Christoph Tillmanns, Dr. Manuel Schütt
Der Fall
Der Europäische Gerichtshof (EuGH) hatte zu entscheiden, unter welchen Voraussetzungen ein Anspruch auf Schadensersatz nach Art. 82 DSGVO besteht, insbesondere ob hierfür eine gewisse Erheblichkeit der Verletzungshandlung erforderlich ist.
Ausgangspunkt war ein Streit zwischen dem Kläger und der österreichischen Post, die auch im Adressenhandel tätig ist. Diese sammelte Informationen über die politischen Affinitäten der österreichischen Bevölkerung. Dabei verarbeitete sie Daten, aus denen sie im Wege einer statistischen Hochrechnung eine hohe Affinität des Klägers zu einer bestimmten österreichischen politischen Partei ableitete. Diese Informationen wurden nicht an Dritte übermittelt, weil der Kläger der Verarbeitung nicht zugestimmt hatte. Der Kläger fühlte sich jedoch dadurch beleidigt, dass ihm eine Affinität zu der fraglichen Partei zugeschrieben wurde. Die Speicherung von Daten zu seinen mutmaßlichen politischen Meinungen durch die österreichische Post habe bei ihm großes Ärgernis und ein Vertrauensverlust sowie ein Gefühl der Bloßstellung ausgelöst. Ein darüber hinausgehender Schaden konnte nicht festgestellt werden. Der Kläger verlangte daher von der österreichischen Post Zahlung von 1.000 EUR als Ersatz für den ihm entstandenen immateriellen Schaden. Der oberste Gerichtshof Österreichs wollte nun vom EuGH wissen, ob der Zuspruch von Schadensersatz nach Art. 82 DSGVO neben einer Verletzung von Bestimmungen der DSGVO auch verlange, dass der Kläger einen Schaden erlitten hat – oder ob die bloße Verletzung von Vorschriften der DSGVO ausreicht. Darüber hinaus wollte er wissen, ob für den Zuspruch eines immateriellen Schadensersatzes Voraussetzung ist, dass eine Rechtsverletzung von zumindest einigem Gewicht vorliegt, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgeht.
Der EuGH hat in seiner Entscheidung zunächst betont, dass es für einen Anspruch auf einen (immateriellen) Schadensersatz nach Art. 82 Abs. 1 DSGVO nicht ausreicht, dass nur ein Verstoß gegen Bestimmungen der DSGVO vorgelegen hat, sondern durch die Verletzung muss auch tatsächlich ein Schaden entstanden sein.
Allerdings darf der Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung nicht davon abhängig gemacht werden, dass der bei der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat.
Ob aber das bloße Ärgern über einen Verstoß gegen die DSGVO ausreicht, um bereits einen Schadensersatz zu begründen, hat der EuGH nicht endgültig geklärt. Übertragen auf das Arbeitsrecht lässt sich daraus der Schluss ziehen: Zumindest dann, wenn der Arbeitnehmer durch die Verletzungshandlung des Arbeitgebers ein Gefühl der Unsicherheit, der Überwachung oder aber einen erheblichen Ärger oder erheblichen Aufwand erlitten hat, wird man ihm einen Entschädigungsanspruch schwerlich verweigern können. Einmal mehr gilt: Die Vorschriften der DSGVO sind sorgfältig zu beachten. Insbesondere der Auskunftsanspruch nach Art. 15 DSGVO ist sorgfältig und fristgerecht zu erfüllen.