Im Verfahren gegen einen prominenten österreichischen Adressverlag hat der OGH nun drei Fragen an den EuGH gerichtet, die beantworten sollen, ob ein tatsächlicher Schaden notwendig ist, ob für die Bemessung des Schadenersatzes neben den Grundsätzen der Effektivität und Äquivalenz noch weitere Vorgaben des Unionsrechts bestehen und ob die Konsequenz der Rechtsverletzung mehr als nur geringes Gewicht haben muss.
Sachverhalt
Die Beklagte war zehn Jahre lang als Adresshändlerin mit dem Ziel tätig, ihren werbetreibenden Kunden den zielgerichteten Versand von Werbung zu ermöglichen. In diesem Zusammenhang erhob sie auch Informationen zu den Parteiaffinitäten der gesamten österreichischen Bevölkerung. Meinungsforschungsinstitute führten dazu anonyme Umfragen durch, bei denen konkrete Fragen zum Interesse an Wahlwerbung gestellt wurden. Die Ergebnisse kombinierte die Beklagte mit Statistiken aus Wahlergebnissen, um letztlich mit Hilfe eines Algorithmus „Zielgruppenadressen“ nach soziodemografischen Merkmalen zu definieren. Diese Daten wurden an verschiedene Organisationen verkauft.
Betreffend den Kläger wurde zwar ebenfalls die jeweils hochgerechnete Wahrscheinlichkeit (sehr niedrig/niedrig/hoch) verarbeitet, ob er in eine mögliche Zielgruppe für Wahlwerbung der ÖVP, Neos, Grünen und FPÖ fällt, jedoch wurden diese Daten nicht an Dritte weitergegeben.
Der Kläger, der keine Einwilligung zur Datenverarbeitung erteilt hatte, war über die Speicherung seiner Daten zur Parteiaffinität verärgert und erbost, insbesondere über die ihm seitens der Beklagten zugeschriebene „hohe Affinität“ zur FPÖ. Andere, nicht bloß vorübergehende gefühlsmäßige Beeinträchtigungen konnten nicht festgestellt werden.
Der Kläger begehrt Schadenersatz in Höhe von EUR 1.000,00 für das erlittene Ungemach und führte aus, dass ihm ein Sympathisieren mit Parteien des rechten Randes fernliege, weshalb die ihm zugeordnete Parteiaffinität eine Beleidigung und beschämend sowie im höchsten Maß kreditschädigend sei. Das Verhalten der Beklagten hätte bei ihm großes Ärgernis und einen Vertrauensverlust ausgelöst, aber auch ein Gefühl der Bloßstellung.
Bisheriges Verfahren
Das Erstgericht gab dem Unterlassungsbegehren statt und wies das Zahlungsbegehren ab. Das Berufungsgericht bestätigte das Ersturteil und führte unter Verweis auf die Erwägungsgrunde zur DSGVO aus, dass der Begriff des Schadens im Lichte der Rechtsprechung des Gerichtshofs weit ausgelegt werden sollte, sich die genannten Beispiele, wie Verlust der Kontrolle der personenbezogenen Daten oder Rufschädigung, aber offenbar auf veröffentlichte Daten beziehen; die Daten des Klägers wären allerdings nicht weitergegeben oder veröffentlicht worden. Es sei davon auszugehen, dass die innerstaatlichen Schadenersatzregelungen, die in der DSGVO angeordnete Haftung ergänzen, sodass die allgemeinen Anspruchsvoraussetzungen maßgeblich seien, sofern die DSGVO keine Sonderregelungen beinhalte. Ersatzfähig sei auch nach der DSGVO nur ein tatsächlich eingetretener ideeller Schaden. Wenngleich jeder Datenschutzverstoß zumindest kurzzeitig negative Gedanken beim Betroffenen hervorrufe, gehe nicht automatisch mit jedem Verstoß ein immaterieller Schaden einher. Ersatzfähig sei nur eine Schadensfolge, die über den durch die Rechtsverletzung hervorgerufenen Ärger bzw. Gefühlsschaden hinausgehe. Das sei bei der erlittenen Persönlichkeitsbeeinträchtigung des Klägers nicht der Fall. Ungeachtet vereinzelt geäußerter Bedenken sei an dem dem österreichischen Schadenersatzrecht zu Grunde liegenden Prinzip festzuhalten, dass bloßes Unbehagen und bloße Unlustgefühle jeder ohne Schadenersatzkonsequenz zu tragen hat und daher eine gewisse „Erheblichkeit“ des Schadens vorliegen muss.
