Zugleich eine Besprechung von OGH 6 Ob 94/23 a (VbR 2023/126)
Zu 6 Ob 94/23 a (VbR 2023/126) hat der OGH den Schadenersatzanspruch eines Stromkunden gegen seinen Netzbetreiber gem Art 82 DSGVO mangels nachgewiesener Kausalität des in der Standardvariante statt der Opt-out-Version konfigurierten Smart Meters verneint. Die Entscheidung wirft im Licht der jüngeren EuGH-Rsp Fragen nach der Effektivität der Haftung bei Datenschutzverstößen auf. Der Beitrag bespricht die Entscheidung kritisch und versucht, dem rudimentären Art 82 DSGVO einen Regelungsgehalt abzuringen, der sicherstellt, dass die Haftung bei Datenschutzverstößen künftig „funktioniert".
Datenschutzrecht
Art 82 DSGVO; 55 1293 ff, 1311 ABGB
OGH 30. 3. 2023, 6 Ob 94/23 a; EuGH 14. 12. 2023,
C-340/21
VbR 2024/8
A. Einleitung
Manche Biografien sind so schlimm, dass wir Uneingeweihten uns kaum eine Vorstellung machen: Ein siebenjähriges Mädchen, immer schon ein ängstliches Kind, das wegen seiner Kleinwüchsigkeit stets von Spielkameraden und Schulkollegen gehänselt wurde und die ersten drei Lebensjahre „in einem sehr schwierigen Umfeld verbrachte", wird von älteren Kindern in den Keller gelockt und dort sexuell missbraucht. Als sie sich dem Stiefvater anvertraut, schützt und tröstet der sie nicht, sondern missbraucht sie erneut! Die Rechtsordnung ist gegen das Schicksal des Mädchens zunächst machtlos, verurteilt zwar den Stiefvater wegen schweren sexuellen Missbrauchs von Unmündigen und Missbrauchs eines Autoritätsverhältnisses, kann aber nicht verhindern, dass sowohl die Mutter als auch die Großeltern ihr nicht glauben und sie in der Kinderneuropsychiatrie nicht besuchen kommen, und auch nicht, dass ihr der Täter schlimme Folgen androht, sobald er aus der Haft entlassen werde, was bei ihr Depressionen und eine massive Traumatisierung mit Suizidgedanken auslöst.
Immerhin: Couragierte Kuratoren und Anwälte verhelfen ihr später zu einer Schmerzengeldklage. Das Berufungsgericht reduziert den erstinstanzlichen Zuspruch, weil der SV 50% für "Vorschäden" - ihr bis zur Tat schon miserables Leben - abgezogen hat. Der OGH [1] stellt das Ersturteil wieder her und erkennt weise zur Kausalität, die Kl dürfe nicht aufgrund ihrer schon vor den Übergriffen des Täters schwierigen Lebenssituation verkürzt werden: Der Ansicht des Bekl, dass sich die Kl für „vorhandene Vorschäden" 50% Abzug gefallen lassen müsse, ist nicht zu folgen. Nach stRsp bleibt der Schädiger selbst dann, wenn zwei Umstände nur zusammen [...] die Schwere des Verletzungserfolgs bedingen, für den gesamten Schadenserfolg verantwortlich. Die festgestellten Leiden [der KI] wurden zwar durch ihren Vorzustand mitbeeinflusst, aber dieser hätte nicht zum gleichen Erfolg zur gleichen Zeit oder später geführt. Es liegt daher weder ein Fall der kumulativen noch ein Fall der überholenden Kausalität vor, sodass der Bekl für die psychische Beeinträchtigung der Kl ohne einen Abzug zu haften hat. [2]
Und hier erst kommt die rezente E 6 Ob 94/23 a [3] ins Spiel, deren Klagevertreter - die beiden Verfasser - wohl weniger couragiert, jedenfalls weniger erfolgreich waren. Denn diesmal wurde zufolge eines mitbeeinflussenden Vorzustands weder auf kumulative noch auf überholende, sondern schlicht auf gar keine Kausalität erkannt. Mittelbar liegt der Entscheidung die Smart-Meter-Problematik zugrunde, unmittelbar jedoch immaterieller Schadenersatz nach einem Datenschutzverstoß. Die Herausforderung, von der Spitzer [4] im Jahr 2019 sprach, nämlich dem ganz rudimentären Art 82 DSGVO den Regelungsgehalt zur Haftung bei Datenschutzverstößen so abzuringen, dass die Haftung „funktioniert", ist damit nicht kleiner geworden:
Insofern jeder Datenschutzverstoß zuvor befürchtet worden sein kann, fehlt ihm nach der vorliegenden Entscheidung stets die Kausalität für den dadurch verursachten immateriellen Schaden.
