Kein Schadenersatzanspruch bei bloßem Verstoß gegen die DSGVO

Article • Bank-, Versicherungs- und Wertpapieraufsichtsrecht von Raphael Toman, Christian Lenz

Bei Verstößen gegen die DSGVO können Aufsichtsbehörden Strafen in Millionen-höhe verhängen. Betroffene können unter bestimmten Voraussetzungen Schadenersatzansprüche geltend machen. Welche Voraussetzungen das sind, stellt der Europäische Gerichtshof ("EuGH") in seiner aktuellen Entscheidung C-300/21 klar.

Den Ursprung nahm der vorliegende Rechtsstreit in Österreich. Die Österreichische Post sammelte Informationen über die Bevölkerung, wobei sie mittels eines Algorithmus Rückschluss über ihre politische Gesinnung – etwa auf Grund des Wohnorts oder der erhaltenen Post – erhoben hat. Diese Informationen wurden im Fall des Klägers zwar nicht an Dritte weitergegeben, dieser sah sich trotzdem in seinen Rechten verletzt und begehrte Schadenersatz.

Dieses Verfahren gelangte vor den Obersten Gerichtshof (“OGH“), welcher ein Vorabentscheidungsersuchen an den EuGH zur Klärung von europarechtlichen Fragen richtete. Dabei sollte der EuGH verbindlich entscheiden, ob ein bloßer Verstoß gegen die DSGVO genügt, um einen Schadensersatzanspruch zu begründen. Außerdem sollte der EuGH entscheiden, ob immaterielle (nicht in Geld messbare) Schäden nur dann ersetzt werden, wenn diese eine gewisse Erheblichkeit erreichen.

Der EuGH kam zum Ergebnis, dass ein Schadenersatzanspruch nach der DSGVO nur dann besteht, wenn drei Voraussetzungen erfüllt sind. Zuallererst ist dafür ein Verstoß gegen die DSGVO erforderlich, welcher auch zu einem Schaden geführt haben muss. Der bloße Verstoß gegen die DSGVO ohne nachweislichen Schaden reicht daher für einen Schadenersatzanspruch nicht aus. Darüber hinaus muss der Verstoß gegen die DSGVO auch kausal für diesen Schaden gewesen sein. Das Bemessen der Höhe des Schadenersatzanspruches ist jedoch Angelegenheit der Gerichte der Mitgliedsstaaten. Diese müssen nur sicherstellen, dass es zu einem vollständigen und wirksamen Ersatz für den erlittenen Schaden kommt.

Der EuGH klärte weiters, dass immaterielle Schäden unabhängig von ihrer Schwere zu ersetzen sind. Mit dieser Entscheidung schob der EuGH der bisherigen Rechtsprechung nationaler Gerichte, wonach für immaterielle Schäden im Rahmen des Datenschutzes eine Bagatellgrenze bestehe, einen Riegel vor. Der EuGH schwieg jedoch zur Frage, was genau unter einem immateriellen Schaden zu verstehen ist. Welche Schäden im Rahmen der DSGVO konkret ersatzfähig sind, müssen daher die österreichischen Gerichte klären.

Das Team
Raphael Toman
Partner / Bank-, Versicherungs- und Wertpapieraufsichtsrecht, Compliance & Interne Untersuchungen, Kapitalmarktrecht, Öffentliches Wirtschaftsrecht & Regulatory, IP & Datenschutz, Legal Tech
Raphael betreut vorwiegend Finanzdienstleister in Verfahren vor Zivil- wie Verwaltungsgerichten sowie bei regulatorischen Fragestellungen, Geldwäscheprävention, Sanktionen sowie Kryptowerte. Daneben vertritt er Mandant:innen aus verschiedenen Branchen in (grenzüberschreitenden) streitigen Verfahren. Weiters unterstützt er Unternehmen in datenschutzrechtlichen Belangen, und ist selbst Datenschutzbeauftragter bei einem Biotechunternehmen sowie einem internationalen Sportverband.

Universität Wien, Rechtswissenschaftliche Fakultät (Mag. iur. 2011; Dr. iur. 2019)
New York University, Leistungsstipendium der Universität Wien (LL.M. 2017)
Zulassung als Rechtsanwalt auch in New York (2017)
Stagiaire bei der International Chamber of Commerce (2018)


Christian Lenz
Associated Partner / Prozessführung, Bank-, Versicherungs- und Wertpapieraufsichtsrecht, Immobilienrecht
Christian vertritt zahlreiche Kreditinstitute und Versicherungsunternehmen sowie Glücksspielanbieter in Zivilverfahren zu zivilrechtlichen Haftungsfragen. Er berät seine Mandant:innen beim Erstellen von Vertrags- und Werbeunterlagen sowie zu wirksamen Präventionsmaßnahmen.

Universität Wien, Rechtswissenschaftliche Fakultät (Mag. iur. 2002)

Latest insights zu
Bank-, Versicherungs- und Wertpapieraufsichtsrecht
Investorenwarnungen: Verstärkter Rechtsschutz für Betroffene
Article • Bank-, Versicherungs- und Wertpapieraufsichtsrecht von Raphael Toman, Christian Lenz
Immer wieder beschäftigen die Gerichtshöfe des öffentlichen Rechts Fragen iZm den Betroffenenrechten bei Investorenwarnungen sowie veröffentlichten Strafen durch die FMA – dem sogenannten "Naming & Shaming". Dabei veröffentlicht die FMA Meldungen auf ihrer Homepage, die Investoren vor Geschäftsbeziehungen mit den darin genannten Unternehmen warnen sollen oder schlicht über verhängte Strafen berichtet. Die Rechtsschutzmöglichkeiten der Betroffenen gegen diese Meldungen wurden von der Rechtsprechung nur langsam weiterentwickelt. Ein jüngstes Erkenntnis des Verfassungsgerichtshofs ("VfGH"; VfGH 12. 3. 2024, E 3436/2023) setzt jedoch einen Schritt in Richtung verstärkter Betroffenenrechte.
Umsetzung der Verbandsklagen-Richtlinie in Österreich
Article • Bank-, Versicherungs- und Wertpapieraufsichtsrecht von Raphael Toman, Christian Lenz
Mit der neuen Verbandsklagen-Richtlinie der EU soll ein unionsweites Sammelklagensystem zur kollektiven Rechtsdurchsetzung von Verbraucheransprüchen eingeführt werden. Die entsprechenden Richtlinienvorgaben hätte der österreichische Gesetzgeber bereits bis 25.6.2023 in nationales Recht umsetzen müssen. Ein knappes Jahr später liegt nun der erste Gesetzesentwurf vor.
Umsetzungsgesetze zu DORA, NIS II und MiCAR sind da
Article • Bank-, Versicherungs- und Wertpapieraufsichtsrecht von Raphael Toman, Christian Lenz
Der europäische Gesetzgeber hat zuletzt zahlreiche Vorgaben im digitalen Bereich geschaffen. Der österreichische Gesetzgeber hat nunmehr nachgezogen, und die notwendigen Begleitmaßnahmen auf österreichischer Ebene vorgestellt.