OGH legt Fragen zu Art 82 DSGVO dem EuGH vor ... Wir stellen Ihnen die Entscheidung in den wesentlichen Passagen dar, und kommentieren diese auch.
Das Verfahren an sich:
Das Verfahren selbst betrifft an
sich nicht nur einen Schadenersatzanspruch einer natürlichen Person gegen die
Österreichische Post AG wegen unzulässiger Verarbeitung von Parteiaffinitäten, sondern auch einen Unterlassungsanspruch, über den rechtskräftig bereits entschieden ist.
Fragen des Schadenersatzanspruches nach Art 82 DSGVO schafften es jedoch im Verfahren nun bis zum EuGH.
Die „Feststellungen“ zur den Auswirkungen, die der Kläger durch die (rechtswidrige) Verarbeitung der Parteiaffinitäten durch die Österreichische Post AG hatte, lauten wie folgt:
[4] Der Kläger [...] war über die Speicherung seiner Daten zur Parteiaffinität verärgert. Zusätzlich erbost und beleidigt war der Kläger über die ihm seitens der Beklagten zugeschriebene „hohe Affinität“ zur FPÖ. Das Vorgehen der Beklagten beschäftigte ihn nochmals anlässlich der Verfahrensvorbereitung. Andere, nicht bloß vorübergehende gefühlsmäßige Beeinträchtigungen konnten nicht festgestellt werden.
Sowohl das Erst- als auch das Berufungsgericht wies die Klage in Bezug auf den Schadenersatzanspruch ab. Der OGH legte dem EuGH drei Fragen zur Auslegung von Art 82 DSGVO zur Vorabentscheidung vor:
1. Erfordert der Zuspruch von Schadenersatz nach Art 82
DSGVO [...] neben einer Verletzung von Bestimmungen der DSGVO auch, dass der Kläger einen Schaden erlitten hat oder reicht bereits die Verletzung von Bestimmungen der DSGVO als
solche für die Zuerkennung von Schadenersatz aus?
2. Bestehen für die Bemessung des Schadenersatzes neben den Grundsätzen der Effektivität und Äquivalenz weitere Vorgaben des Unionsrechts?
3. Ist die Auffassung mit dem Unionsrecht vereinbar, dass Voraussetzung für den Zuspruch immateriellen Schadens ist, dass eine Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht vorliegt, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgeht?
Der OGH nimmt insbes. auch auf die Entscheidung des dt. BVerfG vom 14.1.2021 (wir haben berichtet) Bezug und führt dazu aus, dass er (der OGH), die Auffassung, dass durch eine Entscheidung eines unterinstanzlichen Gerichtes über einen Schadenersatzanspruch nach Art 82 DSGVO das Recht auf den gesetzlichen Richter verletzt werde, nicht teile.
Weiters bezieht sich der OGH auch auf die Entscheidung des OLG Innsbruck zum gleichen Sachverhalt (ebenfalls im Blog besprochen), in das Gericht feststellte, dass ein Schaden nicht entstanden sei, da „Ungemach“ noch keinen ersatzfähigen Schaden darstelle.
Der OGH hat die Vorlagefragen wie folgt begründet, wobei ich versuchen werde, diese Begründungen kurz zu analysieren bzw. zu erläutern oder auch zu kritisieren.
Unionsautonomer Schadensbegriff:
„[13] 1. Nach Art 82 Abs 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Damit wird eine eigenständige – das heißt neben das innerstaatliche Schadenersatzregime tretende – datenschutzrechtliche Haftungsnorm statuiert. Folglich ist nicht nur der Begriff des „immateriellen Schadens“ in Art 2 Abs 1 DSGVO unionsautonom zu bestimmen.
Vielmehr hat sich auch die Ausgestaltung der sonstigen Haftungsvoraussetzungen nach Abs 2 leg cit, ebenso wie Fragen der Bemessung des Ersatzanspruchs, in erster Linie nach Unionsrecht zu richten; das mitgliedstaatliche Haftungsregime wird insoweit überlagert (siehe ErwGr 146 S 4 und 5 zur DSGVO; vgl weiters Frenzel in Paal/Pauly, DSGVO-BDSG3 Art 82 DSGVO Rz 1; Wybitul/Haß/Albrecht, Abwehr von Schadensersatzansprüchen nach der Datenschutz-Grundverordnung, NJW 2018, 113; Paal, Schadensersatzansprüche bei Datenschutzverstößen – Voraussetzungen und Probleme des Art 82 DSGVO, MMR 2020, 14). Schon aus diesem Grund kann auf die zum Ersatz immaterieller Schäden im nationalen Schadenersatzregime entwickelten Rechtsprechungsgrundsätze nicht ohne weiteres zurückgegriffen werden (aA Schweiger in Knyrim, DatKomm Art 82 DSGVO Rz 2).“
Der OGH ist der Ansicht, dass durch den neuen Artikel 82 DSGVO eine eigene europäische Anspruchsnorm für Schadenersatz bei Datenschutzverletzungen geschaffen wurde, die vom nationalen Recht abgekoppelt zu sehen ist.
§ 29 DSG hingegen erweitert die Anspruchsgrundlage um „Verstöße gegen § 1 oder Artikel 2 1. Hauptstück“ des DSG und führt damit dann eine weitere Möglichkeit eines Schadenersatzanspruches, teilweise in direkter Konkurrenz zu Art 82 DSGVO.
§ 29 S 2 DSG bezieht sich explizit auf das österreichische Recht und verweist explizit darauf, dass „[I]m Einzelnen für diesen Schadenersatzanspruch die allgemeinen Bestimmungen des bürgerlichen Rechts“ gelten.
Diese Bezugnahme auf das materielle österreichische „bürgerliche“ Recht, gemeint kann damit nur das ABGB oder im Verhältnis Unternehmer und Konsument auch das KSchG, zB § 6 Abs 1 Z 9 KSchG (mit dem Verbot des Ausschlusses von Personenschäden) sein, lässt der OGH zur Gänze unter den Tisch fallen.
Für mich stellt sich die Frage, wie ein „europäischer“ Schadenersatzanspruch tatsächlich losgelöst von nationalen Rechtstraditionen aussehen soll, und ob zB auch „Kaufkraftunterschiede“ zu berücksichtigen sind. Hat der Europäische Gesetzgeber überhaupt die Kompetenz derart in das Zivilrecht der Mitgliedstaaten einzugreifen?
„[14] 2. Nach ErwGr 146 S 3 zur DSGVO soll der Begriff des Schadens im Lichte der Rechtsprechung des EuGH „weit und auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung entspricht“. Die betroffenen Personen sollten einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten (ErwGr 146 S 6 zur DSGVO). Daraus wird im Hinblick auf die Rechtsprechung des EuGH zu Entschädigungszahlungen wegen Verstößen gegen das Unionsrecht primär abgeleitet, dass die Ersatzpflicht unter Berücksichtigung des unionsrechtlichen Effektivitätsgrundsatzes so bemessen werden muss, dass sie verhältnismäßig, wirksam und abschreckend ist (vgl Schweiger in Knyrim, DatKomm Art 82 DSGVO Rz 13 mwN; eingehend Wybitul/Haß/ Albrecht, NJW 2018, 115).
[15] Der zugesprochene Betrag muss über eine rein symbolische Entschädigung hinausgehen (vgl Frenzel in Paal/Pauly, DSGVO-BDSG3 Art 82 DSGVO Rz 12a, der allerdings zugleich die gebotene Zurückhaltung bei der Bezifferung immaterieller Schäden hervorhebt). Mit Blick auf die solcherart angesprochene Ausgleichsfunktion der Haftung wird teilweise betont, dass hinsichtlich der erlittenen ideellen Nachteile eine Entschädigung als Genugtuung zur Linderung bezweckt sei, die gleichrangig neben den Ausgleich für materielle Verluste trete (vgl Dickmann, Nach dem Datenabfluss: Schadenersatz nach Art 82 der Datenschutz-Grundverordnung und die Rechte des Betroffenen an seinen personenbezogenen Daten, r+s 2018, 345 [352 f] mwN).“
Der Umfang des Schadens ist eine Frage, die Entscheidungen in Österreich und Deutschland unterschiedlich geklärt wurde, und es ist positiv, dass der EuGH sich dieser Frage annehmen wird (müssen).
Ein Schaden muss eintreten bzw. erlitten werden.