B. OGH 6 Ob 94/23 a: Sachverhalt und Entscheidung
Im vom OGH entschiedenen Anlassfall wollte der KI, selbst Softwareentwickler und daher in gewisser Weise vom Fach, keinen intelligenten Stromzähler in seinem Haushalt haben. Schon Jahre vor Beginn der Smart-Meter-Ausrollung in sämtlichen österr Haushalten hatte er sich mit einer schriftlich erklärten Ablehnung an seine Netzbetreiberin gewandt, die ihm jedoch beschied, es gebe kein Ablehnungsrecht gegen intelligente Stromzähler. [5] Wer nicht möchte, dass seine Daten durch das intelligente Messgerät ausgelesen werden, könne lediglich die Opt-out-Konfiguration wählen, bei der weder Tages- noch Viertelstundenwerte ausgelesen und gespeichert werden. [6]
Ausgerechnet bei diesem kritischen Endverbraucher unterlief der Netzbetreiberin aber ein Fehler. Sie verstieß monatelang gegen die DSGVO, indem sie entgegen dem Prinzip der Datenminimierung' und ohne Einwilligung [8] am 17. 9. 2019 ein intelligentes Messgerät in der Standardkonfiguration installierte und so rechtswidrig auf die personenbezogenen Daten des Kl zugriff:
Einmal täglich um Mitternacht wurde sein Zählerstand abgespeichert und bis Mittag am nächsten Tag an den Stromlieferanten weitergegeben; auch Viertelstundenwerte wurden gespeichert.
Zum ursprünglichen Unwohlsein des Kl aufgrund einer virtuell gebliebenen Befürchtung eines Datenschutzverstoßes kam also ab 17.9. 2019 ein akuter Verstoß hinzu. Erst die Klagszustellung veranlasste die bekl Netzbetreiberin, das intelligente Messgerät am 6. 12. 2019 in die harmlosere Opt-out-Konfiguration umzuschalten. [9] Für die vorgenommene Datenverarbeitung gab es keine datenschutzrechtliche Rechtfertigung [10], sodass Schaden, adäquate Verursachung und Rechtswidrigkeit des Verstoßes im Zeitraum v 17. 9. 2019 bis 6. 12. 2019 festgestellt wurden. Dennoch gab es dafür keinen Ersatz.
Die bemerkenswerte Begründung aller drei Instanzen für die Ablehnung von Schadenersatz nach Art 82 DSGVO lautet, der Kl wollte ja überhaupt nicht überwacht werden, nicht nur spezifisch nicht! Seine Sorgen allgemeiner Natur bestünden sowohl bei einem Messgerät in der Standardkonfiguration als auch in der Opt-out-Konfiguration, also sei es für seinen Gemütszustand [11] gleichgültig, wodurch er überwacht wird. „Sind die Sorgen des Kl nämlich von der Konfiguration unabhängig und vielmehr iZm dem - von ihm aber zu duldenden - Austausch des Messgeräts per se zu sehen, ist durch die Installation ohne Opt-Out-Konfiguration kein nicht bereits durch die Installation des Messgeräts selbst verursachter (weiterer) Schaden entstanden.“ Das erscheint im Lichte der neueren Rsp des EuGH überholt, denn bei einem Datenleck oder Hackerangriff kann ein Anspruch auf Ersatz des immateriellen Schadens aus Art 82 DSGVO schon für die Befürchtung eines künftigen Missbrauchs der Daten bestehen. [12] Kommt zur Befürchtung dann noch der akute Datenmissbrauch hinzu, handelt es sich nicht um denselben Schaden.
