Neue EuGH-Urteile prägen den Datenschutz nachhaltig

Marco Kinast Datenschutz

Der Gerichtshof der Europäischen Union hat am heutigen Donnerstag 4. Mai 2023 drei Urteile im Datenschutz veröffentlicht.

  • In der Rechtssache C-487/21 konkretisierte der EuGH den Umfang und Inhalt des Auskunfts- und Kopienanspruch nach Art. 15 DSGVO.
  • In einem zweiten Urteil in der Rechtssache C-300/21 entschied der EuGH, wann ein Schadensersatzanspruch nach Art. 82 DSGVO begründet ist und an welche Voraussetzungen ein Anspruch auf Schadensersatz geknüpft ist. Hingegen äußerte sich der EuGH nicht zu der eigentlich spannenden Frage nach der Höhe eines Schadensersatzes, insbesondere eines immateriellen Schadensersatzes.
  • Schließlich entschied der EuGH in der Rechtssache C-60/22 noch Fragen zur Rechenschaftspflicht.

Rechtstreite in Österreich werfen Fragen auf

Zum ersten heutigen Urteil kam es durch eine Vorlage des österreichischen Bundesverwaltungsgerichts an den EuGH. Gegenstand der Vorlage war der Umfang der in Art. 15 Abs. 3 Satz 1 DSGVO beschriebenen Verpflichtung, der betroffenen Person eine „Kopie“ ihrer personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen. Zudem bat das österreichische Gericht um eine Klarstellung, was der Begriff „Informationen“ in Art. 15 Abs. 3 Satz 3 DSGVO genau umfasst. Es ist eine umtreibende Frage: Müssen der betroffenen Person nur Kopien der personenbezogenen Daten in Form von „Abschriften“ zur Verfügung gestellt werden? Oder sind Auszüge aus bzw. gar vollständige Dokumente oder Datenbankauszüge bereitzustellen.

Betroffene müssen originalgetreue und verständliche Reproduktion ihrer Daten erhalten – ggf. auch vollständige Dokumente

Der EuGH stellte in seinem Urteil klar, dass eine „Kopie“ eine originalgetreue und verständliche Reproduktion all der verarbeiteten personenbezogenen Daten sein muss. Diese Auskunft muss darüber hinaus in klarer und einfacher Sprache übermittelt werden. Zudem sei mit dem Begriff „Kopie“ nicht ein Dokument als solches gemeint, sondern die vollständigen personenbezogenen Daten, die es enthält.

Das Gericht stellte fest, dass wenn eine Zurverfügungstellung einer Kopie von Auszügen aus Dokumenten, kompletten Dokumenten oder Auszügen aus Datenbanken unerlässlich ist, dies den Unternehmen zuzumuten ist. Allerdings dürfen die Rechte und Freiheiten anderer Personen dadurch nicht verletzt werden. Eine mögliche Verletzung Dritter könne aber nicht zu der Verweigerung jeglicher Auskunft führen. Bei dem Begriff „Informationen“ aus Art. 15 Abs. 3 Satz 3 DSGVO handele es sich laut EuGH ausschließlich um personenbezogene Daten.

Die Entscheidung untermauerte, dass durch die Auskunft aus Art. 15 DSGVO den betroffenen Personen nicht nur ermöglicht werden muss, zu überprüfen, ob sie betreffende personenbezogene Daten richtig sind, sondern auch, ob sie in zulässiger Weise verarbeitet werden.

Verstoß gegen Grundverordnung begründet alleine noch keinen Schadensersatz

Das zweite Urteil des EuGH befasst sich mit dem Rechtsstreit der Österreichischen Post und einer betroffenen Person. Der Betroffene hatte beim österreichischen Obersten Gerichtshof auf Schadensersatz in Höhe von 1000 EUR geklagt, da ihm ein angeblicher immaterieller Schaden in Form von einem großen Ärgernis, einem Vertrauensverlust und einem Gefühl der Bloßstellung entstanden sei.

Der Oberste Gerichtshof in Österreich stellte daraufhin dem EuGH die Fragen:

  • Ob der bloße Verstoß gegen die DSGVO ausreicht, um einen Schadensersatz zu begründen?
  • Ob bei einem entstandenen immaterielle Schaden ein bestimmter Grad an Erheblichkeit erreicht werden muss?
  • Und welche unionsrechtlichen Vorgaben für die Festsetzung der Höhe des Schadensersatzes bestehen?

Im heutigen Urteil stellte der EuGH fest, dass ein Schadensersatzanspruch an drei kumulative Voraussetzungen geknüpft ist:

  • Einen Verstoß gegen die DSGVO.
  • Einen materiellen oder immateriellen Schaden.
  • Un einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß.

