gerade nicht dargelegt werden muss.
Dr. Thomas Kehr, Rechtsanwalt