„Fehlt aber der Kausalzusammenhang zwischen dem Verhalten des Schädigers und dem Eintritt des behaupteten Schadens, ist kein Ersatz zu gewähren." Logisch, aber: Einmal mehr „funktioniert" die Haftung gem Art 82 DSGVO nicht, gebührt für eine festgestellte Verletzung des Grundrechts auf Datenschutz kein Schadenersatz, diesmal mangels Kausalität.
C. Kritik
Andere (Höchst-)Gerichte im Unionsgebiet hätten auf (Mit-)Ursächlichkeit des Verhaltens des Schädigers am eingetretenen Schaden iS einer adäquaten Kausalität erkennen können, wie sie auch dem OGH in anderen Konstellationen gereicht hat. [13]
Oder auf summierte Kausalität, [14] die vorliegt, wenn ein Schaden auf mehrere Ursachen zurückzuführen ist und nicht jede für sich allein die gleiche Wirkung gehabt hätte, sondern der Schaden erst durch das Zusammenwirken aller Ursachen entstanden ist.
Nach stRsp haftet der Schädiger trotz eines mitbeeinflussenden Vorzustands in sinngemäßer Anwendung des § 1302 ABGB solidarisch für diesen Schaden, weil er eine conditio sine qua non für den Gesamtschaden gesetzt hat. [15] Für etwaige haftungseinschränkende Umstände wäre in Anwendung der Adäquanztheorie der Schädiger behauptungs- und beweispflichtig. [16] Schließlich hätte auch auf Kausalität des Verstoßes gegen die DSGVO für den konkret erlittenen Schaden erkannt werden können, das war die Verarbeitung der klägerischen Daten durch die Bekl im Zeitraum v 17. 9. 2019 bis 6. 12. 2019, und nicht mehr bloß deren Befürchtung, die noch von niemandem rechtswidrig veranlasst war. Es könnte also unterschiedliche Auslegungen des Kausalitätserfordernisses geben. Doch muss auch für das Kausalitätserfordernis gelten, was der EuGH zur Erheblichkeitsschwelle erkennt: [17] Seine grundsätzliche Bejahung darf nicht zu unterschiedlicher Auslegung führen. Würde nämlich der Ersatz eines immateriellen Schadens davon abhängig gemacht, könnte dies die Kohärenz der mit der DSGVO eingeführten Regelung beeinträchtigen, da die Relevanz eines mitbeeinflussenden Vorzustands, von dem die Möglichkeit, Schadenersatz zu erhalten, abhinge, je nach Beurteilung durch die angerufenen Gerichte einmal gegeben sein könnte und ein andermal nicht.
Wirklich kein weiterer Schaden? Nach allgemeiner Lebenserfahrung wird das Wissen des KI darum, dass seine höchstpersönlichen Daten nun tatsächlich wie zuvor von ihm befürchtet unrechtmäßig abgegriffen werden, obwohl er gerade dies immer verhindern wollte, seinen Gemütszustand nicht verbessert haben. „Empirisch lässt sich feststellen, dass jeder Verstoß gegen eine Datenschutzvorschrift zu einer negativen Reaktion der betroffenen Person führt." [18] Selbst wenn es nicht zur weiteren Verschlechterung des Gemütszustands gekommen sein sollte, so doch zumindest zu dessen Verlängerung. Die damit verbundene Unsicherheit [19] liegt auf der Hand. Die aus dem Verstoß resultierende massive Unzufriedenheit (Ärgernis) - vor allem durch den „Verlust der Kontrolle" über die eigenen Daten, was einen Schaden gemäß ErwGr 75 und der stRsp des EuGH [20] darstellt - erreichte ein Ausmaß, das den Kläger dazu veranlasste, Klage zu führen. [21] Tatsächlich hatte er keine (förmliche) Opt-out-Erklärung abgegeben. Aber in sinngemäßer Anwendung des § 915 ABGB war nach seiner einseitig erklärten umfänglichen Ablehnung sämtlicher intelligenten Messgeräte im Zweifel anzunehmen, dass sich der Erklärende eher eine geringere als eine schwerere Last auferlegen wollte. [22] Eine im Datenschutz nur durchschnittlich sensibilisierte Maßfigur, welche zuvor ausdrücklich darauf bestanden hat, die Installation des intelligenten Messgeräts nicht oder - mangels Wahlfreiheit - höchstens in der Opt-out-Konfiguration zuzulassen, würde durch die Information, dass ungeachtet ihrer Erklärung über einen längeren Zeitraum hinweg unberechtigt ihre personenbezogenen Daten verarbeitet wurden, ebenso negative Gefühle entwickeln wie bspw eine Person, die sich aus Sorge vor einer unzulässigen Überwachung gegen den Verbau eines GPS-Ortungssystems in ihr Firmenfahrzeug ausgesprochen hat und, nachdem das GPS-System tatsächlich eingebaut wurde, feststellt, dass ihre Bewegungen überwacht werden.