„[16] 3. Einigkeit besteht darin, dass ungeachtet des unionsrechtlichen Effektivitätsgrundsatzes Ersatz nach Art 82 DSGVO aufgrund des soeben angesprochenen zentralen Ausgleichsgedankens hinter der Haftung nur dann gebührt, wenn ein (ideeller) Schaden tatsächlich eingetreten ist (vgl ErwGr 146 S 6: „für den erlittenen Schaden“).“
Der OGH geht davon aus, dass es zu einem „Schadenseintritt“ kommt, und referenziert dabei auch auf das Wort „erlitten“ in ErwGr 146 S 6. Viel klarer wird es für mich, wenn auf die englische Fassung des Art 82 DSGVO Bezug genommen wird, denn dort heißt es, dass materielle und nicht-materielle Schäden, die „erlitten“ („suffered“) wurden, zu ersetzen sind. Insofern hinkt mE die deutsche Sprachfassung des Art 82 DSGVO hinterher, wenn es dort heißt, dass ein Schaden „entstanden“ sein muss, denn „suffered“ ist wohl eher mit „leiden, erdulden, büßen, erleiden“ zu übersetzen.
Mangelhafte Auskunftserteilung (bisherige Judikatur) als Beispiel
„[17] 4. Im Zusammenhang mit der Frage eines Schadenersatzanspruchs bei einer nicht vollständig erteilten Auskunft hielt der Oberste Gerichtshof fest, dass ein ideeller Schaden jedenfalls nur dann angenommen werden kann, wenn der Betroffene einen Nachteil erlitten hat (6 Ob 9/88). Der Umstand, dass der Auskunftspflichtige seiner gesetzlichen Pflicht zur Bekanntgabe der Herkunft von Daten nicht nachkommt, stelle für sich allein noch keinen ideellen Schaden des Betroffenen dar (6 Ob 9/88; 1 Ob 318/01y). Die Rechtsverletzung per se stellt daher keinen immateriellen Schaden dar, sondern es muss eine Konsequenz oder Folge der Rechtsverletzung gegeben sein, die als immaterieller Schaden qualifiziert werden kann und die über den an sich durch die Rechtsverletzung hervorgerufenen Ärger bzw Gefühlsschaden hinausgeht (Schweiger in Knyrim, DatKomm Art 82 DSGVO Rz 26; G. Kodek, Schadenersatz- und Bereicherungsansprüche bei Datenschutzverletzungen, in Leupold, Forum Verbraucherrecht 2019, 97).“
Bereits im Jahr 1988 (noch unter dem DSG) hat der OGH festgehalten, dass es nicht ausreicht, dass eine Auskunft mangelhaft erteilt wird, um einen Schadenersatzanspruch zu begründen; diesbezüglich steht die Entscheidung im Verfahren Max Schrems vs Facebook, Inc, dem EUR 500,-- an (immateriellem) Schadenersatz zugesprochen wurde, mE dazu im Widerspruch.
Muss der Schadenersatz „effektiv“ sein, um die DSGVO durchzusetzen?
„[18] 5. Das Effektivitätskriterium ist im vorliegenden Zusammenhang nur beschränkt aussagekräftig, weil in der DSGVO ohnedies hohe Strafen vorgesehen sind. Gerade diese hohen Strafen haben die Diskussion und jedenfalls die öffentliche Wahrnehmung über die DSGVO geprägt. Daher lässt sich nicht ohne weiteres argumentieren, dass die Effektivität der DSGVO zusätzlich auch hohen Schadenersatz für ideelle Schäden erfordere (G. Kodek aaO). Hier bestünde die Gefahr einer „Effektivitätsspirale“ (Spitzer, Schadenersatz für Datenschutzverletzungen, ÖJZ 2019/76, 629 [635 f] mwN).“
Der OGH verweist in diesem Punkt auch auf das bestehende Sanktionsregime der DSGVO mit den hohen Geldstrafen, und spricht sich dafür aus, dass zur effektiven Durchsetzung der DSGVO als europäische Norm es nicht der Durchsetzung immaterieller Schaden bedarf. Es reicht aus, um der DSGVO zur Geltung zu verhelfen, dass es andere Sanktionen für normwidriges Verhalten gibt.
Hypothetische, unbestimmte und nicht spürbare Nachteile
„[19] Für hypothetische, unbestimmte bzw nicht spürbare Nachteile durch den Eingriff in das Recht auf informationelle Selbstbestimmung wird auch nicht im Sinn eines „Strafschadenersatzes“ gehaftet (eingehend dazu Spitzer, ÖJZ 2019/76, 629 [635 f] mwN; weiters statt vieler Frenzel in Paal/Pauly, DSGVO-BDSG3 Art 82 DSGVO Rz 10; vgl auch OLG Innsbruck MR 2020, 81 [zust Fritz/Hofer]).“
Ein Nachteil, der nicht spürbar ist, oder der nur unbestimmt oder hypothetisch ist, stellt keinen (eingetretenen) Schaden dar.
