In einem wegweisenden Urteil (Urt. v. 04.05.2023, Az.: C-300/21) bestätigte der Europäische Gerichtshof (EuGH) am Donnerstag, dass der bloße Verstoß gegen Vorschriften der DSGVO keinen Schadensersatzanspruch begründet. Gleichzeitig stellten die Richter:innen klar, dass die DSGVO keine Erheblichkeitsschwelle für Schadensersatzansprüche vorsieht. Hintergrund der Entscheidung war ein Fall aus Österreich, den der österreichische Oberste Gerichtshof (OGH) dem EuGH vorlegte. Im Ausgangsfall ging es um einen schweren Verstoß der österreichischen Post. Diese hatte seit 2017 Informationen über die politische Affinität der österreichischen Bürger zum Zwecke der Wahlwerbung von Parteien gesammelt.
Die EU hatte im Jahr 2019 eine Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden (sogenannte Whistleblowing Richtlinie, Richtlinie (EU) 2019/1937) verabschiedet. Am 16.12.2022 wurde in Umsetzung der Richtline in Deutschland das Hinweisgeberschutzgesetz (HinSchG) verabschiedet. Dieses scheiterte jedoch Anfang 2023 im Bundesrat. Die Mitgliedstaaten waren verpflichtet, bis zum 17.12.2021 die erforderlichen Maßnahmen zu treffen, um den Bestimmungen der Richtlinie nachzukommen.
Die Nichtumsetzung könnte nun teuer werden.
Das Urteil des Europäischen Gerichtshofes (EuGH) vom 30.03.2023 hat für Unternehmen und Vereine in Deutschland weitreichende Auswirkungen auf den Beschäftigtendatenschutz. Hintergrund der Entscheidung war ein Vorlagefall aus Hessen und die damit verbundene Frage, ob § 23 HDSIG (gleichlautend § 26 BDSG) als Rechtsgrundlage für die Durchführung von Online-Unterricht für Leher:nnen einschlägig ist.
Die Einhaltung datenschutzrechtlichen Vorschriften der DSGVO obliegt nicht nur den zuständigen Aufsichtsbehörden. Auch Private können gegen Datenschutzverstöße vorgehen und Schadensersatz fordern. In einem Vorabentscheidungsverfahren soll der EuGH nun die Voraussetzungen eines Schadens klären.