Unionsautonome Auslegung: Ohne einen Sachverständigenbeweis durchgeführt zu haben, gingen die Unterinstanzen davon aus, ein intelligentes Messgerät sei nicht mit einer GPS-Ortung vergleichbar, die systematisch die Überwachung des Aufenthaltsorts ermöglicht, [23] und durch die Messeinrichtung könne nicht erhoben werden, wie viele Geräte und welche Geräte angeschlossen sind. Doch entsprechend dem Verständnis der Unionsgerichte war auch schon vor der E des EuGH v 4. 5. 2023, V C-300/21, kein besonders schwerer Eingriff in das Datenschutzrecht als Voraussetzung für den Ersatz immaterieller Schäden zu fordern. [24]
Bereits im Vorabentscheidungsersuchen 6 Ob 35/21x erkannte der OGH, dass bei immateriellen Schäden, verursacht durch Datenschutzverletzungen, nicht ohne weiteres auf die im nationalen Schadenersatzregime entwickelten Rechtsprechungsgrundsätze zurückgegriffen werden kann. [25] Dass die Begriffe „materieller oder immaterieller Schaden" und „Schadenersatz" nicht nach dem Recht der Mitgliedstaaten, sondern autonom nach Unionsrecht einheitlich auszulegen sind, bestätigt der EuGH in C-300/21. [26]
Freilich sind für Schadenersatz nach Art 82 DSGVO, auch unionsautonom, immer Schaden und Kausalität erforderlich, [27] auch wenn es keine Untergrenze oder Erheblichkeitsschwelle gibt. Erst ein nicht intendierter Strafschadenersatz bildet nach dem EuGH die Obergrenze, darunter muss die finanzielle Entschädigung in Anbetracht der Ausgleichsfunktion des in Art 82 DSGVO vorgesehenen Schadenersatzanspruchs „vollständig und wirksam" sein. Das ist sie nur dann, wenn sie es ermöglicht, den aufgrund des Verstoßes gegen die DSGVO konkret erlittenen Schaden in vollem Umfang auszugleichen. [28]
Von Wirksamkeit kann aber bislang nicht die Rede sein, und wenn der konkrete Verstoß zufolge eines mitbeeinflussenden Vorzustands zu keinem (weiteren) Schaden geführt hat, rückt auch der „aufgrund des Verstoßes gegen die DSGVO konkret erlittene Schaden" in weite Ferne: Denn regelmäßig äußern sich solche immateriellen Schäden bereits in einer noch unspezifischen Sorge und latenten Befürchtung, bevor der konkrete Verstoß stattgefunden hat. Gebührt denn Ersatz nur dem „reinen Tor", den der Datenmissbrauch völlig überrascht, nicht aber der Mehrzahl der Gewarnten, Informierten und Verständigen, die einen möglichen Datenschutzverstoß bereits befürchtet hatten? Konnte etwa keiner der vom Verlust der GIS von 9 Mio Meldedaten in Österreich Betroffenen [29] noch mehr geschädigt sein, weil dieser Verstoß eh schon zu befürchten war, nachdem zuvor bereits die Post jahrelang Informationen zu den Parteiaffinitäten der gesamten österreichischen Bevölkerung erhoben hatte, um diese Daten an verschiedene Organisationen zu verkaufen? Eine derartige Unterscheidung nach „initiierten" und „ignoranten" Anspruchsberechtigten trifft die DSGVO nicht.
Eine Unterscheidung nach „initiierten" und „ignoranten" Anspruchsberechtigten trifft die DSGVO nicht.
