18.08.2022 | Datenschutz & IT | ID: 1120776

Schadenersatz bei Verstößen gegen die DSGVO – Was droht den Verantwortlichen?

Betroffene können nach DSGVO und DSG Schadenersatzansprüche für materielle und auch für immaterielle Schäden geltend machen. Worin der immaterielle Schaden einer Datenschutzverletzung konkret besteht, ist aktuell noch nicht abschließend geklärt.

Die Datenschutzgrundverordnung (DSGVO) und ihr Strafregime sind in Europa bereits weithin bekannt. In Österreich sind sich Verantwortliche spätestens seit den Fällen Post (nicht rechtskräftige Strafe 9 Millionen Euro) und Rewe (nicht rechtskräftige Strafe 8 Millionen Euro) bewusst, dass das Strafregime der DSGVO ernst zu nehmen ist. Neben diesen ohnehin enormen Strafen, droht den Verantwortlichen aber von einer weiteren Seite Ungemach. Denn auch betroffene Personen haben nach der DSGVO und dem DSG die Möglichkeit Schadenersatzansprüche gegen Verantwortliche geltend zu machen.

Neben der Möglichkeit Ersatz für materielle (in Geld messbare) Schäden zu fordern, können Betroffene nach der DSGVO und nach dem DSG auch Schadenersatzansprüche für entstandene immaterielle Schäden gegen die Verantwortlichen geltend machen.

Immaterielle Schäden sind nicht in Geld messbar. Beispiele für immaterielle Schadenersatzansprüche sind etwa der Trauerschaden oder das Schmerzengeld. Immaterielle Schäden sind in Österreich nur im Ausnahmefall zu ersetzen und zwar dann, wenn es eine ausdrückliche Anordnung dafür gibt. Bei Datenschutzverstößen findet sich diese Anordnung in Art 82 DSGVO und § 29 DSG.

Benötigt es einen tatsächlichen Schaden?

Um einen Anspruch auf Ersatz des Schadens zu haben, muss auch tatsächlich ein Schaden vorliegen. Den Schaden hat für gewöhnlich die geschädigte Person zu behaupten und zu beweisen.

Erwägungsgrund 75 zur DSGVO sieht einen immateriellen Schaden unter anderem in einer Diskriminierung, einer Rufschädigung oder in einem gesellschaftlichen Nachteil. Der Begriff des Schadens sollte laut Erwägungsgrund 146 zur DSGVO „weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht.“

Zur Frage worin der immaterielle Schaden einer Datenschutzverletzung besteht, haben sich in Österreich und Deutschland mittlerweile in den Details unterschiedliche Meinungen gebildet.

Auch der EuGH muss sich aktuell aufgrund eines österreichischen und eines deutschen Vorabentscheidungsersuchen (Österreichische Post C-300/21 und Saturn Electro C-687/21) mit der Frage der Definition des Schadens bei Datenschutzverstößen auseinandersetzen. Der OGH hat in diesem Vorabentscheidungsverfahren unter anderem die Frage gestellt, ob der Zuspruch von Schadenersatz neben einer Verletzung von Bestimmungen der DSGVO auch erfordert, dass die betroffene Person tatsächlich einen Schaden erlitten hat oder ob bereits die Verletzung von Bestimmungen der DSGVO als solche für die Zuerkennung von Schadenersatz ausreicht.

Schadenersatz als Strafe?

Der OGH (6 Ob 35/21x) führte in seiner Begründung unter anderem aus, dass der Ersatz eines immateriellen Schadens nach Art 82 DSGVO einen konkret nachzuweisenden ideellen Nachteil voraussetzt. Ein derartiger ideeller Nachteil kann bspw auch in einer Gefühlsbeeinträchtigung wie Ängste oder Stress liegen, die aus einem Datenschutzverstoß resultieren. Derartige Gefühlsbeeinträchtigungen müssen laut OGH zwar nicht besonders schwerwiegend sein, von gänzlich unbeachtlichen Unannehmlichkeiten, die mit der Rechtsverletzung geradezu typischerweise einhergehen, sind sie aber schon abzugrenzen. Andernfalls würde eine Ersatzpflicht im Ergebnis (nur) unerwünschte „Strafwirkung“ entfalten. Aus diesem Grund wird der EuGH auch die Frage beantworten müssen, ob für den Zuspruch immateriellen Schadenersatzes eine Folge der Rechtsverletzung von zumindest einigem Gewicht vorliegen muss, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgeht.

Risiko liegt primär in der Anzahl der Betroffenen 

Die Höhe des zugesprochenen Schadenersatzes für immaterielle Schäden bewegt sich im deutschsprachigen Raum momentan im Bereich einiger hundert bis zu (in deutschen Einzelfällen) wenige tausend Euro. Diese Beträge für sich allein genommen, werden die wenigsten Verantwortlichen verängstigen.

Das Damoklesschwert, das über den Verantwortlichen schwebt, liegt in der Anzahl der potenziell betroffenen Personen. Wenn eine betroffene Person aus dem bloßen Datenschutzverstoß 500 Euro immateriellen Schadenersatz erhält, ist das für Verantwortlichen in der Regel zu verschmerzen. Sollten aber zehntausend oder hunderttausend Personen betroffen sein, kann das zu Forderungen in Millionenhöhe führen.

Der EuGH ist am Zug

Es bleibt nunmehr abzuwarten, wie sich die Judikatur bei der Geltendmachung von immateriellen Schadensersatzansprüchen entwickelt. Der EuGH bekommt aufgrund des österreichischen und des deutschen Vorabentscheidungsersuchens nun die Möglichkeit Klarheit zu schaffen und eine einheitliche Judikatur zu schaffen.

Es gilt also die Entscheidung des EuGH abzuwarten und kritisch zu beobachten, in welche Richtung sich das Wesen des immateriellen Schadenersatzes bei Datenschutzverstößen entwickelt.