Ab dem Jahr 2017 verkaufte die Österreichische Post sensible Kundendaten, einschließlich Parteiaffinität von 2,2 Mio. Bürgern an einen Adresshändler. Die Daten wurden verwendet, um zielgerichtet Wahlwerbung zu verschicken. Dies geschah ohne Information an die Betroffenen und ohne deren Einwilligung.
Nachdem der Datenhandel 2019 publik wurde, registrierten sich 2.000 Betroffene bei der Rechtsschutz-Plattform Cobin Claims. Die Post hatte sich anschließend mit dem Portal außergerichtlich auf eine Entschädigung von bis zu 2,7 Mio. Euro geeinigt. Dies entspricht in etwa einer Zahlung in Höhe von 1.350 EUR für jeden der auf der Plattform angemeldeten Betroffenen.
EuGH-Urteil:
In diesem Zusammenhang hat der Europäische Gerichtshof heute, am 4. Mai 2023, ein Urteil zum Anspruch auf immateriellen Schadensersatz nach Artikel 82 der DSGVO gefällt.
Ein Verstoß gegen die Datenschutz-Grundverordnung führt nicht automatisch zu einem Anspruch auf Schadensersatz:
Der EuGH entschied, dass ein Verstoß gegen die Datenschutz-Grundverordnung allein noch keinen Anspruch der betroffenen Personen auf Schadenersatz begründet. Vielmehr ist der Nachweis eines konkreten Schadens erforderlich.
Demnach ist für einen Schadensersatzanspruch
- ein Verstoß gegen die DSGVO
- UND der Nachweis eines kausal durch den Verstoß verursachten Schadens erforderlich.
Keine Bagatellgrenze für Schadenersatz:
Der EuGH entschied, dass für einen Schadensersatzanspruch keine Bagatellgrenze gilt. Einige nationale Gerichte hatten entschieden, dass der Schaden eine bestimmte Erheblichkeitsschwelle überschreiten muss, um einen Schadensersatzanspruch zu begründen. Dem hat der EuGH nun widersprochen.
Relevanz und Bewertung:
Durch die Rechtsprechung des EuGH wird der datenschutzrechtliche Schadensersatzanspruch klarer definiert.
Allerdings sind viele Rechtsfragen noch nicht geklärt. Für Unternehmen besteht ein nicht zu vernachlässigendes Risiko, im Falle von Datenschutzverletzungen Massenklagen von Verbrauchern und Verbraucherschutzverbänden ausgesetzt zu sein.
Die bisher weitgehend dysfunktionale Datenschutzaufsicht könnte auch dadurch überholt werden, dass Betroffene aufgrund finanzieller Anreize Datenschutzverstöße nun eigenständig oder über Legal-Tech-Plattformen verfolgen.
Die Entwicklungen zum immateriellen Schadenersatz sind also kein juristisches Glasperlenspiel, sondern werden ganz konkrete wirtschaftliche Auswirkungen auf Unternehmen haben.
Unternehmen aus dem Consumer-Bereich sollten sich frühzeitig mit diesen Risiken, die sich aus Datenschutzverletzungen ergeben können, auseinandersetzen.
EuGH C-30021
Original Urteil als PDF