D. EuGH C-340/21: Kausalitätsnachweis und Effektivitätsgrundsatz
Unionsrechtlich gefordert ist „lediglich", dass eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, den Nachweis erbringt, dass seine Folgen einen immateriellen Schaden iSv Art 82 DSGVO darstellen. [30] In dem jüngst entschiedenen Vorabentscheidungsverfahren C-340/21 VbR 2023/149 ging es um die Klärung der Rechtsfrage, ob in einem Fall einer Verletzung des Schutzes personenbezogener Daten, die sich in dem unbefugten Zugang zu und der Verbreitung von personenbezogenen Daten mittels eines „Hackerangriffs" äußert, allein die von der betroffenen Person erlittenen Sorgen, Befürchtungen und Ängste vor einem möglichen künftigen Missbrauch personenbezogener Daten unter den weit auszulegenden Begriff des immateriellen Schadens fallen und zum Schadensersatz berechtigen, wenn ein solcher Missbrauch nicht festgestellt wurde und/oder kein weiterer Schaden der betroffenen Person entstanden ist.
Der Gerichtshof erkannte nun, „dass Art. 82 Abs. 1 DSGVO nicht danach unterscheidet, ob der infolge eines erwiesenen Verstoßes gegen die Bestimmungen der DSGVO von der betroffenen Person behauptete ,immaterielle Schaden' mit einer zum Zeitpunkt ihres Schadenersatzantrags bereits erfolgten missbräuchlichen Verwendung ihrer personenbezogenen Daten durch Dritte verbunden ist oder ob er mit ihrer Angst verknüpft ist, dass eine solche Verwendung in Zukunft erfolgen könnte. [31] Somit schließt der Wortlaut von Art 82 Abs 1 DSGVO nicht aus, dass der in dieser Bestimmung enthaltene Begriff „immaterieller Schaden" eine Situation wie die vom vorlegenden Gericht beschriebene umfasst, in der sich die betroffene Person, um Schadenersatz nach dieser Bestimmung zu erhalten, auf ihre Befürchtung beruft, dass ihre personenbezogenen Daten aufgrund des eingetretenen Verstoßes gegen die DSGVO in Zukunft von Dritten missbräuchlich verwendet werden. [32]
In Fällen, in denen die betroffene Person aufgrund ihrer Befürchtungen entschädigt wird und in der Folge tatsächlich ein Missbrauch dieser Daten durch Dritte stattfindet, ist eine weitere Entschädigung für den daraus resultierenden negativen Gemütszustand wahrscheinlich in der Praxis nicht mehr möglich („Überkompensation").
Zwar ist damit geklärt, dass auch die „reine" Befürchtung vor einer zukünftig missbräuchlichen Verwendung der personenbezogenen Daten grundsätzlich einen ersatzfähigen Schaden darstellen kann, doch ist auch nach diesem Erkenntnis die Grenze zwischen bloßer (nicht ersatzfähiger) Beunruhigung und echten (ersatzfähigen) immateriellen Schäden immer noch unscharf.
Der EuGH möchte die nationalen Gerichte diese Grenze „von Fall zu Fall ziehen" lassen. Sie sollen jedes Mal aufs Neue prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann". [33] Eine solche Objektivierung von Subjektivem erscheint aber nicht nur schwierig und anfällig für arbiträre Wertungen, sondern vor allem aufwändig und, betrachtet man die eingeklagten Summen, auch in keinem Verhältnis zum angestrebten Ersatz zu stehen. Es wäre doch ein merkwürdiges Ergebnis, wenn mich die Geltendmachung meines Schadenersatzanspruches nach der lex specialis Art 82 DSGVO trotz der in seinem Abs 3 enthaltenen Beweislastumkehr vor größere Hürden stellte, als wenn ich ihn auf die allgemeinere Norm des § 1328 a ABGB stützte.
