EuGH (3. Kammer) Urteil vom 4.5.2023 – C-300/21 (UI/Österreichische Post AG)

1. Artikel 82 Absatz I DSGVO (Datenschutz-Grundverordnung) ist dahin auszulegen, dass der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen.

2. Artikel 82 Absatz I DSGVO ist dahin auszulegen, dass er einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat.

3. Artikel 82 DSGVO ist dahin auszulegen, dass die nationalen Gerichte bei der Festsetzung der Höhe des Schadensersatzes, der aufgrund des in diesem Artikel verankerten Schadensersatzanspruchs geschuldet wird, die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden haben, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden.

Was war der Sachverhalt?

Das vorliegende Urteil betrifft die Auslegung von Art. 82 der Datenschutz-Grundverordnung (DSGVO) im Rahmen eines Rechtsstreits zwischen einer Einzelperson (im Folgenden als "Kläger" bezeichnet) und der Österreichischen Post AG. Die Ursprungsklage zielte darauf ab, immateriellen Schadensersatz zu erhalten, da die Österreichische Post Daten über die politischen Affinitäten des Klägers verarbeitet hatte, ohne dafür dessen Zustimmung einzuholen.

Ab dem Jahr 2017 sammelte die Österreichische Post, eine im Adressenhandel tätige Gesellschaft, Informationen über die politischen Affinitäten der österreichischen Bevölkerung. Mithilfe eines Algorithmus wurden sogenannte "Zielgruppenadressen" erstellt, die dann an verschiedene Organisationen verkauft wurden, um eine gezielte Werbung zu ermöglichen. Im Rahmen dieser Aktivitäten wertete die Österreichische Post auch Daten des Klägers aus und leitete aufgrund statistischer Hochrechnungen eine hohe politische Affinität des Klägers zu einer bestimmten Partei ab.

Obwohl diese Informationen nicht an Dritte weitergegeben wurden, fühlte sich der Kläger durch die Zuordnung zu einer bestimmten politischen Partei negativ beeinträchtigt. Er erhob Klage gegen die Österreichische Post auf Unterlassung der Verarbeitung der fraglichen personenbezogenen Daten und verlangte zudem einen Schadensersatz in Höhe von 1.000 EUR für den ihm entstandenen immateriellen Schaden.

Das erstinstanzliche Gericht gab der Klage bezüglich des Unterlassungsbegehrens statt, wies jedoch das Schadensersatzbegehren ab. Das Berufungsgericht bestätigte das Urteil teilweise und verwies dabei auf bestimmte Erwägungsgründe der DSGVO. Nach österreichischem Recht würde ein Verstoß gegen Datenschutzvorschriften nicht automatisch zu einem immateriellen Schaden führen; es müsse eine "Erheblichkeitsschwelle" überschritten werden.

Im Rahmen der Revision war der Oberste Gerichtshof Österreichs, mit der Thematik befasst. Hierbei würden dem EuGH drei Fragen zur Vorabentscheidung vorgelegt. Dabei ging es insbesondere um die Auslegung des Begriffs "Schaden" gemäß Art. 82 DSGVO und die Voraussetzungen für einen Schadensersatzanspruch bei Verstößen gegen den Datenschutz.

Aus den folgenden Gründen hat der EuGH entschieden:

Zulässigkeit der Vorlagefragen:

Zulässigkeit der ersten und der zweiten Frage

Im Wesentlichen argumentierte der Kläger des Ausgangsverfahrens, dass die erste Vorlagefrage hypothetisch und daher unzulässig sei. Er betonte, dass seine Schadensersatzklage nicht nur auf der Verletzung einer Bestimmung der Datenschutz-Grundverordnung (DSGVO) beruht. Es sei unstrittig, dass Schadensersatz nur dann zusteht, wenn eine solche Verletzung tatsächlich mit einem erlittenen Schaden einhergeht. Die strittige Frage zwischen den Parteien sei lediglich, ob der Schaden eine "Erheblichkeitsschwelle" überschreiten müsse. Der Kläger argumentierte, dass die erste Frage irrelevant wäre, wenn der EuGH die dritte Frage verneint, wie vom Kläger selbst vorgebracht.

Des Weiteren trug der Kläger vor, dass die zweite Vorlagefrage aufgrund ihrer breiten und ungenauen Formulierung unzulässig sei. Das vorlegende Gericht habe "Vorgaben des Unionsrechts" angeführt, ohne eine konkrete Vorgabe zu nennen.

