Takea­ways (AI):
  • Eine Ver­let­zung der DSGVO allein genügt nicht, um einen Scha­den­er­satz­an­spruch zu begründen.
  • Der Scha­den muss nicht eine bestimm­te Erheb­lich­keit errei­chen, betont der EuGH.
  • Die betrof­fe­ne Per­son muss den Scha­den nach­wei­sen.
  • Die Bemes­sung des Scha­den­er­sat­zes folgt dem natio­na­len Recht, inner­halb der Gren­zen des EU-Rechts.

Der EuGH hat sich im Urteil Rs. C‑300/21 vom 4. Mai 2023 i.S. Öster­rei­chi­sche Post mit dem Scha­den­er­satz bei Ver­let­zun­gen der DSGVO befasst. Aus­gangs­punkt war eine erfolg­rei­che Kla­ge auf Zah­lung von EUR 1’000 gegen die Öster­rei­chi­sche Post als Ersatz imma­te­ri­el­len Schadens.

Der EuGH hat fest­ge­hal­ten, dass

  • eine Ver­let­zung der DSGVO für sich genom­men nicht aus­reicht, einen Scha­den­er­satz­an­spruch zu begrün­den. Aus der auto­no­men Aus­le­gung fol­ge viel­mehr, dass ein Scha­den vor­lie­gen müsse;
  • der Scha­den aller­dings nicht eine bestimm­te Erheb­lich­keit errei­chen müs­se – der EuGH ver­weist hier auf sei­ne übli­che Recht­spre­chung, das die DSGVO ein hohes schutz­ni­veau wol­le; ein Zir­kel­schluss, weil die Aus­le­gung der DSGVO damit zum Aus­le­gungs­mas­stab wird;
  • die betrof­fe­ne Per­son den Scha­den nach­wei­sen müs­se; und
  • die Bemes­sung des Scha­den­er­sat­zes natio­na­lem Recht fol­ge, solan­ge sich dies inner­halb bestimm­ter Gren­zen des EU-Rechts bewegt.

AI-generierte Takeaways können falsch sein.