Einfacher wäre die Anwendung eines Anscheinsbeweises: Bei Verletzung eines Schutzgesetzes wird dem Geschädigten regelmäßig hinsichtlich des Nachweises der Kausalität der Schutzgesetzverletzung für den Schaden zumindest eine Beweiserleichterung im Sinne eines Prima-facie-Beweises zugebilligt, wenn der Schaden eingetreten ist, den das Schutzgesetz gerade verhindern wollte. [34] Die Verantwortliche kann den Prima-facie-Beweis dann (relativ leicht) dadurch erschüttern, dass sie eine ernstlich in Betracht zu ziehende Möglichkeit einer anderen Ursache oder eines anderen Ablaufs dartut. [35] Bislang mochte der OGH iZm Art 82 DSGVO noch keine Prima-facie-Beweislage erkennen. [36] Der EuGH erkennt jetzt aber: Der Verarbeiter kann von seiner zivilrechtlichen Haftung nur befreit werden, wenn er nachweist, dass er in keiner Weise für den Schaden verantwortlich ist, [37] und dass - jedenfalls in den „Hacker"-Fällen - auch das Vorliegen des Kausalzusammenhangs vermutet wird, müsste doch der Verantwortliche bei einer Verletzung des Schutzes personenbezogener Daten durch einen Dritten auf der Grundlage von Art 82 Abs DSGVO „nachweisen, dass es keinen Kausalzusammenhang zwischen der etwaigen Verletzung der Verpflichtung zum Datenschutz durch ihn und dem der natürlichen Person entstandenen Schaden gibt". [38]
Ist die DSGVO oder sind einzelne ihrer Bestimmungen ein Schutzgesetz [39] iSd § 1311 ABGB? Die dt Lehre meint, ja. [40] Sehr wahrscheinlich ist auch diese Frage wieder [41] nur unionsautonom zu beantworten. Beim Prima-facie-Beweis wird kein Schadenersatz ohne Schaden zugesprochen, sondern der Eintritt des Schadens vermutet. Dieses Konzept stünde daher auch im Einklang mit der Rsp des EuGH.
Um dem in Art 82 DSGVO verankerten Grundsatz der Effektivität gerecht zu werden, ist zudem eine Kategorisierung von Datenschutzverletzungen durch die Rsp unter Anwendung von § 273 Abs 1 ZPO unerlässlich, die auf der Sensibilität der betroffenen Daten und der Dauer der Verletzung beruht. Es ist schwer zu erkennen, wie sich nicht wieder ein Katalog entwickeln sollte, welche Ersatzbeträge je nach Schwere des Verstoßes gegen welche Datenschutzvorschrift angemessen sind.
Waren noch im nationalen Recht eine „Frankfurter Tabelle", eine „Wiener Liste" oder gar eine „Schmerzengeldtabelle" bloß unverbindliche Orientierungs- bzw Bemessungshilfen, so könnte aber das Erfordernis gem ErwGr 146 Satz 3 DSGVO - nämlich, den Begriff des Schadens (i) einheitlich im Lichte der Rsp des EuGH, (ii) weit und (iii) auf eine Art und Weise auszulegen, die den Zielen dieser Verordnung entspricht, wonach ua (iv) die betroffenen Personen einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten sollten [42] - bedeuten, dass Art 82 DSGVO überhaupt erst durch einen solchen Katalog der Praxis mit Leben erfüllt wird.
E. Fazit
Die in 6 Ob 94/23 a VbR 2023/126 vorgenommene Wertung hat die Kraft, in praxi jeden Ersatz nach Art 82 DSGVO auszuhebeln, zumal die Verneinung der Kausalität des Verstoßes gerade auf jene wachsamen Personen zutrifft, die sich bereits vor dem Verstoß intensiver mit dem Thema auseinandergesetzt haben. Auch beim Kausalitätserfordernis handelt es sich um eine unionsautonom auszulegende verfahrensrechtliche Modalität. Würden jedoch die verfahrensrechtlichen Modalitäten der Rechtsbehelfe, die zum Schutz der Rechte der Bürger bestimmt sind, die Ausübung der durch das Unionsrecht verliehenen Rechte praktisch unmöglich machen oder übermäßig erschweren, widerspräche dies dem Effektivitätsgrundsatz. [43] Der Effektivitätsgrundsatz spricht daher für einen Anscheinsbeweis zufolge Verletzung eines Schutzgesetzes. Eben weil immaterielle Güter „dadurch charakterisiert werden, dass sie kein Preisschild haben“, [44] braucht es irgendwo auf dem Weg von ihrer Verletzung zu (in Geld bemessenem) Schadenersatz deren Bepreisung, und es ist im mindesten effektiver, wenn nicht gar notwendig, eine solche Bepreisung nicht jedes Mal neu vornehmen zu müssen. Dabei zwangsläufig auftretende Unschärfen werden durch die intendierte Effektivität aufgewogen. Dieser würde am besten durch einen Katalog entsprochen, wonach bestimmte Ersatzbeträge gem Art 82 DSGVO für bestimmte, auch geringfügige Verstöße gebühren, weil sie typischerweise, also grundsätzlich und von persönlichen Faktoren unabhängig, zu einer Beeinträchtigung der physischen oder psychischen Sphäre einer Person führen, sofern nicht die Verantwortliche das Gegenteil beweist.
