DSGVO – Immaterieller Schadenersatzanspruch

Nur bei nachweislich entstandenem Nachteil

Die DSGVO und das österreichische DSG sehen Haftungsbestimmungen für die Verletzung des Schutzes von personenbezogenen Daten vor (Artikel 82 DSGVO und § 29 DSG). Sie sind von dem Strafregime der DSGVO, wonach bekanntlich Geldbußen in exorbitanter Höhe verhängt werden können, zu unterscheiden. Sie gewähren zivilrechtlichen Rechtsschutz. Bei einer Datenschutzverletzung kann ein Geschädigter sohin – losgelöst von einer allenfalls verhängten Verwaltungsstrafe – deliktisch Schadenersatz vom Schädiger verlangen. Für datenschutzrechtliche Verantwortliche (und Auftragsverarbeiter) stellen sie somit ein zusätzliches Haftungsrisiko dar.

Immaterielle Schäden
Neben dem materiellen Schaden soll ausdrücklich auch der immaterielle Schaden ersatzfähig sein. Dies stellt eine Verschärfung gegenüber der Rechtslage vor der DSGVO dar. Damals musste Ersatz für einen immateriellen Schaden nur unter wesentlich engeren Voraussetzungen geleistet werden (öffentlich zugängliche Verwendung bestimmter Datenarten, „Bloßstellung“).

Wird aufgrund einer Datenschutzverletzung immaterieller Schadenersatz begehrt, sind neben der DSGVO die allgemeinen schadenersatzrechtlichen Anspruchsvoraussetzungen maßgeblich. Dies bedeutet insbesondere, dass ein Schaden entstanden sein muss. Der Oberste Gerichtshof (OGH) hat – in Bezug auf die alte Rechtslage, aber mit fortdauernder Bedeutung für die neue – entschieden, dass ein immaterieller Schaden nur dann angenommen werden kann, wenn der Betroffene einen Nachteil erlitten hat (6 Ob 9/88).

Angesichts der angesprochenen Judikatur spricht unserer Ansicht nach aber dennoch vieles dafür, auch in diesen Fällen den Schadenseintritt nicht ungeprüft zu bejahen, sondern zu untersuchen, ob ein ausreichend erheblicher immaterieller Schaden eingetreten ist. In Streitfällen befasste Gerichte werden diesbezüglich Fest-stellungen zu treffen haben. Eine Hilfestellung dafür bietet jedenfalls die DSGVO selbst: Danach kann ein (immaterieller) Schaden insbesondere in einer Diskriminierung, einem Identitätsdiebstahl bzw. -betrug, einer Rufschädigung oder auch einem Kontrollverlust der betroffenen Person über die eigenen Daten liegen (Erwägungsgrund 75). Nicht für alle Unlustgefühle, die mit einer Rechtsverletzung verbunden sind, gebührt Schadenersatz. Eine gewisse Erheblichkeit der Beeinträchtigung ist erforderlich. Auch ein Blick nach Deutschland bestätigt dies: Nach dem Amtsgericht Diez führt ein bloßer Verstoß gegen die DSGVO, ohne dass ein Schaden eintritt, nicht zu einer Haftung.

Ein rechtswidriges, nicht DSGVO-konformes Verhalten stellt für sich allein daher noch keinen Nachteil im Sinne eines immateriellen Schadens dar. Vielmehr muss im Einzelfall untersucht werden, ob dieses Verhalten zu einem Schaden geführt hat. Bei der nicht selten anzutreffenden Ansicht, dass bei jeder Datenschutzverletzung auch Schadenersatz zusteht, handelt es daher um einen Irrglauben. Es geht bei den eingangs erwähnten Haftungsbestimmungen „nur“ um den Ausgleich eines tatsächlich entstandenen immateriellen Schadens, nicht aber um eine Strafe.

Schadenersatzrechtlich Bewanderten mag dies selbstverständlich erscheinen. Allerdings kann die Frage, ob bzw. zu welchem immateriellen Schaden eine Datenschutzverletzung geführt hat, in der Praxis Schwierigkeiten bereiten.

Aktuelle Rechtsprechung
Vor diesem Hintergrund erweist sich auch das medial umfangreich thematisierte, aktuelle – noch nicht rechtskräftige – Urteil des Landesgerichts Feldkirch gegen die Österreichische Post Aktiengesell-schaft als spannend. Das Gericht bejahte einen Anspruch auf immateriellen Schadenersatz insbesondere wegen der Verarbeitung von Daten zur „Parteiaffinität“ durch die Post. Dem Kläger wurde ein Schadenersatzbetrag von 800 EUR (begehrt: 2.500 EUR) zugesprochen. Soweit ersichtlich dürfte das Gericht alleine aufgrund der festgestellten Datenschutzverletzung vom Vorliegen eines Schadens ausgegangen sein. Entscheidend dafür könnte gewesen sein, dass nach Ansicht des Gerichts besondere Kategorien personenbezogener Daten betroffen waren. Im konkreten Fall ging es um die Parteiaffinität respektive die politische Meinung des Klägers. Dies könnte zum einen vor dem Hintergrund der Aufweichung des Wahlgeheimnisses, zum anderen aufgrund der Tatsache, dass es sich bei der politischen Ausrichtung einer Person um eine grundlegende Einstellungsfrage und somit den höchstpersönlichen Lebensbereich handelt, gesehen werden.

Richtig ist aus unserer Sicht nämlich sicher, dass bei einer Datenschutzverletzung, die besondere Kategorien personenbezogener Daten (z. B. politische Meinung, sexuelle Orientierung, religiöse Einstellung Gesundheitsdaten) betrifft, ein Schadenseintritt naheliegender ist.

Dieser Artikel wurde von Philipp Scheuba und Stefan Humer für das Klientenmagazin Spotlight der GrECo International AG Versicherungsmakler und Berater in Versicherungsangelegenheiten verfasst. Sie können den Artikel auch hier als PDF lesen oder das gesamte Magazin hier downloaden.

Nachtrag zum Artikel:
Das Urteil des Landesgerichts Feldkirch gegen die Österreichische Post Aktiengesellschaft wurde inzwischen vom OLG Innsbruck aufgehoben mit der Begründung, dass der Betroffene einen durch die gespeicherten Parteiaffinitäten entstandenen Schaden nicht ausreichend nachweisen konnte. Der Kläger hätte konkrete Nachteile in seinem Berufs- oder Gefühlsleben aufzeigen müssen. Wie von uns im Artikel erörtert, begründet also eine Datenschutzverletzung alleine keinen Schadenersatz, ein tatsächlich nachweisbarer Schaden muss entstanden sein.