EuGH: Für jeden DSGVO-Verstoß steht Schadenersatzanspruch zu

1. Nach der DSGVO kann jede Person bei einer Verletzung der DSGVO Schadenersatz verlangen. Schadenersatz verlangt allerdings notwendigerweise, dass ein “Schaden” vorliegt. Ein solcher ist in einigen Fällen evident (etwa wenn auf Grund eines data breaches ein Täter Abbuchungen von einem Konto vornehmen kann), oftmals aber nicht (nicht welcher Schaden besteht, wenn unberechtigterweise eine Person aufgezeichnet wird?). Die österreichische Rechtsprechung und Gesetzgebung war bisher bei letzterer Art von Schäden, die sich nur in der Gefühlssphäre abspielen (immaterielle Schäden), sehr zurückhaltend – und hat Ersatz nur in Ausnahmen, etwa bei Schmerzengeld oder bei entgangener Urlaubsfreude im Rahmen von Pauschalreisen, zugesprochen. Auch die DSGVO sieht Schadenersatz in solchen Fällen vor (Art 82 DSGVO). Der EuGH hat das nun uneingeschränkt bestätigt – womit letztlich für jede Datenschutzverletzung Schadenersatz geltend gemacht werden kann (EuGH C-507/23, 4.10.2024).

2. Ausgangspunkt dieser Entscheidung war eine Klage eines renommierten lettischen Journalisten gegen die lettische Verbraucherschutzbehörde. Gegenstand des Verfahrens war die Verbreitung einer Videosequenz, in welcher die Verbraucherschutzbehörde über die Risiken beim Kauf von Gebrauchtwagen informierte und dabei den Kläger ohne dessen Zustimmung durch eine andere Person imitieren ließ. Damit verletzt die Verbraucherschutzbehörde die DSGVO, und Schadenersatz stand dem Kläger zu.

3. Wiewohl der Datenschutzverstoß an sich nach den Bestimmungen der DSGVO zu beurteilen war, bestätigte der EuGH in dieser Entscheidung, dass die Höhe des zu ersetzenden Schadens nach dem nationalen lettischen Recht zu bestimmen war. Nach lettischem Recht besteht die Möglichkeit, immaterielle Schäden durch eine bloße Entschuldigung zu ersetzen. Daher wurde der Verbrauscherschutzbehörde – obwohl dem EU-Recht sonst gänzlich unbekannt – die Wiedergutmachung des verursachten Schadens durch eine Entschuldigung beim klagenden Journalisten aufgetragen.

4. Aufgrund der steigenden Bedeutung des (europäischen) Datenschutzrechts wird wohl zukünftig mit vermehrten Schadenersatzprozessen bei Datenschutzverletzungen zu rechnen sein. Anders als nach lettischem Recht reicht in Österreich eine Entschuldigung alleine nicht aus, sondern ist auch in solchen Fällen finanzieller Schadenersatz zu leisten. Dank neuer prozessualer Möglichkeiten (Stichwort Verbandsklage) gehen wir auch davon aus, dass in Zukunft vermehrt auch kleinere Verletzungen vor Gericht landen werden.

5. Welche Beträge in Zukunft zugesproche werden könnten, hat das Europäischen Gericht (“EG”) aufgezeigt: In einer aktuellen Entscheidung aus dem Jänner 2025 wurde die Europäische Kommission vom EG zu Schadenersatz iHv EUR 400,– verurteilt, da sie rechtswidrig die personenbezogenen Daten eines Mannes in die USA transferierte, nachdem dieser eine EU-Website ansurfte. Selbst die Institutionen der EU sind somit nicht vor Schadenersatzansprüchen iZm Datenschutzverletzungen gefeit.

12.2.2025