Über die Autoren
Mag. NIKOLAUS SCHUBERTH ist RAA bei WALLNER JORTHAN Rechtsanwalts GmbH, Wien.
Dr. BENEDIKT WALLNER ist RA bei WALLNER JORTHAN Rechtsanwalts GmbH, Wien.
Kontaktadresse: WALLNER JORTHAN RECHTSANWALTS GmbH,
Trautsongasse 6/4, 1080 Wien
Telefon: (+43 1) 403 11 85
E-Mail:
Hinweis
Die Autoren waren am Verfahren als Vertreter auf Klägerseite tätig.
Nikolaus Schuberth, Benedikt Wallner, Zeitschrift für Verbraucherrecht 2024-Heft 01
https://rdb.manz.at/document/rdb.tso.LIvbr20240104
1. OGH 28. 10. 2009, 7 Ob 160/09v mwN. Die vom SV vorgenommene Wertung wurde vom Erstgericht zwar in seine Feststellungen aufgenommen, die Bemessung des Schmerzengeldes war aber eine Rechtsfrage.
2. Vgl 9 Ob 78/99 g.
3. Die trotz oder wegen des geringen Streitwerts bereits eine komplizierte Vorgeschichte aufweist: 6 Ob 134/20d v 10. 8. 2020 und v 16. 12. 2020.
4. Spitzer, Schadenersatz für Datenschutzverletzungen, ÖJZ 2019/76.
5. Vgl 6 Ob 36/22 w VbR 2022/83.
6. OLG Wien 19. 7. 2022, 15 R 93/22i.
7. Art 5 Abs 1 lit c DSGVO.
8. In ErwGr 32 der DSGVO wird ausdrücklich ausgeschlossen, dass bei „Stillschweigen, bereits angekreuzte[n] Kästchen oder Untätigkeit" eine Einwilligung vorliegt (EVGH 11. 11. 2020, C-61/19, Orange România SA/ANSPDCP; dazu Höller, VbR 2021/5).
9. LGZ Wien 31. 3. 2022, 53 Cg 62/21h.
10. Wie schon die DSRL ist auch die DSGVO nach dem Verbotsprinzip mit Erlaubnisvorbehalt aufgebaut. Demnach ist eine Verarbeitung personenbezogener Daten nur dann zulässig, wenn mindestens einer der in Art 6 Abs: taxativ aufgezählten Rechtfertigungsgründe vorliegt.
11. Ein immaterieller Schaden nach Art 82 Abs 1 DSGV0 kann etwa darin liegen, dass man Zeit und Mühe aufwenden muss, um der Rechtsverletzung ein Ende zu setzen bzw um sich gegen den drohenden Missbrauch seiner Daten oder einem Folgeschaden zu schützen. Ebenso werden aus der Rechtsverletzung resultierende Gefühlsbeeinträchtigungen wie Ängste, Stress oder Leidenszustande aufgrund einer erfolgten oder auch nur drohenden Bloßstellung, Diskriminierung oder Ähnlichem zu einer Ersatzpflicht führen (6 Ob 35/21x Rz 21).
12. EuGH 14. 12. 2023, C-340/21 VbR 2023/149, wonach die Beweislastumkehr nach Art 82 As 3 DSGVO neben dem DSGVO-Verstoß auch den Kausalzusammenhang zwischen Schaden und Verstoß umfasst.
13. OGH 27. 11. 2019, 6 Ob 217/19 h VbR 2020/42 mwN.
14. Vgl Koziol, Haftpflichtrecht F Rz 3/84; vgl 4 Ob 75/08 w Zak 2008/541, 314.
15. Vgl Harrer/Wagner in Schwimann/Kodek (Hrsg), ABGB Praxiskommentar, § 1295 Rz 6 d; JBl 1989, 578; ebenso OGH 3 Ob 228/12v ZVB 2013/61, 212 (Michl).
