Autoren: Dr. Claudio ARTURO, Mag. Hannah DALBAUER
Petsch Frosch Klein Arturo Rechtsanwälte
A-1010 Wien, Esslinggasse 5
Telefon: +43 1 586 21 80
Telefax: +43 1 586 22 35
I-20122 Milano, Corso Di Porta Romana 46
A-1010 Wien, Esslinggasse 5
Telefono: +39 02 58 32 82 62
Telefax: +39 02 58 43 10 93
http://www.pfka.eu
Auf der Beklagtenseite war die Österreichische Post, die schon mehrmals wegen unzulässiger Datenverarbeitungen in den Medien war. Im letzten Jahr hatte diese für „Furore“ gesorgt, nachdem sie auf ihrer Website in einer Ad-hoc-Veröffentlichung bekanntmachte, dass sie infolge einer Strafe der österreichischen Datenschutzbehörde für diese eine Rückstellung in Höhe von EUR 18 Millionen gebildet habe. Die Millionenstrafe war damals eine der ersten zur neuen Rechtslage und zeigte vielen, die es bis dahin nicht wahrhaben wollten, dass die Datenschutzgrundverordnung tatsächlich ernst zu nehmen ist.
Die österreichische Post war dann abermals in den Schlagzeilen, nachdem sie auf privatrechtlichem Wege vor einem Gericht auf Schadenersatz wegen unzulässiger Datenverarbeitungen geklagt wurde. Die (maßgebliche) Verarbeitung bestand im Kern darin, dass sozialdemografische Daten von Millionen von Menschen verarbeitet werden und aus ihnen mittels eines Marketinganalyseverfahrens Parteiaffinitäten und sonstige Affinitäten der einzelnen Personen bzw. Marketinggruppen ermittelt werden.
Das Erstgericht konstatierte, dass die Parteiaffinitäten besondere Kategorien von Daten iSd Art 9 DSGVO darstellen, da mit ihnen politische Meinung abgebildet werden, für deren Verarbeitung im konkreten Fall allerdings die Rechtsgrundlage fehlte. Es war also ein erheblicher Verstoß gegen die DSGVO gegeben, der den Kläger in seinem Grundrecht auf Datenschutz beeinträchtigt hatte. Dem Kläger wurde ein Betrag iHv EUR 800,– als immaterieller Schadenersatz zugesprochen.
In der jetzigen Entscheidung des Berufungsgerichts wurde das Urteil abgeändert und die Klage abgewiesen. Nach Ansicht des Gerichts hat der Kläger keinen immateriellen Schaden erlitten bzw. verabsäumt, einen solchen bzw. dessen Eintritt ausreichend zu behaupten und zu beweisen.
Das Gericht äußerte sich in seiner Begründung zudem umfangreich zu den Voraussetzungen eines Anspruchs auf immateriellen Schadenersatz nach der DSGVO.
Die Kernaussagen sind:
1. Der immaterielle Schaden muss entstanden sein, es muss also eine tatsächliche Beeinträchtigung der Gefühlswelt des Geschädigten bzw. eine benennbare tatsächliche Persönlichkeitsverletzung eingetreten sein.
Das ist an sich keine Neuigkeit, sondern entspricht dem allgemeinen Schadenersatzrecht.
2. Die Tatsache, dass ein Verstoß gegen die DSGVO vorliegt, stellt per se noch keinen immateriellen Schaden dar. Der Schaden liegt erst in einer Konsequenz oder Folge der Rechtsverletzung.
Auch das entspricht den Grundsätzen des allgemeinen Schadenersatzrechts. Die Aussage verdeutlicht aber dennoch den Unterschied zwischen Rechtswidrigkeit und Schaden als zwei getrennt voneinander bestehende Tatbestandsvoraussetzungen, die auch bei Schadenersatzansprüchen nach der DSGVO kumulativ vorliegen müssen.
Durch die Negativ-Abgrenzung ist klargestellt, dass kein immaterieller Schadenersatz zusteht, wenn nur ein Verstoß gegen die DSGVO vorliegt, ohne dass weitere Tatbestandsmerkmale (tatsächlicher Schaden) hinzutreten. Oder eben im Umkehrschluss: Es muss durch den Verstoß gegen die DSGVO (zusätzlich) ein Schaden verursacht werden.
