EuGH-UrteilSchadenersatz für Datenschutzverstöße möglich

Der Europäische Gerichtshof macht den Weg frei für Entschädigungen für Nutzer:innen, die durch Datenschutzverstöße geschädigt wurden. Anlass für das Urteil war ein aufsehenerregender Datenmissbrauch durch die Österreichische Post.

Postkasten
Die Österreichische Post zahlte für das rechtswidrige Anbieten sensibler Daten bereits eine Millionenentschädigung. CC-BY-SA 4.0 Johann Jaritz

Der Europäische Gerichtshof räumt Nutzer:innen ein Recht auf Schadenersatz für die unrechtmäßige Verarbeitung ihrer Daten ein. Ein Anspruch gilt zwar nicht grundsätzlich bei jedem Verstoß – es muss ein Schaden für die betroffene Person entstanden sein. Wie schwer dieser Schaden wiegt, ist für die Pflicht zum Schadenersatz allerdings unerheblich. Das stellte der EuGH in einem heute veröffentlichten Urteil fest.

Konkret urteilte das EU-Gericht im Fall eines Datenschutzverstoßes durch die Österreichische Post. Diese hatte massenhaft Daten über Menschen in Österreich gesammelt, darunter Adressen und demografische Daten, und ihnen daraus abgeleitet eine „Affinität“ zu politischen Parteien zugeschrieben. Diese Daten bot die Post ihrer Werbekundschaft an, unter anderem österreichischen Parteien – rechtswidrig, wie die Datenschutzbehörde feststellte. Eine Datenschutzstrafe gegen den Konzern hob allerdings später ein österreichisches Gericht wegen eines Formfehlers wieder auf.

Zuletzt hatte die Post in einem außergerichtlichen Vergleich rund 2.000 Betroffenen einen Schadenersatz in der Höhe von bis zu 1.350 Euro gezahlt. Unklar war bislang, unter welchen Umständen sie dazu rechtlich verpflichtet wäre.

Keine „Erheblichkeitsschwelle“ für Schadenersatz

Diese Frage hat der EuGH nun geklärt. Der vorliegende Fall geht auf die Klage eines Betroffenen zurück, dem von der Post eine „Affinität“ zur Rechtsaußenpartei FPÖ zugeschrieben wurde. Der Kläger verlangte Schadenersatz für die rechtswidrige Verarbeitung seiner Daten und klagte bis vor den österreichischen Obersten Gerichtshof. Dieser wollte vom EuGH wissen, ob für Schadenersatzansprüche nicht eine „Erheblichkeitsschwelle“ bestehe, also ein schwerwiegender Schaden nachgewiesen werden müsse.

Dass das Gericht in Luxemburg eine solche Schwelle zurückwies, sei zu begrüßten, sagte der österreichische Jurist Max Schrems von der Datenschutzorganisation noyb in einer Pressemitteilung. „Eine ganze Gruppe von Juristen hat versucht, die DSGVO umzuinterpretieren, um zu vermeiden, dass Schadenersatz an Nutzer zu zahlen ist. Der EuGH hat dem nun ein Ende bereitet.“

Die Klarstellung des EuGH mache den Weg frei für angemessenen Schadenersatz. Der Betroffene hatte von der Post 1.000 Euro verlangt.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

2 Ergänzungen

  1. „[…] massenhaft Daten über Menschen […] gesammelt. […]“

    Machen die Firmen Google, Apple, facebook (=Meta), Amazon, Microsoft (=GAFAM) & Co. das nicht auch?
    Und oft, ohne zuvor um Erlaubniss (beim eigentlichen „Eigentümer“ der Daten) zu fragen?

    „[…] Sowohl iOS als auch Google Android übermitteln Telemetriedaten, obwohl der der Nutzer dies ausdrücklich ablehnt.

    Wenn eine SIM-Karte eingelegt wird, senden sowohl iOS und Google Android Details an Apple/Google.

    iOS sendet die MAC-Adressen von Geräten in der Nähe, z. B. von anderen Handys und dem Home-Gateway, zusammen mit ihrem GPS-Standort an Apple.

    Wenn überhaupt, gibt es derzeit nur wenige realistische Möglichkeiten, diese Datenweitergabe zu verhindern.
    […]“

    (Übersetzung von Orginal-Quelle:
    https://www.scss.tcd.ie/doug.leith/apple_google.pdf:

    „[…] When a SIM is inserted both iOS and Google Android send details to Apple/Google. iOS sends the MAC addresses of nearby devices, e.g. other handsets and the home gateway, to Apple together with their GPS location. […]“ )

    Mich erinnert dieses an das damalige Vorgehen von Google-Streetview:

    „[…] Datenschützer Caspar hält das Vorgehen von Google dennoch für „nicht akzeptabel“, da dabei personenbezogene Daten erhoben würden. Damit sei es „rechtswidrig“. Denn neben dem Verschlüsselungsstatus der Geräte und einer eindeutigen Seriennummer (MAC-Adresse) würde auch der vom Nutzer vergebene Name der Funkstation (SSID) gspeichert, kritisiert der Datenschützer. […]“

    (Quelle: https://www.stern.de/digital/online/vorwuerfe-gegen-google-street-view-autos-erfassen-wlan-netze-3099104.html
    ähnl. Aussage unter
    https://www.focus.de/digital/internet/google/google-speichert-wlan-netze-street-view_id_1732979.html )

    Nur:
    Hier sind es (z.B.) die Smartphones von Apple, welche die MAC-Adressen der Umgebung „abgreifen“.

  2. Für Betroffene wäre es nun natürlich besonders hilfreich solche Schadenersatzansprüche – die sicher nicht immer den vierstelligen Bereich ereichen werden – auch einfach und schnell durchsetzen zu können – mit einer entsprechenden Entscheidung einer Datenschutzbehörde am besten ohne den langen Weg einer Klage außergerichtlich in einem Ombusmannverfahren o.ä.

Ergänzung an Law&Order 2.0 Ergänzung abbrechen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.