In einem wegweisenden Urteil (Urt. v. 04.05.2023, Az.: C-300/21) bestätigte der Europäische Gerichtshof (EuGH) am Donnerstag, dass der bloße Verstoß gegen Vorschriften der DSGVO keinen Schadensersatzanspruch begründet. Gleichzeitig stellten die Richter:innen klar, dass die DSGVO keine Erheblichkeitsschwelle für Schadensersatzansprüche vorsieht.
Hintergrund der Entscheidung war ein Fall aus Österreich, den der österreichische Oberste Gerichtshof (OGH) dem EuGH vorlegte. Im Ausgangsfall ging es um einen schweren Verstoß der österreichischen Post. Diese hatte seit 2017 Informationen über die politische Affinität der österreichischen Bürger zum Zwecke der Wahlwerbung von Parteien gesammelt. Ein von dieser Praxis betroffener Mann, der den Hochrechnungen der Post zufolge eine hohe Affinität zur FPÖ haben sollte, fühlte sich beleidigt. Er fühlte sich in seinen Rechten verletzt, weil er in die Datenverarbeitung nie eingewilligt habe und reichte daraufhin Klage auf Schadensersatz gem. Art. 82 DSGVO in Höhe von 1.000 Euro ein. In erster und zweiter Instanz blieb seine Klage erfolglos. Der OGH legte sie dann dem EuGH vor. Der OGH wollte wissen, ob allein eine Verletzung der DSGVO einen Schadensersatzanspruch begründe oder ein immaterieller Schaden genauer darzulegen sei. Ferner wollte er wissen, ob für die Annahme eines immateriellen Schadensersatzanspruchs der Betroffene nachweisen muss, erheblich in seinen Rechten verletzt worden zu sein.
Betroffene müssen der Entscheidung des EuGH folgend nicht nachweisen, erheblich in ihren Rechten verletzt worden zu sein. Der Schadensersatzanspruch sei an drei kumulative Voraussetzungen geknüpft: Ein Verstoß gegen die DSGVO, das Vorliegen eines materiellen oder immateriellen Schadens und einen kausalen Zusammenhang zwischen Schaden und Verstoß. Damit führe nicht jeder Verstoß gegen die DSGVO zu einem Schadensersatzanspruch, da ein individueller Schaden nachgewiesen werden müsse. Auf die Erheblichkeit kommt es hingegen nicht an.