Demnach sei nicht jeder Verstoß gegen die DSGVO bereits für sich selbst genommen ausreichend für einen Schadenersatzanspruch.

Insbesondere existiert in der DSGVO keine „Erheblichkeitsschwelle“, wie es die Rechtspraxis eines Mitgliedstaates, wie Österreich und Deutschland, aber kennt. Insbesondere gestützt auf eine fehlende Erheblichkeit wiesen viele Instanzgerichte in Deutschland Schmerzensgeldklagen vermeintlicher “Datenschutzopfer” ab; wenngleich die gegenteilige Ansicht vorhanden war.

Wann ist ein immaterieller Schaden groß genug?

Es muss keine gewisse Erheblichkeit bei immateriellen Schäden erreicht werden, um einen Schadensersatzanspruch zu gewähren. In diesen Fällen sollen weiterhin nationale Gerichte, über die Möglichkeit Schadensersatz zu erhalten, urteilen.

Zu den Regeln zur Bemessung des Schadensersatzes stellte der EuGH fest, dass die DSGVO keine Bestimmungen enthält, die sich mit diesen Regeln befassen. Auf Grund dessen bleibt es bei der Festlegung der Kriterien für die Ermittlung des Umfangs des Schadensersatzes Aufgabe der Gerichte und des Rechts der einzelnen Mitgliedsstaaten. Hier ist immer der Äquivalenz- und der Effektivitätsgrundsatz zu beachten. Der EuGH beschrieb den Schadensersatzanspruch als Ausgleichsfunktion in der DSGVO und betonte, dass dieses Instrument einen vollständigen und wirksamen Schadensersatz für einen erlittenen Schaden sicherstellen soll. Einem “Strafschadensersatz” müsse es hingegen nicht geben.

Unsere Einschätzung

Der heutige Tag war von vielen Expertinnen und Experten im Datenschutz heiß erwartet und lang ersehnt, waren doch wesentliche Fragen der bisherigen Rechtsstreitigkeiten Gegenstand der Klärung. Im Rahmen der Auskunftspflicht wird es für Unternehmen zukünftig immer schwieriger werden, eine vollständige Auskunft zu liefern. Auf der einen Seite sind alle Vorgaben der Auskunft zu erfüllen (wir erinnern an das letzte EuGH Urteil zur Konkretisierung der Empfänger von personenbezogenen Daten), auf der anderen Seite sind im Rahmen des Anspruchs auf Kopie umfangreiche Dokumente höchstwahrscheinlich bereitzustellen. Dies deckt sich zumindest mit den Ansichten der meisten Aufsichtsbehörden. Eine bloße „Abschrift“ der personenbezogenen Daten kann zu wenig sein. Dies ist insofern nicht neu, aber dürfte die Instanzrechtsprechung weiter und dauerhaft beschäftigen.

Im Bereich des Schadensersatzes – und hier insbesondere des Schmerzensgeldes – ist immerhin eine Grundsatzfrage nun entschieden. Es muss keine erhebliche Schwelle überschritten, sondern es muss in erster Linie ein Schaden konkret und kausal eingetreten sein. Was leider – und mit ein wenig Verwunderung – offen bleibt, ist die Frage nach der Bemessung der Höhe. Der EuGH verweist nur auf die hochheiligen Grundsätze der Äquivalenz und der Effektivität – schiebt die Verantwortung aber auf die nationalen Gerichte. Die Argumentation ist hier ein wenig verwunderlich – wie kann es die Aufgabe des nationalen Rechts sein, wenn doch gleich die Begriffe des Schadens ausschließlich am Unionsrecht auszulegen sind.

Wir werden zukünftig Bewegung sehen – die ersten Legal Techs werden bald vermehrt anfangen, DSGVO-Verstöße vermeintlich einfach für ihre Kundschaft durchzusetzen. Die Gerichte müssen sodann entscheiden, aber ein einfaches Ablehnen aufgrund Unterschreitens einer Erheblichkeitsschwelle ist nun nicht mehr denkbar. Und: Der EuGH hat sich eine Hintertür offengelassen, Entscheidungen zu korrigieren – sollte die Höhe des Schmerzensgeldes eben nicht dem Äquivalenz- und Effektivitätsgrundsatzes entsprechen. Wir blicken gespannt auf die Entwicklung eines „Datenschutz-Case-Laws“, der eine Art Schmerzensgeldtabelle entstehen lassen wird.

Ihr WeComply Team.

Weitere Links und Hinweise: