Rechtsthemen

Blog
Über uns
Business
Schadensersatz DSGVO
THEMEN

Schadensersatz bei DSGVO-Verstößen: Neues EuGH-Urteil

STAND 15.05.2023 | LESEZEIT 3 MIN

Es geht um die DSGVO, Schadenersatzansprüche und der bestimmte Grad an Erheblichkeit für immateriellen Schaden. Für Betroffene ist es durch das Urteil des EuGH (Az. C-300/21) in Luxemburg möglich, Unternehmen auf Schadensersatz zu verklagen.

Im Kern ging es bisher um die Frage, ob ein Verstoß gegen die DSGVO ausreicht, um Schadensersatz geltend machen zu können. Mit dem jetzt getroffenen Urteil müssen Beeinträchtigungen von gewissem Gewicht durch die Betroffenen vorgetragen werden, damit ihr Fall Aussicht auf Erfolg hat.

Nach Ansicht des Europäischen Gerichtshofes ist ein immaterieller Schaden nur dann gegeben, wenn ein spürbarer Nachteil vorliegt und nicht nur der bloße kurzfristige Verlust des Betroffenen über die Hoheit seiner Daten.

Das Wichtigste in Kürze

  • Der EuGH stärkt die Rechte von Verbrauchern.
  • Ein immaterieller Schaden muss nachgewiesen werden.
  • Als Schaden gelten Ärger und Vertrauensverlust.
  • Bisher hatten Gerichte in Deutschland Schadensersatz abgelehnt.

Worüber hatte der EuGH zu entscheiden?

1.000 € Schadensersatz wollte Rechtsanwalt Oliver Peschel von der österreichischen Post AG haben und klagte. Der Anwalt sah sich in seinen Persönlichkeitsrechten verletzt, da die Post seine Daten sammelte und seine Parteiaffinität ermittelte. Explizit ging es um seine Parteiaffinität zur radikalen FPÖ, über die der Anwalt erbost und beschämt war. Gegen diese Information ging Peschel vor und machte Schadensersatz geltend.

Sein Vorwurf lautete 2017 auf unrechtmäßige Verarbeitung seiner Daten zur Parteiaffinität im Rahmen der möglichen Zielgruppen für Wahlwerbung Grüne/ÖVP/NEOS/FPÖ. Peschel forderte die Post auf, seine Daten zur Parteiaffinität zu löschen. Außerdem verklagte er das Unternehmen auf 1.000 € immateriellen Schadensersatz.

Die Post bestritt die wesentlichen Vorwürfe. Das Unternehmen lehnte einen Schadensersatz ab, da es kein Überschreiten einer Erheblichkeitsschwelle sah. Das Landgericht für Zivilrechtssachen Wien gab Peschel zunächst statt und stützte sich bei der Urteilsfindung auf die DSGVO. Schadensersatz lehnte das österreichische Gericht ab, da es kein Mindestmaß an persönlicher Beeinträchtigung sah.

Wann kann ich von Unternehmen wie Facebook oder Deezer immateriellen Schadensersatz nach der DSGVO fordern?

Sie können gegen Unternehmen vorgehen und immateriellen Schadensersatz fordern, wenn drei kumulative Voraussetzungen erfüllt sind:

  1. Ein Verstoß des Unternehmens gegen die DSGVO liegt vor
  2. Ein immaterieller oder materieller Schaden ist entstanden
  3. Ein ursächlicher Zusammenhang zwischen Schaden und Verstoß liegt vor

Grundsätzlich bedeutet das für Betroffene, dass nicht jeder Verstoß gegen die DSGVO einen Anspruch auf Schadensersatz nach sich zieht. Sie müssen einen konkreten Schaden nachweisen. Allerdings hat der EuGH diese Voraussetzungen nicht so streng ausgelegt, wie die Gerichte das in Wien zunächst in erster und zweiter Instanz taten.

Das Gericht in Luxemburg sah eine Verletzung des Schutzes personenbezogener Daten dann gegeben, wenn nicht rechtzeitig und angemessen reagiert wird. In der Folge kann es zu einem physischen, materiellen oder immateriellen Schaden für natürliche Personen kommen.

