Im Verfahren rund um Schadenersatz wegen des Datenschutzskandals bei der Post darf das österreichische Unternehmen vorerst aufatmen. Nachdem 2019 bekannt wurde, dass die Post neben anderen Daten auch Parteipräferenzen von ihren Kundinnen und Kunden sammelte und weiterverkaufte, verlangte ein Rechtsanwalt 1.000 Euro Schadenersatz.

Das Verfahren zog sich bis zum Europäischen Gerichtshof (EuGH). Dort zeigt sich der zuständige Generalanwalt in einem am Donnerstag veröffentlichten Gutachten nun eher kritisch: Wenn ein Datenschutzverstoß lediglich "Zorn oder Ärger" herbeigeführt hat, gebühre kein Schadenersatz. Eine Entscheidung des EuGH steht noch aus.

Für die Post geht es in dem Verfahren potenziell um viel Geld: Zwar hat der Anwalt im aktuellen Fall nur 1.000 Euro eingeklagt, das Verfahren könnte im Erfolgsfall allerdings zum Vorbild für Klagen von tausenden weiteren Betroffenen werden.

"Hohe Affinität zur FPÖ"

Die Post hatte seit 2017 Informationen zu den Parteiaffinitäten weiter Teile der österreichischen Bevölkerung gesammelt. Dafür kombinierte sie Umfragen von Meinungsforschungsinstituten mit Statistiken aus Wahlergebnissen. Ziel war, werbetreibenden Kundinnen und Kunden den Versand personalisierter Werbung zu ermöglichen.

Ein Anwalt, der wie zahllose andere Betroffene keine Einwilligung zur Datenverarbeitung erteilt hatte, klagte auf Unterlassung und auf Ersatz eines immateriellen Schadens in der Höhe von 1.000 Euro. Die Post habe ihm eine "hohe Affinität zur FPÖ" zugeschrieben. Ein "Sympathisieren mit Parteien des rechten Randes" liege ihm allerdings fern. Er erachte die ihm zugeordnete Parteiaffinität daher als "eine Beleidigung" und "im höchsten Maß kreditschädigend".

Schon die österreichischen Gerichte zeigten sich eher kritisch. Sie bestätigten zwar einen Unterlassungsanspruch – die Post musste die Daten daher löschen. Gleichzeitig lehnten sie einen Anspruch auf Schadenersatz aber ab. Die Daten seien nicht weitergegeben und veröffentlicht worden. Nicht mit jedem Verstoß gegen den Datenschutz gehe automatisch ein Schaden einher.

EuGH am Zug

Der österreichische Oberste Gerichtshof legte das Verfahren schließlich dem EuGH vor. Das EU-Höchstgericht solle klären, ob für einen Ersatzanspruch schon die bloße Verletzung der Datenschutzgrundverordnung (DSGVO) ausreicht oder ob die betroffene Person auch einen konkreten Schaden erlitten haben muss. Darüber hinaus wollte der OGH wissen, was überhaupt als Schaden gilt. Schließlich müsse man diesen von "unbeachtlichen Unannehmlichkeiten" abgrenzen.

Ähnlich argumentiert nun EuGH-Generalanwalt Manuel Campos Sánches-Bordona, der die Aufgabe hat, die Entscheidung des Gerichtshofs vorzubereiten: Die bloße Verletzung der DSGVO reiche nicht aus, um einen Anspruch auf Schadenersatz zu begründen. Immaterielle Schäden seien zwar grundsätzlich ersatzfähig, diese würden sich aber nicht auf "bloßen Ärger" erstrecken.

Das würde einem "Schadenersatz ohne Schaden" nämlich ziemlich nahekommen. Im Fall eines Verstoßes gegen die DSGVO hätten Betroffene zudem andere Möglichkeiten – etwa das Recht auf Löschung der Daten. Letztlich ist es laut Sánches-Bordona jedoch Sache der nationalen Gerichte herauszuarbeiten, ab wann das "subjektive Unmutsgefühl" als Schaden angesehen werden könne.

Entscheidung offen

Laut Johannes Scharf, Anwalt für Datenschutzrecht bei CMS, wird die Frage, ob auch geringfügige Unannehmlichkeiten der betroffenen Person bei DSGVO-Verstößen zu immateriellem Schadenersatz führen können, seit Jahren kontrovers diskutiert. "Bejaht man das, würde das im Endeffekt zu einer Art Strafschadenersatz führen, den es im österreichischen Recht eigentlich nicht gibt", sagt Scharf. Das Urteil des EuGH werde jedenfalls Ausstrahlungswirkung auf viele weitere Verfahren haben.

Eine Entscheidung könnte in den nächsten Monaten ergehen. In der Regel folgen die Richterinnen und Richter der Einschätzung des Generalanwalts, allerdings gibt es auch Ausnahmen. Die endgültige Entscheidung über den Schadenersatz liegt letztlich wieder bei den nationalen Gerichten. Der EuGH gibt nur eine "Interpretationshilfe".

Die Datenschutzbehörde hatte in einem Verfahren gegen die Post im Oktober 2019 eine Strafe in der Höhe von 18 Millionen Euro verhängt. Diese wurde allerdings vom Bundesverwaltungsgericht im Jahr 2020 aus formalen Gründen aufgehoben. (Jakob Pflügl, 6.10.2022)