Der EuGH hat heute das mit Spannung erwartete Urteil in der Rechtssache C-300/21 sowie die dazugehörige Pressemitteilung veröffentlicht:
I. Worum geht es?
Die Österreichische Post sammelte seit 2017 Daten, aus der sich die politischen Affinitäten der österreichischen Bevölkerung ableiten ließ. Dem Kläger wurde nach diesem Algorithmus eine Verbundenheit zu der FPÖ nachgesagt. Er forderte daraufhin Schadensersatz von der Post AG nach Art. 82 DSGVO für den damit verbunden Ärger, den Vertrauensverlust sowie die Bloßstellung.
Der österreichische Oberste Gerichtshof (OGH) legte dem EuGH drei Fragen zur Vorabentscheidung vor:
II. Reicht der bloße Verstoß aus, um einen Schadensersatzanspruch zu begründen?
1. Frage: „Erfordert der Zuspruch von Schadenersatz nach Art. 82 DSGVO neben einer Verletzung von Bestimmungen der DSGVO auch, dass der Kläger einen Schaden erlitten hat oder reicht bereits die Verletzung von Bestimmungen der DSGVO als solche für die Zuerkennung von Schadenersatz aus?“
Der EuGH stellt zunächst für die Voraussetzungen des Schadensersatzanspruchs fest, dass neben einem Verstoß gegen die DSGVO ein Schaden vorliegen muss, der kausal auf dem Verstoß beruht. Danach „eröffnet nicht jeder Verstoß gegen die DSGVO für sich genommen den Schadenersatzanspruch„.
III. Gibt es eine Bagatellgrenze?
3. Frage: „Ist die Auffassung mit dem Unionsrecht vereinbar, dass Voraussetzung für den Zuspruch immateriellen Schadens ist, dass eine Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht vorliegt, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgeht?“
Anschließend stellt der EuGH fest, dass „der Schadenersatzanspruch nicht auf immaterielle Schäden beschränkt ist, die eine gewisse Erheblichkeit erreichen„. Der teils von nationalen Gerichten vorgenommenen graduellen Abstufung, nach der erst ab Überschreiten einer Bagatellgrenze ein Schadensersatzanspruch begründet sei, wird vom EuGH damit eine klare Absage erteilt. Es reicht vielmehr jede Beeinträchtigung, um einen Schaden zu begründen. Es ist damit den nationalen Gerichten verwehrt einen Schaden zu erkennen, aber keinen Schadensersatz zuzusprechen.
IV. Bemessung des Schadensersatzes?
2. Frage: „Bestehen für die Bemessung des Schadenersatzes neben den Grundsätzen der Effektivität und Äquivalenz weitere Vorgaben des Unionsrechts?“
Die Höhe des Schadens ist ebenfalls autonom von den nationalen Gerichten zu bemessen, wobei „der Äquivalenz- und der Effektivitätsgrundsatz“ unter Berücksichtigung der Ausgleichsfunktion des Art. 82 DSGVO gilt, der einen „vollständigen und wirksamen Schadenersatz für den erlittenen Schaden“ gewährleisten soll.