Begründung der Vorlagefragen
Zur Begründung der Vorlagefragen führte der OGH aus, dass nach Art 82 Abs 1 DSGVO jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz hat. Damit würde eine eigenständige – das heißt neben das innerstaatliche Schadenersatzregime tretende – datenschutzrechtliche Haftungsnorm statuiert. Folglich wäre nicht nur der Begriff des „immateriellen Schadens“ in der DSGVO unionsautonom zu bestimmen, sondern auch die Ausgestaltung der sonstigen Haftungsvoraussetzungen und die Bemessung des Ersatzanspruchs. Das mitgliedstaatliche Haftungsregime würde insoweit überlagert werden und könne deshalb auf die zum Ersatz immaterieller Schäden im nationalen Schadenersatzregime entwickelten Rechtsprechungsgrundsätze nicht ohne weiteres zurückgegriffen werden.
Nach dem unionsrechtlichen Effektivitätsgrundsatzes müsse eine Strafe so bemessen werden, dass sie verhältnismäßig, wirksam und abschreckend ist. Der zugesprochene Betrag müsse über eine rein symbolische Entschädigung hinausgehen. Ungeachtet dessen gebührt aufgrund jedoch aufgrund des zentralen Ausgleichsgedankens Schadenersetz nur wenn ein (ideeller) Schaden auch tatsächlich eingetreten.
In der Vergangenheit urteilte der OGH im Zusammenhang mit der Frage eines Schadenersatzanspruchs bei einer nicht vollständig erteilten Auskunft, dass ein ideeller Schaden jedenfalls nur dann angenommen werden kann, wenn der Betroffene einen Nachteil erlitten hat (6 Ob 9/88). Der Umstand, dass der Auskunftspflichtige seiner gesetzlichen Pflicht zur Bekanntgabe der Herkunft von Daten nicht nachkommt, stelle für sich allein noch keinen ideellen Schaden des Betroffenen dar (6 Ob 9/88; 1 Ob 318/01y). Die Rechtsverletzung per se stellt daher keinen immateriellen Schaden dar, sondern es muss eine Konsequenz oder Folge der Rechtsverletzung gegeben sein, die als immaterieller Schaden qualifiziert werden kann und die über den an sich durch die Rechtsverletzung hervorgerufenen Ärger bzw. Gefühlsschaden hinausgeht. Der OGH folgt diesbezüglich auch der Ansicht des Berufungsgerichtes, dass der vom Kläger behauptete immaterielle Schaden im gegebenen Zusammenhang – in dem es gerade zu keiner Datenweitergabe gekommen ist – gänzlich unbestimmt bleibt. Die in den Erwägungsgründen beispielhaft aufgezählten Risken sind auch nicht mit dem zu ersetzenden immateriellen Schaden als solchen gleichzusetzen; sie können nur zu einem immateriellen Schaden führen.
Hinsichtlich der Erheblichkeit vertritt der OGH die Ansicht, dass aufgrund der weiten Auslegung des Schadenersatzbegriffes auch eine besonders schwerwiegende Beeinträchtigung der Gefühlswelt nicht zu fordern wäre. Der Vergleich mit der Pauschalreise‑Richtlinie würde nicht tragen, da in der DSGVO keine vergleichbare Erheblichkeitsschwelle statuiert ist. Das vom Kläger angestrebte Auslegungsergebnis, wonach auch solche vernachlässigbaren Gefühlsregungen unter Berücksichtigung des Effektivitätsgrundsatzes mit einer Entschädigungspflicht zu sanktionieren seien, würde aber dagegen einerseits im Effekt zu einem „Strafschadenersatz“, der dem Unionsrecht im Allgemeinen fremd ist, führen und sollten andererseits auch nach den Erwägungsgründen solche minimalen Auswirkungen auf die Gefühlswelt des Betroffenen bei der Statuierung der Haftung für immaterielle Schäden keine Rolle spielen.
Zwischenzeitig hat allerdings das deutsche Bundesverfassungsgericht entschieden, es sei mit dem Recht auf den gesetzlichen Richter unvereinbar, wenn ein Gericht eine auf Art 82 DSGVO gestützte Klage auf Zahlung von Schmerzengeld wegen einmaliger Zusendung einer Werbe-E-Mail ohne Zustimmung wegen Fehlens eines erheblichen Schadens abweist, ohne zuvor eine Entscheidung des EuGH zur Auslegung des Schadensbegriffs in Art 82 Abs 1 DSGVO eingeholt zu haben (BVerfG 1 BvR 2853/19).
Obwohl der OGH diese Auffassung zwar offenbar nicht teilt, erscheint es ihm im Interesse einer einheitlichen Anwendung des Unionsrechts dennoch zweckmäßig, eine Vorabentscheidung des EuGH einzuholen.
Vorlagefragen
Aufgrund dieser Überlegungen und Wiedersprüche richtete der OGH daher nachstehende Vorlagefragen an den EuGH:
- Erfordert der Zuspruch von Schadenersatz nach Art 82 DSGVO neben einer Verletzung von Bestimmungen der DSGVO auch, dass der Kläger einen Schaden erlitten hat oder reicht bereits die Verletzung von Bestimmungen der DSGVO als solche für die Zuerkennung von Schadenersatz aus?
- Bestehen für die Bemessung des Schadenersatzes neben den Grundsätzen der Effektivität und Äquivalenz weitere Vorgaben des Unionsrechts?
- Ist die Auffassung mit dem Unionsrecht vereinbar, dass Voraussetzung für den Zuspruch immateriellen Schadens ist, dass eine Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht vorliegt, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgeht?
Zusammenfassung
Die Antworten auf diese Fragen werden richtungsweisend sein für die Beurteilung von Schadenersatzansprüchen nach der DSGVO. Die bisherige herrschende Ansicht, dass eine gewisse Erheblichkeit wie auch ein tatsächlicher Schaden notwendig ist, haben bislang dazu geführt, dass sich derartige Forderungen in Grenzen gehalten haben. Sind weder ein tatsächlicher Schaden noch das Überschreiten einer gewissen Erheblichkeitsschwelle notwendig, würde dies jeden noch so kleinen Verstoß Schadenersatzpflichtig machen ohne dass die betroffene Person einen derartigen Schaden nachweisen müsste. Die reine Behauptung von „Kontrollverlust“ oder „Unwohlgefühlen“ würde dann schon ausreichen. Neben den ohnedies schon sehr hohen Verwaltungsstrafen würde dies zusätzlich zu mit „punitive damages“ vergleichbaren Schadenersatzansprüchen führen, die dem österreichischen Schadenersatzrecht jedoch bislang fremd sind.
(Bild: © iStock/RomanBabakin) 
Im Verfahren gegen einen prominenten österreichischen Adressverlag hat der OGH nun drei Fragen an den EuGH gerichtet, die beantworten sollen, ob ein tatsächlicher Schaden notwendig ist, ob für die Bemessung des Schadenersatzes neben den Grundsätzen der Effektivität und Äquivalenz noch weitere Vorgaben des Unionsrechts bestehen und ob die Konsequenz der Rechtsverletzung mehr als nur geringes Gewicht haben muss.
Sachverhalt
Die Beklagte war zehn Jahre lang als Adresshändlerin mit dem Ziel tätig, ihren werbetreibenden Kunden den zielgerichteten Versand von Werbung zu ermöglichen. In diesem Zusammenhang erhob sie auch Informationen zu den Parteiaffinitäten der gesamten österreichischen Bevölkerung. Meinungsforschungsinstitute führten dazu anonyme Umfragen durch, bei denen konkrete Fragen zum Interesse an Wahlwerbung gestellt wurden. Die Ergebnisse kombinierte die Beklagte mit Statistiken aus Wahlergebnissen, um letztlich mit Hilfe eines Algorithmus „Zielgruppenadressen“ nach soziodemografischen Merkmalen zu definieren. Diese Daten wurden an verschiedene Organisationen verkauft.
Betreffend den Kläger wurde zwar ebenfalls die jeweils hochgerechnete Wahrscheinlichkeit (sehr niedrig/niedrig/hoch) verarbeitet, ob er in eine mögliche Zielgruppe für Wahlwerbung der ÖVP, Neos, Grünen und FPÖ fällt, jedoch wurden diese Daten nicht an Dritte weitergegeben.
Der Kläger, der keine Einwilligung zur Datenverarbeitung erteilt hatte, war über die Speicherung seiner Daten zur Parteiaffinität verärgert und erbost, insbesondere über die ihm seitens der Beklagten zugeschriebene „hohe Affinität“ zur FPÖ. Andere, nicht bloß vorübergehende gefühlsmäßige Beeinträchtigungen konnten nicht festgestellt werden.
Der Kläger begehrt Schadenersatz in Höhe von EUR 1.000,00 für das erlittene Ungemach und führte aus, dass ihm ein Sympathisieren mit Parteien des rechten Randes fernliege, weshalb die ihm zugeordnete Parteiaffinität eine Beleidigung und beschämend sowie im höchsten Maß kreditschädigend sei. Das Verhalten der Beklagten hätte bei ihm großes Ärgernis und einen Vertrauensverlust ausgelöst, aber auch ein Gefühl der Bloßstellung.
Bisheriges Verfahren
Das Erstgericht gab dem Unterlassungsbegehren statt und wies das Zahlungsbegehren ab. Das Berufungsgericht bestätigte das Ersturteil und führte unter Verweis auf die Erwägungsgrunde zur DSGVO aus, dass der Begriff des Schadens im Lichte der Rechtsprechung des Gerichtshofs weit ausgelegt werden sollte, sich die genannten Beispiele, wie Verlust der Kontrolle der personenbezogenen Daten oder Rufschädigung, aber offenbar auf veröffentlichte Daten beziehen; die Daten des Klägers wären allerdings nicht weitergegeben oder veröffentlicht worden. Es sei davon auszugehen, dass die innerstaatlichen Schadenersatzregelungen, die in der DSGVO angeordnete Haftung ergänzen, sodass die allgemeinen Anspruchsvoraussetzungen maßgeblich seien, sofern die DSGVO keine Sonderregelungen beinhalte. Ersatzfähig sei auch nach der DSGVO nur ein tatsächlich eingetretener ideeller Schaden. Wenngleich jeder Datenschutzverstoß zumindest kurzzeitig negative Gedanken beim Betroffenen hervorrufe, gehe nicht automatisch mit jedem Verstoß ein immaterieller Schaden einher. Ersatzfähig sei nur eine Schadensfolge, die über den durch die Rechtsverletzung hervorgerufenen Ärger bzw. Gefühlsschaden hinausgehe. Das sei bei der erlittenen Persönlichkeitsbeeinträchtigung des Klägers nicht der Fall. Ungeachtet vereinzelt geäußerter Bedenken sei an dem dem österreichischen Schadenersatzrecht zu Grunde liegenden Prinzip festzuhalten, dass bloßes Unbehagen und bloße Unlustgefühle jeder ohne Schadenersatzkonsequenz zu tragen hat und daher eine gewisse „Erheblichkeit“ des Schadens vorliegen muss.
Begründung der Vorlagefragen
Zur Begründung der Vorlagefragen führte der OGH aus, dass nach Art 82 Abs 1 DSGVO jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz hat. Damit würde eine eigenständige – das heißt neben das innerstaatliche Schadenersatzregime tretende – datenschutzrechtliche Haftungsnorm statuiert. Folglich wäre nicht nur der Begriff des „immateriellen Schadens“ in der DSGVO unionsautonom zu bestimmen, sondern auch die Ausgestaltung der sonstigen Haftungsvoraussetzungen und die Bemessung des Ersatzanspruchs. Das mitgliedstaatliche Haftungsregime würde insoweit überlagert werden und könne deshalb auf die zum Ersatz immaterieller Schäden im nationalen Schadenersatzregime entwickelten Rechtsprechungsgrundsätze nicht ohne weiteres zurückgegriffen werden.
Nach dem unionsrechtlichen Effektivitätsgrundsatzes müsse eine Strafe so bemessen werden, dass sie verhältnismäßig, wirksam und abschreckend ist. Der zugesprochene Betrag müsse über eine rein symbolische Entschädigung hinausgehen. Ungeachtet dessen gebührt aufgrund jedoch aufgrund des zentralen Ausgleichsgedankens Schadenersetz nur wenn ein (ideeller) Schaden auch tatsächlich eingetreten.
In der Vergangenheit urteilte der OGH im Zusammenhang mit der Frage eines Schadenersatzanspruchs bei einer nicht vollständig erteilten Auskunft, dass ein ideeller Schaden jedenfalls nur dann angenommen werden kann, wenn der Betroffene einen Nachteil erlitten hat (6 Ob 9/88). Der Umstand, dass der Auskunftspflichtige seiner gesetzlichen Pflicht zur Bekanntgabe der Herkunft von Daten nicht nachkommt, stelle für sich allein noch keinen ideellen Schaden des Betroffenen dar (6 Ob 9/88; 1 Ob 318/01y). Die Rechtsverletzung per se stellt daher keinen immateriellen Schaden dar, sondern es muss eine Konsequenz oder Folge der Rechtsverletzung gegeben sein, die als immaterieller Schaden qualifiziert werden kann und die über den an sich durch die Rechtsverletzung hervorgerufenen Ärger bzw. Gefühlsschaden hinausgeht. Der OGH folgt diesbezüglich auch der Ansicht des Berufungsgerichtes, dass der vom Kläger behauptete immaterielle Schaden im gegebenen Zusammenhang – in dem es gerade zu keiner Datenweitergabe gekommen ist – gänzlich unbestimmt bleibt. Die in den Erwägungsgründen beispielhaft aufgezählten Risken sind auch nicht mit dem zu ersetzenden immateriellen Schaden als solchen gleichzusetzen; sie können nur zu einem immateriellen Schaden führen.
Hinsichtlich der Erheblichkeit vertritt der OGH die Ansicht, dass aufgrund der weiten Auslegung des Schadenersatzbegriffes auch eine besonders schwerwiegende Beeinträchtigung der Gefühlswelt nicht zu fordern wäre. Der Vergleich mit der Pauschalreise‑Richtlinie würde nicht tragen, da in der DSGVO keine vergleichbare Erheblichkeitsschwelle statuiert ist. Das vom Kläger angestrebte Auslegungsergebnis, wonach auch solche vernachlässigbaren Gefühlsregungen unter Berücksichtigung des Effektivitätsgrundsatzes mit einer Entschädigungspflicht zu sanktionieren seien, würde aber dagegen einerseits im Effekt zu einem „Strafschadenersatz“, der dem Unionsrecht im Allgemeinen fremd ist, führen und sollten andererseits auch nach den Erwägungsgründen solche minimalen Auswirkungen auf die Gefühlswelt des Betroffenen bei der Statuierung der Haftung für immaterielle Schäden keine Rolle spielen.
Zwischenzeitig hat allerdings das deutsche Bundesverfassungsgericht entschieden, es sei mit dem Recht auf den gesetzlichen Richter unvereinbar, wenn ein Gericht eine auf Art 82 DSGVO gestützte Klage auf Zahlung von Schmerzengeld wegen einmaliger Zusendung einer Werbe-E-Mail ohne Zustimmung wegen Fehlens eines erheblichen Schadens abweist, ohne zuvor eine Entscheidung des EuGH zur Auslegung des Schadensbegriffs in Art 82 Abs 1 DSGVO eingeholt zu haben (BVerfG 1 BvR 2853/19).
Obwohl der OGH diese Auffassung zwar offenbar nicht teilt, erscheint es ihm im Interesse einer einheitlichen Anwendung des Unionsrechts dennoch zweckmäßig, eine Vorabentscheidung des EuGH einzuholen.
Vorlagefragen
Aufgrund dieser Überlegungen und Wiedersprüche richtete der OGH daher nachstehende Vorlagefragen an den EuGH:
Zusammenfassung
Die Antworten auf diese Fragen werden richtungsweisend sein für die Beurteilung von Schadenersatzansprüchen nach der DSGVO. Die bisherige herrschende Ansicht, dass eine gewisse Erheblichkeit wie auch ein tatsächlicher Schaden notwendig ist, haben bislang dazu geführt, dass sich derartige Forderungen in Grenzen gehalten haben. Sind weder ein tatsächlicher Schaden noch das Überschreiten einer gewissen Erheblichkeitsschwelle notwendig, würde dies jeden noch so kleinen Verstoß Schadenersatzpflichtig machen ohne dass die betroffene Person einen derartigen Schaden nachweisen müsste. Die reine Behauptung von „Kontrollverlust“ oder „Unwohlgefühlen“ würde dann schon ausreichen. Neben den ohnedies schon sehr hohen Verwaltungsstrafen würde dies zusätzlich zu mit „punitive damages“ vergleichbaren Schadenersatzansprüchen führen, die dem österreichischen Schadenersatzrecht jedoch bislang fremd sind.