28405:

EuGH: Kein Schadenersatzanspruch bei Datenschutzverstoß ohne Schaden

Ein Verstoß gegen den Datenschutz begründet keinen Schadenersatzanspruch, wenn kein Schaden entstand. Das entschied der Europäische Gerichtshof (EuGH) in Luxemburg am Donnerstag und stellte gleichzeitig klar: Auch bei sogenanntem immateriellen Schaden kann Schadenersatz fällig werden - dass der Schaden besonders groß ausfällt, ist dafür nicht notwendig. Es ging um einen Fall aus Österreich, wo die Post Informationen zu Parteiaffinitäten der Bevölkerung gesammelt hatte. (Az. C-300/21)

Mit einer Software definierte sie anhand sozialer und demografischer Merkmale Zielgruppenadressen. Aus den Daten leitete sie ab, welche Menschen welcher Partei nahestünden. Sie gab die verarbeiteten Daten aber nicht weiter. So wollte sie Werbekunden ermöglichen, ihre Werbung zielgerichtet zu versenden.

Einen Mann schätzte die Post als Anhänger der rechtspopulistischen FPÖ ein. Das empfand dieser als beleidigend und kreditschädigend. Er zog in Österreich vor Gericht, um von der Post immateriellen Schadenersatz in Höhe von 1000 Euro zu erstreiten.

Der Oberste Gerichtshof in Wien bat den EuGH um Auslegung der europäischen Datenschutzgrundverordnung (DSGVO). Dieser erklärte am Donnerstag, dass Schadenersatz an drei Voraussetzungen geknüpft sei - einen Verstoß gegen die DSGVO, einen daraus resultierenden materiellen oder immateriellen Schaden und einen kausalen Zusammenhang zwischen beidem.

Die Festlegung der Kriterien für die Berechnung von solchem Schadenersatz sei Sache der EU-Mitgliedsstaaten. Dabei müsse aber sichergestellt werden, dass Betroffene vollständig und wirksam entschädigt würden. Im konkreten Fall muss nun das österreichische Gericht entscheiden.

smb/cfm