„Kontrollverlust“ allein reicht nicht aus
„[20] 6. Schon aus diesem Grund verfängt die Argumentation des Klägers nicht, ihm stehe schon wegen des „Verlusts der Kontrolle
über die personenbezogenen Daten“ bzw aufgrund der „Verarbeitung von politischen Meinungen“ als solchen Schadenersatz zu. Anderes geht auch nicht aus ErwGr 85 und 75 zur DSGVO
hervor.“
Der OGH erklärt in diesem Absatz, dass es nicht ausreicht, dass es zu einem Kontrollverlust bei personenbezogenen Daten kommt, sondern dass noch ein weiteres Merkmal dazu kommen muss. Wenn jemand (nur) die Kontrolle über seien Daten verliert, dh ein Verantwortlicher diese Daten (ohne Rechtsgrundlage) verarbeitet, dann ist dies per se nicht ausreichend, einen Schadenersatzanspruch zu begründen.
Differenzierung, ob es zur Datenweitergabe kommt, oder nicht
„Wie schon das Berufungsgericht zutreffend aufgezeigt hat, bezieht sich ErwGr 85 erkennbar auf konkrete Schadensfolgen aufgrund eines erfolgten
Datenabflusses; im gegebenen Zusammenhang – in dem es gerade zu keiner Datenweitergabe gekommen ist – bleibt der vom Kläger auch noch im Revisionsverfahren unter Verweis auf einen
„Kontrollverlust“ behauptete immaterielle Schaden gänzlich unbestimmt. ErwGr 75 macht zugleich deutlich, dass die darin beispielhaft aufgezählten, von bestimmten
Datenschutzverstößen zwangsläufig ausgehenden Risken nicht mit dem nach Art 82 Abs 1 DSGVO zu ersetzenden immateriellen Schaden als solchen gleichzusetzen sind; sie können nur „zu einem
[…] immateriellen Schaden führen“.“
Das Element, das zusätzlich zum „Kontrollverlust“ hinzukommen könnte, wäre, dass eine Datenweitergabe an einen Dritten. Ich denke, dass ErwG 85 ganz speziell im Zusammenhang mit der Meldung von Datenschutzverletzungen zu lesen ist, der „Verlust der Kontrolle“ über die eigenen personenbezogenen Daten nur dann als Schaden angesehen werden kann, wenn es zu einer „Verletzung des Schutzes personenbezogener Daten“ kommt bzw. gekommen ist.
Bezüglich ErwG 75 ist zu bemerken, dass der OGH mE richtig erkennt, dass ein Kontrollverlust die Ursache eines immateriellen Schadens sein könnte, und der Kontrollverlust nicht selbst den immateriellen Schaden darstellt. In ErwG 75 heißt es: „Die Risiken für die Rechte und Freiheiten natürlicher Personen [...] können aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einem [...] immateriellen Schaden führen könnte, insbesondere [...] wenn die betroffenen Personen [...] daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren“. Diese Beziehung zwischen Risiko (dh Eintritt eines materiellen Schadens) durch eine (schädigende) Handlung, nämlich Kontrollverlust über die personenbezogenen Daten, stellt auch der OGH her.
Konkret nachweisbarer (ideeler) Nachteil mit Beispielen
„[21] 7. Der Ersatz eines immateriellen Schadens nach Art 82 Abs 1 DSGVO setzt folglich einen konkret nachzuweisenden ideellen Nachteil durch den Datenschutzverstoß voraus: Dieser kann etwa darin liegen, dass der Betroffene Zeit und Mühe aufwenden muss, um der Rechtsverletzung ein Ende zu setzen bzw um sich gegen den drohenden Missbrauch seiner Daten oder einen Folgeschaden zu schützen. Ebenso werden aus der Rechtsverletzung resultierende Gefühlsbeeinträchtigungen wie Ängste, Stress oder Leidenszustände aufgrund einer erfolgten oder auch nur drohenden Bloßstellung, Diskriminierung oder Ähnlichem zu einer Ersatzpflicht führen (näher dazu etwa Dickmann, r+s 2018, 353; zur Frage, ob dabei auf eine „durchschnittlich im Datenschutz sensibilisierte“ Maßfigur abzustellen ist vgl etwa Fritz/Hofer, MR 2020, 84; Wirthensohn, Kein immaterieller Schadenersatz für die rechtswidrige Verarbeitung besonderer Kategorien von Daten gemäß Art 9 DSGVO, wenn keine [erhebliche] Gefühlsbeeinträchtigung vorliegt? Kritik zu OLG Innsbruck 13. 2. 2020, 1 R 182/19b, jusIT 2020/56).