16. In Anlehnung an die Rsp zur Arzthaftung, vgl 4 Ob 204/13 y; 6 Ob 168/10i uva.
17 EuGH 4. 5. 2023, C-300/21, Rn 49, VbR 2023/47 (Blocher); ausf dazu Hornkohl, VbR 2023/93.
18. Schlussanträge des GA G. Pitruzzella v 27. 4. 2023, C-340/21, Rn 81 ff.
19. OGH 23. 6. 2021, Ob 56/21 k VbR 2021/68.
20. EuGH 14. 12. 2023, C-340/21, Rn 82, VbR 2023/149: „[...] dass der Unionsgesetzgeber unter den Begriff 'Schaden' insbesondere auch den bloßen ‚Verlust der Kontrolle' über ihre eigenen Daten infolge eines Verstoßes gegen die DSGVO fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte".
21. Im Zivilprozess ergaben sich keine über die Verfahrenskosten hinaus gesondert geltend zu machenden Kosten. Zu denken wäre aber an Kosten einer erfolgreichen Rechtsvertretung im verwaltungsrechtlichen Beschwerdeverfahren nach Art 77 Abs 1 DSGVO: Diese fallen als Rettungsaufwand unter den allgemeinen Schadensbegriff des § 1293 ABGB iVm Art 82 DSGVO, § 29 DSG und sind nach schadenersatzrechtlichen Voraussetzungen zu ersetzen (RIS-Justiz RL0000215).
22. RIS-Justiz RS0017973.
23. 9 ObA 120/19 s.
24. Jahnel, Kommentar zur Datenschutz-Grundverordnung Art 82 DSGVO Rz 11.
25. OGH 15. 4. 2021, 6 Ob 35/21 x Rz 13 mwN.
26. Rn 30, 44 VbR 2023/47 (Blocher).
27. Sowie Verschulden (mit der Möglichkeit des Freibeweises nach Art 82 Abs 3 DSGVO), vgl 6 Ob 35/21 x Rz 16; EuGH C-300/21, Rn 32, 50.
28. EuGH 4. 5. 2023, C-300/21, Rn 58.
29. Vgl. https://www.derstandard.at/story/2000142922619/verbrecher-erbeutete-neun-millionen-meldedaten-aus-datenbank-der-gis
30. EuGH 4. 5. 2023, C-300/21, Rn 50.
31. EuGH 14. 12. 2023, C-340/21, Rn 79, VbR 2023/149.
32. EuGH 14. 12. 2023, C-340/21, Rn 80.
33. EuGH 14. 12. 2023, C-340/21, Rn 85.
34. OGH 8 30. 8. 2007, 8 Ob 144/06v.
35. RIS-Justiz RS0022664.
36. 27. 11. 2019, Ob 217/19h VbR 2020/42.
37. EuGH 14. 12. 2023, C-340/21, Rn 69.
38. EuGH 14. 12. 2023, C-340/21, Rn 72.
39. OGH 19. 5. 2010, 8 Ob 145/09W: "Schutzgesetze sind objektiv abstrakte Gefahrdungsverbote, die dazu bestimmt sind, die Mitglieder eines Personenkreises gegen die Verletzung von Rechtsgütern zu schützen. Sie sind konkrete Verhaltensvorschriften, die einerseits durch die Gefahren, die vermieden werden sollen, und andererseits durch die Personen, die geschützt werden sollen, begrenzt sind".
40. Vgl Kerschbaumer-Gugu, Schadenersatz bei Datenschutzverletzungen (2019) 70, iZm 8 Ob 144/06 v; RIS-Justiz RS0027517; R50027364 (T 8); LAG Hamm 14. 12. 2021, 17 Sa 1185/20: "[...] Grundsatz der Rechtmäßigkeit der Verarbeitung nach Art. 5 Abs. 1 a Var.1 DSGVO und Art. 6 Abs. 1 DSGVO stellen Schutzgesetze i.S.d. 5 823 Abs. 2 S. 1 BGB dar".
41. OGH 21. 10. 2021, 6 Ob 132/21 m.
42. ErwGr 146 Satz 6 DSGVO.
43. EuGH C-300/21, Rn 54 mwN.
44. Spitzer, aa0 632