Der EuGH kam in diesem Fall zum folgenden Ergebnis: Die erste Frage betrifft die Voraussetzungen für die Geltendmachung des Schadensersatzanspruchs gemäß Art. 82 DSGVO und steht in einem Zusammenhang mit dem Schadensersatzbegehren im Ausgangsrechtsstreit. Die zweite Frage betrifft Zweifel des vorlegenden Gerichts, ob neben den Grundsätzen der Äquivalenz und Effektivität auch andere Anforderungen des Unionsrechts zu beachten sind. Beide Fragen wurden daher als zulässig angesehen.

Zu den Vorlagefragen:

Zur ersten Frage: Reicht der bloße Verstoß gegen die DSGVO aus, um einen Schadensersatzanspruch zu begründen?

Der EuGH betont in seiner Entscheidung, dass die Bestimmungen des Unionsrechts, die nicht ausdrücklich auf das Recht der Mitgliedstaaten verweisen, in der gesamten Union eine autonome und einheitliche Auslegung erhalten müssen.

Artikel 82 DSGVO regelt Schadensersatzansprüche für Personen, denen durch einen Verstoß gegen die DSGVO materieller oder immaterieller Schaden entstanden ist. Das Vorliegen eines Schadens ist eine kumulative Voraussetzung für einen Schadensersatzanspruch, die neben einem Verstoß gegen die DSGVO und einem Kausalzusammenhang zwischen Verstoß und Schaden vorliegen muss.

Die Auslegung des EuGHs wird durch den Wortlaut von Artikel 82 DSGVO, den Kontext, in den sich die Bestimmung einfügt, sowie durch Vergleiche mit anderen Vorschriften in der DSGVO gestützt. Insbesondere hebt der EuGH hervor, dass nicht jeder Verstoß automatisch einen Schadensersatzanspruch begründet und dass der Schaden und der Verstoß getrennt betrachtet werden müssen.

Der EuGH weist zusätzlich darauf hin, dass die Regelungen für Schadensersatzansprüche (Artikel 82 DSGVO) sich von anderen Rechtsbehelfen in der DSGVO (Artikel 77, 78 DSGVO) unterscheiden, die keinen Schaden als Voraussetzung vorsehen. Ebenso führt der EuGH aus, dass Geldbußen und Sanktionen (Artikel 83, 84 DSGVO) im Wesentlichen einen Strafzweck haben und daher nicht vom Vorliegen eines individuellen Schadens abhängen dürfen.

Insgesamt kommt der EuGH also zu dem Schluss, dass der bloße Verstoß gegen die Bestimmungen der DSGVO nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Es muss zusätzlich ein tatsächlich entstandener Schaden vorliegen und ein Kausalzusammenhang zwischen dem Verstoß und dem Schaden muss nachgewiesen werden. Diese Klarstellung des EuGHs trägt somit dazu bei, die Anforderungen für Schadensersatzansprüche im Zusammenhang mit Datenschutzverletzungen genauer zu definieren und zu präzisieren.

Zur dritten Frage: Ist Art. 82 DSGVO dahin auszulegen, dass er einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat?

Vorliegend musste die dritte Frage vor der zweiten behandelt werden, da diese der zweiten Frage thematisch vorausging.

Hierbei wurde durch den EuGH erneut das entscheidende Prinzip erörtert, dass die Begriffe "Schaden" und speziell "immaterieller Schaden" im Sinne des Artikel 82 DSGVO im Hinblick auf das Fehlen jeglicher Bezugnahme auf das innerstaatliche Recht der Mitgliedstaaten eine autonome und einheitliche Auslegung in der gesamten Europäischen Union erhalten müssen. Es ist zu beachten, dass die DSGVO selbst keine explizite Definition des Begriffs "Schaden" enthält, und die Verordnung selbst legt keine Schwelle für die Bedeutung des Schadens fest.

Zusätzlich würde bei Betrachtung des weiteren Kontexts der DSGVO erkennbar sein, dass das Recht auf Schadensersatz nicht davon abhängt, dass der Schaden eine bestimmte Bedeutungsstufe erreicht. Er führt weiter aus, dass die Ziele der DSGVO auf eine konsistente und einheitliche Anwendung der Bestimmungen abzielen, um die Grundrechte und Grundfreiheiten der betroffenen Personen in der gesamten Union zu schützen.

In der Entscheidung wird hervorgehoben, dass die Definition des Begriffs "Schaden" im Rahmen der DSGVO vollständig mit den Zielen dieser Verordnung in Einklang stehen muss. Die Einführung einer Bedeutungsschwelle könnte die Kohärenz der Verordnung beeinträchtigen und zu unterschiedlichen Bewertungen durch verschiedene Gerichte führen.