[22] 8. Mit Recht wird in diesem Zusammenhang betont, dass eine besonders schwerwiegende Beeinträchtigung der Gefühlswelt nicht zu fordern sein wird (Paal, MMR 2020, 16), allein schon deshalb nicht, weil ErwGr 146 S 3 zur DSGVO eine weite Auslegung des Begriffs „des Schadens“ fordert, ohne dabei zwischen materiellen und immateriellen Nachteilen zu differenzieren (prägnant Frenzel in Paal/Pauly, DSGVO-BDSG3 Art 82 DSGVO Rz 10, demzufolge der nach Art 82 Abs 1 DSGVO „bereits weite Schadensbegriff im Zweifel weit ausgelegt wird“).“
Der OGH stellt mE klar, dass ein idealer Nachteil für die Person, die den Schadenersatzanspruch geltend macht, spürbar sein muss, wenn auch nicht besonders schwerwiegende Konsequenzen in der persönlichen Sphäre gefordert werden. Die Abgrenzung in dieser Hinsicht wird wohl durch die Judikatur in Einzelfällen erfolgen müssen, und wird nicht ganz einfach werden.
Erheblichkeitsschwelle – unter Verweis auf die Pauschalreiserichtlinie – der OGH erteilt diesem Vergleich eine Absage.
„[23] Wenn demgegenüber zum Teil – so im Ergebnis auch das Berufungsgericht – eine „Erheblichkeitsschwelle“ für den Ersatz des immateriellen Schadens angenommen wird, die sich aus einem Rückgriff auf die inhaltlich vergleichbare Pauschalreise-Richtlinie und die dazu ergangene Rechtsprechung betreffend den Ersatz der „entgangenen Urlaubsfreude“ ergebe, wonach erlittene Unlustgefühle nur dann ersatzfähig sind, wenn der Beeinträchtigung der Interessen Gewicht zukommt (idS Schweiger in Knyrim, DatKomm Art 82 DSGVO Rz 2; diesem folgend OLG Innsbruck MR 2020, 81 [Fritz/Hofer]), so vermag dies schon deshalb nicht zu überzeugen, weil in der (neuen) Pauschalreise-Richtlinie (2015/2302/EU) der Ersatz ausdrücklich auf „erhebliche Auswirkungen“ der Vertragswidrigkeit bzw „entgangene Urlaubsfreuden infolge erheblicher Probleme“ beschränkt ist (vgl Art 13 Abs 6 und ErwGr 34 leg cit; so bereits zutreffend Fritz/Hofer, MR 2020, 83 f; kritisch auch Wirthensohn, jusIT 2020/56). Eine entsprechende Einschränkung findet sich im Bereich der DSGVO aber gerade nicht. Der zuvor angesprochene Umstand, dass der Unionsgesetzgeber bewusst auf einer weiten Auslegung des (ohnedies schon weit ausgestalteten) Schadensbegriffs nach Art 82 Abs 1 DSGVO bestanden hat, legt vielmehr den Schluss nahe, dass hier grundsätzlich auch ideelle Nachteile von eher geringerem Gewicht Berücksichtigung finden sollen. Ein Rückgriff auf die Pauschalreise-Richtlinie zur Auffüllung des Begriffs des immateriellen Schadens kommt daher nicht in Betracht.“
Diese Kritik an der von mir vertretenen Ansicht werde ich noch eingehend analysieren, und mich damit auseinandersetzen. Da die TUI vs. Leitner-Entscheidung des EuGH jedoch vor der „neuen“ Pauschalreise-RL aus dem Jahr 2015 ergangen ist, gehe ich – vorerst – davon aus, dass der Vergleich mit der den Regelungen de „alten“ Pauchalreise-RL zulässig ist / war. Hierzu werden Sie noch von mir lesen oder hören.
Auch geringfügige ideele Nachteile sollen ersatzfähig sein, wenn diese spürbar sind.
