Mögliche Millionenstrafen nach Verstößen gegen die Datenschutzgrundverordnung (DSGVO) sind in Österreich spätestens seit den Medienberichten der letzten Monate nichts Neues. Vielen Verantwortlichen ist jedoch nicht bewusst, dass neben einer Strafe durch die Datenschutzbehörde auch Schadenersatzzahlungen betroffener Personen drohen. Doch wie weit können die Ansprüche betroffener Personen bei Gefühlsbeeinträchtigungen gehen?
Ersatz für immaterielle Schäden
Sowohl die DSGVO als auch das nationale Datenschutzgesetz (DSG) eröffnen den durch eine Datenschutzverletzung betroffenen Personen die Möglichkeit, Schadenersatzansprüche gegen Verantwortliche geltend zu machen. Das Datenschutzrecht bietet neben der Durchsetzung materieller Schadenersatzansprüche, also in Geld messbarer Vermögensschäden, auch die Möglichkeit, Ersatz für immaterielle Schäden, die nicht in Geld messbar sind, zu verlangen.
Bekannte Beispiele für derartige Ansprüche sind Schmerzensgeld oder Ersatz für entgangene Urlaubsfreuden. Immaterielle Schäden sind im österreichischen Recht aber grundsätzlich nur in Ausnahmefällen zu ersetzen. Für Datenschutzverstöße sehen Art. 82 DSGVO und § 29 DSG explizit vor, dass auch sie zu ersetzen sind.
Für die Durchsetzbarkeit von Schadenersatzansprüchen wird vorausgesetzt, dass tatsächlich ein Schaden entstanden ist, den die geschädigte Person vor Gericht zu behaupten und zu beweisen hat. Worin bei einem Verstoß gegen Datenschutzrecht der konkrete immaterielle Schaden liegt bzw. liegen kann, ist noch offen.
Der EuGH ist gefragt
Dazu ist derzeit auch der Europäische Gerichtshof (EuGH) aufgrund eines österreichischen und eines deutschen Vorabentscheidungsersuchens gefragt. Der Oberste Gerichtshof (OGH) hat dem EuGH unter anderem die Frage gestellt, ob allein schon die Verletzung von Datenschutzbestimmungen für den Zuspruch von Schadenersatz ausreicht oder ob die betroffene Person darüber hinaus tatsächlich einen Schaden erlitten haben muss.
Zur Begründung führte der OGH aus, dass der Ersatz eines immateriellen Schadens nach der DSGVO einen konkret nachzuweisenden ideellen Nachteil (z.B. Gefühlsbeeinträchtigungen wie Ängste oder Stress) voraussetzt. Derartige Beeinträchtigungen müssen zwar nicht besonders schwerwiegend sein, sind aber von unbeachtlichen Unannehmlichkeiten abzugrenzen, die mit der Rechtsverletzung typischerweise einhergehen.
Da Datenanwendungen in der Regel standardisiert ablaufen, passieren auch Fehler beim Datenschutz oftmals „standardisiert“ und können dadurch eine Vielzahl an Personen betreffen. Daraus kann sich wiederum aus Sicht der Verantwortlichen auch bei geringen Schadenersatzansprüchen der einzelnen Betroffenen in Summe ein erhebliches Kostenrisiko ergeben (veröffentlicht in EuGH C-300/21; EuGH C-687/21 und OGH 15.4.2021, 6 Ob 35/21x).
Fazit: Dass aus Verstößen gegen die DSGVO Schadenersatzansprüche resultieren können, ist bereits bekannt. Doch vor allem in Zusammenhang mit dem Ersatz immaterieller Schäden ist noch einiges unklar, weswegen sich auch der OGH mit einigen Fragen an den EuGH wandte. Dieser muss entscheiden, wie weit bei Gefühlsbeeinträchtigungen die Ansprüche betroffener Personen gehen können. Man darf gespannt sein, ob und welche „Spürbarkeitsschwelle“ aus Sicht des EuGH für einen immateriellen Schadenersatzanspruch überschritten werden muss.
Unsere Mitarbeiter stehen Ihnen telefonisch unter 0463 – 50 00 02 oder per E-Mail unter office@rechtdirekt.at zur Verfügung.
Dieser Beitrag wurde sorgfältig recherchiert und erstellt.
Eine Haftung für die Richtigkeit wird nicht übernommen.