Deshalb sei es notwendig, dass eine solche Auslegung im Einklang mit den Zielen der DSGVO steht, wie sie insbesondere im zehnten Erwägungsgrund festgelegt sind. Diese Ziele zielen insbesondere darauf ab, ein gleichmäßiges und hohes Schutzniveau für natürliche Personen bei der Verarbeitung personenbezogener Daten in der gesamten Union sicherzustellen.

Diese Ausführungen bekräftigen somit, dass Artikel 82 Absatz 1 DSGVO so auszulegen ist, dass er einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens davon abhängig macht, dass der Schaden einen bestimmten Grad an Bedeutung erreicht. Insbesondere unter dem Gesichtspunkt der Notwendigkeit einer konsistenten und einheitlichen Anwendung der DSGVO, um ihre übergreifenden Ziele zu erfüllen.

Zur zweiten Frage: Ist Artikel 82 DSGVO dahin auszulegen, dass die nationalen Gerichte bei der Festsetzung der Höhe des Schadensersatzes, der aufgrund des in diesem Artikel verankerten Schadensersatzanspruchs geschuldet wird, die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung unter Beachtung nicht nur der unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität anzuwenden haben.

Ausschlaggebend für die vorliegende Entscheidung war hier insbesondere der Grundsatz der Verfahrensautonomie, der den Mitgliedstaaten die Festlegung der verfahrensrechtlichen Modalitäten für den Schutz der Rechte der Bürger überlässt. Dies gilt jedoch nur unter der Bedingung, dass diese Modalitäten nicht ungünstiger sind als diejenigen, die ähnliche Sachverhalte im innerstaatlichen Recht regeln (Äquivalenzgrundsatz). Gleichzeitig dürfen sie die Ausübung der durch das Unionsrecht verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren (Effektivitätsgrundsatz).

Da die DSGVO keine spezifischen Regelungen zur Bemessung des Schadensersatzes enthält, liegt es in der Verantwortung der Mitgliedstaaten, die Modalitäten für Klageverfahren und die Kriterien für die Ermittlung des Umfangs des Schadensersatzes festzulegen, wobei die Grundsätze der Äquivalenz und Effektivität beachtet werden müssen.

Der Äquivalenzgrundsatz verlangt, dass die innerstaatlichen Regelungen nicht ungünstiger sind als vergleichbare Regelungen für Sachverhalte, die dem innerstaatlichen Recht unterliegen. In diesem Fall gab es hierfür jedoch keine Anhaltspunkte dafür, dass die auf den vorliegenden Fall anwendbaren nationalen Regelungen gegen diesen Grundsatz verstoßen würden.

Was den Effektivitätsgrundsatz betrifft, ist es Sache des vorlegenden Gerichts zu prüfen, ob die im österreichischen Recht vorgesehenen Modalitäten für die gerichtliche Festsetzung des Schadensersatzes die Ausübung der durch das Unionsrecht verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren.

Demnach hat dies zur Folge, dass eine auf Artikel 82 DSGVO gestützte finanzielle Entschädigung als "vollständig und wirksam" anzusehen ist, wenn sie den konkret erlittenen Schaden in vollem Umfang ausgleichen kann, ohne dass ein solcher Ausgleich die Verhängung von Strafschadenersatz erfordert.

Zusammenfassend kann man daher ausführen, dass Artikel 82 DSGVO dahin auszulegen ist, dass die nationalen Gerichte bei der Festsetzung der Höhe des Schadensersatzes die innerstaatlichen Vorschriften der Mitgliedstaaten unter Einhaltung der Grundsätze der Äquivalenz und Effektivität anwenden müssen.

Was hat diese Entscheidung für die Praxis für eine Bedeutung?

Der EuGH hat mit diesem Urteil zwar nicht in allen Punkten aber zumindest in ein paar Punkten für Rechtsklarheit gesorgt. Dies ist besonders in Bezug auf die Frage der anspruchsbegründenden Voraussetzungen geschehen. Diese werden durch den EuGH aber sehr Klägerfreundlich und demnach sehr weit ausgelegt. Insbesondere die Tatsache, dass auch unerhebliche Beeinträchtigung bereits zu einem Schadensersatzanspruch führen können, öffnet vielen Klägern die Türen. Vorteile für die Unternehmen können sich in der Praxis daher nur daraus ergeben, dass der Kläger das Vorliegen eines DSGVO Verstoßes sowie einen Schaden und die Kausalität nachzuweisen hat. 
Trotzdem bleiben viele Fragen offen. Es heißt daher weiter warten auf die bereits anhängigen Vorabentscheidungsverfahren des EuGHs in Bezug auf Art. 82 DSGVO.

Artikel als PDF Download