„[24] 9. Selbst wenn man aber im Bereich der Haftung nach Art 82 Abs 1 DSGVO auch geringfügige ideelle Nachteile – wie etwa bloß vorübergehende Leidenszustände und Unmutsgefühle – als grundsätzlich ersatzfähig ansehen sollte, kommt man unter dem zuvor aufgezeigten Gesichtspunkt der „Spürbarkeit“ der Beeinträchtigung nicht umhin, diese von gänzlich unbeachtlichen Unannehmlichkeiten abzugrenzen, die mit der Rechtsverletzung geradezu typischerweise einhergehen und schon mit Blick auf die Ausgleichsfunktion der Haftung eine Entschädigung zur Ablinderung des erlittenen Ungemachs gar nicht erfordern, sodass eine – auch gering bemessene – Ersatzpflicht im Ergebnis unerwünschte Strafwirkung entfalten würde.“
Der OGH zieht hier die Grenze nicht bei der „Geringfügigkeit“ von Nachteilen, sondern der Frage, ob Nachteile für die betroffenen Personen spürbare negative Auswirkungen haben.
Soll eine Vielzahl von Betroffenen auch bei geringen Beeinträchtigungen zu Schadenersatz führen?
„[25] 10. In der Entscheidung des Oberlandesgerichts Dresden 4 U 760/19 (ZUM-RD 2020, 26), wurde unter Verweis auf Becker (in Plath, DSGVO/BDSG3 [2018] Art 82 DSGVO Rz 4d) die Frage offen gelassen, ob ein Schadenersatz für bloß individuell empfundene Unannehmlichkeiten oder bei Bagatellverstößen ohne ernsthafte Beeinträchtigung für das Selbstbild oder Ansehen einer Person ausnahmsweise in solchen Fällen zu gewähren sein könnte, in denen der datenschutzrechtliche Verstoß eine Vielzahl von Personen in gleicher Weise betrifft und Ausdruck einer bewussten, rechtswidrigen und im großen Stil betriebenen Kommerzialisierung ist. Auch in dieser angenommenen Fallkonstellation ändert sich indes nichts daran, dass es bei vernachlässigbaren Auswirkungen der Rechtsverletzung auf die Gefühlswelt der betroffenen Personen nichts zu entschädigen gibt, sodass die Ersatzpflicht im Ergebnis wieder auf einen Strafschaden hinausliefe.“
Ungeklärt ist die Frage, ob zB die Anzahl von Personen, die von einer Datenschutzverletzung betroffen sind, eventuell auch bei der Frage der Bemessung von Schäden eine Rolle spielen kann. Dies ist mE abzulehnen, da einem Schadenersatzanspruch die Funktion des Ausgleiches eines erlittenen Schadens zukommt, und dieser mE nicht von der Anzahl der betroffenen Personen abhängig sein kann. Wenn aber aufgrund der Anzahl der Personen, die Aufmerksamkeit der Öffentlichkeit auf eine Verletzungshandlung, die zB zu einem Vertraulichkeitsverlust geführt hat, größer ist, und damit auch die Befürchtung der betroffenen Personen steigt, dass ihre Daten mißbräuchlich verwendet werden könnten, dann kann ein Zusammenhang mit der Schadenshöhe und der durch die Anzahl der betroffenen Personen gestiegenen Wahrnehmung der Verletzungshandlung bestehen.
Effektivitätsgrundsatz als Maßstab?
„[26] 11. Das vom Kläger angestrebte Auslegungsergebnis, wonach auch solche vernachlässigbaren Gefühlsregungen unter Berücksichtigung des Effektivitätsgrundsatzes (Art 4 Abs 3 EUV) mit einer Entschädigungspflicht zu sanktionieren seien, führt somit einerseits – jedenfalls im Effekt – zu einem „Strafschadenersatz“, der dem Unionsrecht im Allgemeinen fremd ist (vgl EuGH Rs C-407/14, Maria Auxiliadora Arjona Camacho/Securitas Seguridad España SA [ECLI:EU:C:2015:831]; weiters Rs C-99/15, Liffers/Producciones Mandarina SL [ECLI:EU:C:2016:173] zur Enforcement-Richtlinie [Rz 17]); andererseits geht auch aus den vom Kläger selbst ins Treffen geführten ErwGr 85 und 75 zur DSGVO deutlich hervor, dass der Unionsgesetzgeber solche minimalen Auswirkungen auf die Gefühlswelt des Betroffenen bei der Statuierung der Haftung für immaterielle Schäden erkennbar nicht im Sinn hatte.“
Wie bereits erwähnt, wird die effektive Durchsetzung der DSGVO insbes. über die Strafen iSd Art 83 DSGVO sichergestellt, und nicht über „private enforcement“ über Schadenersatzverfahren.
Kommentar schreiben