Takeaways (AI):
- Eine Verletzung der DSGVO allein genügt nicht, um einen Schadenersatzanspruch zu begründen.
- Der Schaden muss nicht eine bestimmte Erheblichkeit erreichen, betont der EuGH.
- Die betroffene Person muss den Schaden nachweisen.
- Die Bemessung des Schadenersatzes folgt dem nationalen Recht, innerhalb der Grenzen des EU-Rechts.
Der EuGH hat sich im Urteil Rs. C‑300/21 vom 4. Mai 2023 i.S. Österreichische Post mit dem Schadenersatz bei Verletzungen der DSGVO befasst. Ausgangspunkt war eine erfolgreiche Klage auf Zahlung von EUR 1’000 gegen die Österreichische Post als Ersatz immateriellen Schadens.
Der EuGH hat festgehalten, dass
- eine Verletzung der DSGVO für sich genommen nicht ausreicht, einen Schadenersatzanspruch zu begründen. Aus der autonomen Auslegung folge vielmehr, dass ein Schaden vorliegen müsse;
- der Schaden allerdings nicht eine bestimmte Erheblichkeit erreichen müsse – der EuGH verweist hier auf seine übliche Rechtsprechung, das die DSGVO ein hohes schutzniveau wolle; ein Zirkelschluss, weil die Auslegung der DSGVO damit zum Auslegungsmasstab wird;
- die betroffene Person den Schaden nachweisen müsse; und
- die Bemessung des Schadenersatzes nationalem Recht folge, solange sich dies innerhalb bestimmter Grenzen des EU-Rechts bewegt.