Dazu gehören:

  • der Verlust der Kontrolle über die Verwendung ihrer personenbezogenen Daten
  • Diskriminierung
  • Identitätsdiebstahl
  • finanzielle Verluste
  • die unbefugte Aufhebung der Pseudonymisierung
  • Rufschädigung
  • der Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten
  • andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile

Hintergrundwissen

Schon im Januar 2023 zahlte die Österreichische Post rund 2,7 Millionen Euro, um die Ansprüche von rund 2.000 Klägern im Rahmen einer Sammelklage abzugelten. Neben Rechtsanwalt Peschel hatten tausende weitere Kunden der Post auf die Ergebnisse der Rechercheplattform Addendum reagiert.

Die zwischenzeitlich eingestellte Plattform fand im Januar 2019 heraus, dass das Unternehmen Adressdaten von rund 2,2 Millionen Einwohnern mit Vermerken zur vermeintlichen Parteinähe zur Miete, zum Kauf oder zum Leasing anbot.

Neben Österreich waren auch Juristen aus Tschechien an dem Verfahren beteiligt. Der Oberste Gerichtshof in Wien untersagte in einem Teilurteil der Österreichischen Post im April 2021 zunächst, Daten zur Parteiaffinität zu verarbeiten. Das Gericht rief in einem Vorabentscheidungsersuchen den EuGH an. Dort wurde ein wegweisendes Urteil über den Anspruch auf immateriellen Schadensersatz getroffen.

Was Sie jetzt tun können

Vor Gericht weisen Sie Ihren realen, emotionalen Schaden nach. Ein reiner Verstoß gegen die DSGVO begründet laut dem jetzt getroffenen Urteil keinen Anspruch auf immateriellen Schaden.

Alle EU-Mitgliedsstaaten, so die Luxemburger Richter in ihrer Entscheidung, legen die Kriterien für Schadensersatz nach nationalem Recht fest. Gerne erläutern wir Ihnen, welche Kriterien dies sind.

Jetzt Hilfe vom Rechtsexperten erhalten

Erstberatung erhalten

Sind Sie Opfer eines Datenlecks oder Hackerangriffs?

Dann sind die Chancen mit dem EuGH-Urteil, einen hohen Schadensersatz zu erlangen, deutlich gestiegen. Denn in der Begründung zur DSGVO heißt es im Erwägungsgrund 85 explizit, dass bereits der Verlust der Kontrolle über personenbezogene Daten ein Schaden nach der DSGVO ist. Was viele nicht wissen: Die DSGVO stellt einen vollständigen und wirksamen Schadensersatz für einen erlittenen Schaden sicher.

Die Erheblichkeit eines Schadens darf kein Anspruchs-ausschließender Umstand mehr sein, das hat das Gericht klargestellt. Die nationalen Gerichte sind jetzt aufgerufen, festzusetzen, welche Kriterien im Rahmen von Schadensersatzansprüchen gelten. In allen Fällen von Datenlecks, bei denen Ihre Daten in die Hände von Kriminellen gelangt sind, brauchen Sie nicht mehr nachzuweisen, dass Sie Spam-Mails oder Phishing-Angriffen ausgesetzt waren.

War dies jedoch so und Sie können das auch nachweisen, dann wird dies zu einem höheren immateriellen Schadensersatz führen. Ein Anwalt für Schadensersatz unterstützt Sie bei allen Fragen und Problemen rund um Schadensersatzansprüche wegen Verletzung der DSGVO und verhilft Ihnen zu Ihrem Recht. Unsere KLUGO Partner-Anwälte und Rechtsexperten sind jederzeit für Sie da.

Sie haben eine Rechtsfrage?

Dann nutzen Sie einfach die KLUGO Erstberatung. Die Erstberatung ist ein Telefongespräch mit einem zertifizierten Anwalt aus unserem Netzwerk.

Beitrag juristisch geprüft von der KLUGO-Redaktion

Der Beitrag wurde mit großer Sorgfalt von der KLUGO-Redaktion erstellt und juristisch geprüft. Dazu ergänzen wir unseren Ratgeber mit wertvollen Tipps direkt vom Experten: Unsere spezialisierten Partner-Anwälte zeigen auf, worauf es beim jeweiligen Thema ankommt.