DSGVO – immaterieller Schaden

DSGVO: Art 82

Der EuGH legt Art 82 Abs 1 DSGVO in mittlerweile stRsp dahin aus, dass der bloße Verstoß gegen die DSGVO nicht ausreicht, um einen Schadenersatzanspruch zu begründen. Erforderlich sind das Vorliegen eines materiellen oder immateriellen Schadens, das Vorliegen eines Verstoßes gegen die DSGVO sowie ein Kausalzusammenhang zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind.

Die Person, die auf der Grundlage von Art 82 Abs 1 DSGVO den Ersatz eines immateriellen Schadens verlangt, muss nicht nur den Verstoß gegen Bestimmungen der DSGVO nachweisen, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist, der nicht allein aufgrund dieses Verstoßes vermutet werden kann. Ist der betroffenen Person ein ideeller Schaden entstanden, darf der Anspruch auf Ersatz eines immateriellen Schadens allerdings nicht davon abhängig gemacht werden, dass dieser Schaden einen bestimmten Grad an Erheblichkeit erreicht hat. Darüber hinaus hängt die Haftung des Verantwortlichen nach Art 82 DSGVO vom Vorliegen eines ihm anzulastenden Verschuldens ab, das vermutet wird, sofern er nicht nachweist, dass die Handlung, die den Schaden verursacht hat, ihm nicht zurechenbar ist.

In einem Fall, in dem personenbezogene Daten der betroffenen Person rechtswidrig online im Handelsregister eines Mitgliedstaats Dritten zugänglich gemacht worden waren, hat der EuGH jüngst ausgesprochen, dass die Befürchtung einer natürlichen Person, dass aufgrund eines Verstoßes gegen die DSGVO ihre Daten von Dritten missbräuchlich verwendet werden könnten, einen immateriellen Schaden iSd Art 82 Abs 1 DSGVO darstellen könne. Der Kontrollverlust könne ausreichen, um einen immateriellen Schaden zu verursachen, sofern die betroffene Person nachweise, dass sie tatsächlich einen solchen Schaden, so geringfügig er auch sein möge, erlitten habe.

Der Schadenersatzanspruch nach Art 82 DSGVO hat keine Straf- oder Abschreckungs-, sondern eine Ausgleichsfunktion. Eine auf diese Bestimmung gestützte finanzielle Entschädigung soll es ermöglichen, den konkret aufgrund des Verstoßes gegen die DSGVO erlittenen Schaden in vollem Umfang auszugleichen.

OGH 3. 7. 2025, 6 Ob 113/24x

Entscheidung

Im vorliegenden Fall (hier: Marketingklassifikationen, die über statistische Wahrscheinlichkeiten errechnet wurden; vgl dazu bereits das zwischen denselben Parteien ergangene Urteil 6 Ob 127/20z = RS0132655, RS0133524 = RdW 2021/288 bzw die E 6 Ob 19/23x, 6 Ob 19/23x, RdW 2023/434) wurde mit dem Kl zwar nicht erörtert, welchen tatsächlichen Vorgang er beanstandet (das Ermitteln oder die [Weiter-]Verarbeitung von Daten durch Errechnen und Speichern von Marketingqualifikationen).

Darauf muss jedoch nicht weiter eingegangen werden, weil das BerufungsG zutreffend den Eintritt eines ideellen Schadens verneinte. Es verstand die getroffene Feststellung zur Reaktion des Kl auf die Datenverarbeitung unbedenklich dahin, dass darin das Erkennen und die rechtliche Qualifikation als Verstoß gegen die DSGVO liege und darüber hinausgehende Auswirkungen nicht eingetreten seien. Die darauf gegründete Beurteilung, dass darin kein durch den behaupteten Rechtsverstoß ausgelöster Schaden eingetreten sei, steht mit der Rsp des EuGH im Einklang.

Das Revisionsvorbringen zur Rechtswidrigkeit der Datenverarbeitung und zur Notwendigkeit der zivilrechtlichen Sanktionierung der rechtswidrigen Verarbeitung personenbezogener Daten lässt außer Acht, dass der Schadenersatzanspruch nach der DSGVO keinen Sanktionszweck verfolgt, sondern ausschließlich dem Ausgleich eines eingetretenen Schadens dient (vgl nur EuGH C-182/22 und C-189/22 vom 20. 6. 2024, Scalable Capital [Rz 22 f], RdW 2024/420).

Ein Schaden kann aus den getroffenen Feststellungen allerdings nicht abgeleitet werden. Dass der Kl Ärger empfunden habe, wie in der Revision behauptet, wurde nicht festgestellt.