3. Ein ersatzfähiger immaterieller Schaden liegt nur vor, wenn er eine gewisse Erheblichkeitsschwelle übersteigt. Für unerhebliche Schäden besteht (nur) ein Unterlassungs- und Beseitigungsanspruch.
Auch das entspricht dem allgemeinen Schadenersatzrecht. Das Gericht stellt hier klar, dass der (bloße) durch die Verletzung an sich hervorgerufene Ärger oder Gefühlsschaden nicht ausreichend ist. Es muss darüber hinaus ein besonderes immaterielles Interesse vorliegen. Als Sanktion bei unerheblichen Schäden stünde den Geschädigten (nur bzw. ohnehin) ein Unterlassungs- und Beseitigungsanspruch zu.
4. Zur Beurteilung der Erheblichkeit ist ein objektiviertes Verständnis der persönlichen Beeinträchtigung maßgeblich. Es ist auf eine durchschnittlich im Datenschutz sensibilisierte Maßfigur abzustellen. Nur wenn eine solche negative Gefühle entwickeln würde, die über jene hinausgehen, welche man automatisch entwickelt, wenn ein Gesetz zu seinen Ungunsten verletzt wird, liegt ein ersatzfähiger immaterieller Schaden vor.
Diese Gedanken sind grundsätzlich ebenfalls nicht sehr Datenschutz-speziell. Durch die Anwendung eines solchen Kriteriums wird die Vorhersehbarkeit von Verfahrensausgängen zu diesem Themenkreis allerdings sicherlich nicht einfacher. Wie sehr ist ein durchschnittlicher Mensch auf Datenschutz sensibilisiert und ab welcher Art von Eingriff (Maßnahme) entwickelt die Maßfigur negative Gefühle? Wer ist außer Anwälten und sonstigen Datenschutzexperten überhaupt auf Datenschutz sensibilisiert? Jeder Mensch ärgert sich, wenn er in seinen Rechten verletzt wird. Wann dieser nunmehr etablierte Maßstab erfüllt sein soll, bleibt sehr unklar.
Ob die Entscheidung bzw. die ins Treffen geführten Gründe im Einzelfall richtig sind oder nicht, darf bezweifelt werden und wird an dieser Stelle nicht erörtert. Die Klarstellung der einzelnen Voraussetzungen ist jedenfalls zu begrüßen, wenngleich sie auch nur die generellen theoretischen Grundlagen erläutert. Eine stichfeste Lösung für die Praxis kann man aus ihr nicht gewinnen. Dennoch lässt sich aus ihr aber zumindest ableiten, dass man jedenfalls die tatsächliche immaterielle Beeinträchtigung behaupten und beweisen muss, um in diesem oder einem ähnlichen Fall erfolgreich immateriellen Schadenersatz einzuklagen.
Sollten ein anderer Post-Kunde, der von der gegenständlichen Geschäftspraxis auch betroffen ist, mit geschickterem Vorbringen erfolgreich sein, könnte der immaterielle Schadenersatz hochgerechnet auf die Post-Kundenanzahl zu teuren Auswirkungen für die Post führen.
Der naheliegende Gedanke, die inhaltliche Frage im Wege der Vorabentscheidung aufgrund der ihr immanenten europarechtlichen Dimension dem EuGH vorzulegen, wurde von Gericht übrigens zurückgewiesen. Das Gericht vertritt hier den Standpunkt, dass sich die Voraussetzungen für den Schadenersatz nach nationalem Recht richten und daher keine vorlagefähige Frage gegeben gewesen wäre. Das könnte man aber auch mit guten Argumenten anders sehen, ging es doch in weiten Strecken um die Interpretation verschiedener Erwägungsgründe der DSGVO. Man hätte hier auch zum Ergebnis kommen können, dass aus den Erwägungsgründen 75 und auch 85 (!) hervorgeht, dass ein Kontrollverlust über die eigenen Daten – ein solcher wurde vom Kläger behauptet – einen immateriellen Schaden darstellt. Ebenso hätte der EuGH im Interesse der Einheitlichkeit praxisfähige Kriterien aufstellen können. Das Thema bleibt also spannend.