Die Bestimmung des Art 82 DSGVO sieht allgemein vor, dass jeder Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadenersatz gegen den Verantwortlichen oder den Auftragsverarbeiter hat.
Seit dem Wirksamwerden der Bestimmungen der DSGVO gibt es eine intensive Diskussion über die Auslegung dieser Bestimmung, die sich ua auf die folgenden Aspekte bezieht:
- Worin besteht ein (immaterieller) Schaden im Sinne von Art 82 DSGVO?
- Steht betroffenen Personen bei jeder Verletzung der Bestimmung der DSGVO ein Anspruch auf (immateriellen) Schadenersatz zu?
- Wie ist ein allfälliger Anspruch auf (immateriellen) Schadenersatz zu bemessen?
- Was ist die Funktion des in Art 82 DSGVO geregelten Schadenersatzes?
- Gibt es eine Erheblichkeitsschwelle für Schäden, die nach Art 82 DSGVO zu ersetzen sind?
Zuletzt hat sich gezeigt, dass zu den genannten Punkten in der Literatur sehr unterschiedliche Standpunkte vertreten werden und auch bisher abgeschlossene Gerichtsvereinbarungen zu sehr unterschiedlichen Ergebnissen geführt haben.
Zuletzt wurden gerade in Bezug auf die Bestimmung des Art 82 DSGVO eine Reihe von Vorabentscheidungsersuchen an den EuGH gerichtet, die unter anderem auf eine Klärung der oben genannten Punkte gerichtet sind. Im Folgenden werden einige Verfahren und ausgewählte, im Rahmen dieser Verfahren an den EuGH gestellte Fragen kurz beschrieben:
- Oberster Gerichtshof (Österreich) – Österreichische Post (C-300/21)
Link: https://curia.europa.eu/
In seinem Vorabentscheidungsersuchen bezieht sich der OGH auf die Frage, ob für den Zuspruch von Schadenersatz neben einer Verletzung der Bestimmungen der DSGVO auch erforderlich ist, dass der jeweilige Kläger einen Schaden erlitten hat. Weiters ersucht der OGH um Klarstellungen zu Vorgaben für die Schadensbemessung. Die letzte Vorlagefrage bezieht sich darauf, ob eine Rechtsverletzung von einigem Gewicht als Voraussetzung für einen Schadenersatzanspruch verlangt werden kann.
- Varhoven administrativen sad (Bulgarien) – Natsionalna agentsia za prihodite (C‑340/21)
Link: https://curia.europa.eu/
Die Vorlagefragen beziehen sich auf Fragen der Beweislastverteilung und die Möglichkeit einer Haftungsbefreiung. Besonders interessant ist die Frage, ob das Risiko eines zukünftigen Missbrauchs von Daten, die im Rahmen eines Hackerangriffs Dritten zugänglich wurden, und die damit verbundenen Befürchtungen einen immateriellen Schaden im Sinne von Art 82 DSGVO darstellen kann.