Bedenklich: EuGH könnte Durchsetzung von DSGVO-Rechten weiter einschränken
Der Generalanwalt des Gerichtshofs der Europäischen Union (EuGH) hat seine Schlussanträge im Fall zu Schaden bei Datenschutzverstößen veröffentlicht. Die Vorschläge des Generalanwalts könnten eine der letzten Möglichkeiten für Nutzer*innen zur Durchsetzung ihrer Datenschutzrechte nach der DSGVO zunichte machen. Nach Ansicht des Generalanwalts können die Betroffenen kaum mehr Entschädigungen für Verstöße gegen die DSGVO erhalten - obwohl die DSGVO eigentlich Schadensersatz bei immateriellen Schäden explizit vorsieht.
- Schlussanträge des Generalanwalts in C-300/21
- Vorlage des österreichischen OGH an den EuGH zum immateriellen Schadensersatz
- OGH Urteil zu den anderen Ansprüchen in dieser Rechtssache
Weitere Hintergründe:
- Ausführliche Analyse der Schlussanträge von Max Schrems (Englisch)
- Podcast mit Max Schrems zum Gutachten ("Grumpy GDPR" auf tranistor.fm)
Fakten des Falls. Die österreichische Post AG berechnete die politische Einstellung von Millionen von Österreicher*innen und verstieß damit gegen die DSGVO. Ein Wiener Kläger, der laut diesen Berechnungen vermeintlich der rechtspopulistischen FPÖ nahestehen soll, verklagte daraufhin die Post AG auf Schadensersatz und forderte 1.000 € für sein Ärgernis, den Vertrauensverlust und das Gefühl der Bloßstellung. In der DSGVO wird ausdrücklich ein Anspruch auf immateriellen Schadensersatz festgeschrieben. Dennoch hat der österreichische Oberste Gerichtshof (OGH) dem EuGH drei Fragen vorgelegt, ob Artikel 82 der DSGVO "Schadensersatz ohne Schaden" zulässt oder ob die nationalen Gerichte eine zusätzliche "Erheblichkeitsschwelle" für die Gewährung von Schadensersatz einziehen können.
Kein Schadensersatz für übliche DSGVO-Verstöße? Der österreichische OGH wollte vor allem wissen, ob die Zuerkennung von immateriellem Schadensersatz eingeschränkt werden kann, wenn das Ärgernis des Klägers nicht über den Ärger hinausgeht, der mit der Verletzung es Grundrechts auf Datenschutz üblicher Weise einhergeht. Da diese Definition alle realistischen Arten von Ärger, Ängste über Datenverlust und Unwohlsein einschließen würde, würde so die Möglichkeit für Schadensersatz bei DSGVO-Verletzungen in fast allen Fällen ausgeschlossen.
Max Schrems: "Dieser Fall ist sehr beunruhigend. Wenn sich die Ansicht des Generalanwalts durchsetzt, wird fast niemand mehr für eine DSGVO-Verletzung entschädigt. Wir haben dann Grundrechtsbrüche ohne Konsequenz. Kollegen aus ganz Europa sind verwundert über diesen Ansatz."
"Alternativen" zu Schadensersatz lachhaft. In den Schlussanträgen des Generalanwalts wird wiederholt auf vermeintliche "Alternativen" zum Schadensersatz hingewiesen. So wird etwa auf eine bloße Feststellung der Rechtsverletzung, symbolischer Schadensersatz (in der Regel 1 €) oder reine zukünftige Unterlassung verwiesen. Zwar hat jeder Kläger auch jetzt schon das Recht, solche Ansprüche geltend zu machen, doch können sie in der Regel den Verlust von Daten, die Verweigerung einer Auskunft von inzwischen gelöschten Daten oder die unrechtmäßige Weitergabe personenbezogener Daten nicht abgelten.
Max Schrems: "Bei den enormen Kosten für eine Klage wird niemand klagen, nur um ein Stück Papier zu bekommen, auf dem steht, dass man theoretisch Recht hatte. Die Unternehmen hingegen kommen mit den Gewinnen aus dem Rechtsbruch davon, ohne dass es je realistische Konsequenzen gäbe."
Die Stellungnahme des Generalanwalts verweist auch auf die Datenschutzbehörden. In der Realität ist die Durchsetzung via Behörden jedoch minimal. Einige Behörden sind gar der Ansicht, dass die Betroffenen nicht das Recht auf eine Entscheidung hätten. In den Schlussanträgen argumentiert der Generalanwalt hingegen, dass mehr Klagen den Datenschutzbehörden Beschwerden "entziehen" würden. In der Realität wären die meisten Behörden froh über jede Entlastung.
Max Schrems: "Wenn man sich mit der Durchsetzung der DSGVO beschäftigt, sind diese Teile des Gutachtens extrem zynisch. Wir haben ein massives Durchsetzungsproblem im Datenschutz - gleichzeitig scheint es hier primär darum zu gehen, die Durchsetzung der DSGVO möglichst zu behindern. Es ist sehr schade, so etwas aus dem EuGH zu vernehmen."
Fragmentierter "Schadensersatz" in der EU? Die Schlussanträge sehen auch vor, dass die 30 EU- und EWR-Mitgliedstaaten eigene "Schwellenwerte" oder andere nationale Gesetze einführen können, um den Schadensersatz bei immateriellen Schäden einzuschränken. Dies würde zu einer massiven Zersplitterung und unklarer Rechtslage führen, da die Regeln für Schadensersatz in ganz Europa unterschiedlich wären. Das Versprechen der DSGVO war eigentlich, ein hohes und einheitliches Schutzniveau.
Nicht einmal im konkreten Fall besteht Klarheit. Die Schlussanträge sehen nicht einmal für den vorgelegten Fall gegen die Post AG eine Lösung vor. In Fußnote 86 steht: "Mit diesen Überlegungen will ich nicht ausschließen, dass in der vorliegenden Rechtssache die Situation [des Klägers] unter die eine oder andere Kategorie fällt; dies zu klären ist Sache des vorlegenden Gerichts". Ob der Kläger sich also 'genug geärgert' hat, um Schadensersatz zu erhalten, wäre damit weiter unklar.
Argumentation rechtlich nicht stringent. Neben diesen ungeklärten Fragen weist die Stellungnahme auch schwerwiegende technische Mängel auf: So wird etwa zum einen argumentiert, dass die Regeln für Schadensersatz in der EU harmonisiert sind, gleichzeitig sollen die Mitgliedstaaten aber auch vom Gesetz abweichen. Ebenso scheinen Begriffe wie "Kontrollverlust" oder der freie Fluss personenbezogener Daten in der EU drastisch missverstanden worden sein. noyb hat eine 10-seitige juristische Zusammenfassung der Schlussanträge erstellt, in der viele dieser eher technischen Fehler diskutiert werden.
Max Schrems: "Wir hoffen sehr, dass der EuGH den Schlussanträgen nicht folgen werden. Das Gutachten löst weder die vorgelegten Fragen, noch ist es juristisch nachvollziehbar."
Gerichte arbeiten sich an DSGVO ab. Während der EuGH bisher einen sehr neutralen und technischen Ansatz in Bezug auf die DSGVO verfolgt hat, legen nationale Gerichte dem EuGH vermehrt Fragen vor, die eine klare Absicht verfolgen, die DSGVO einzuschränken. Derzeit gibt es etwa 40 Vorlagen an den EuGH, die sich überwiegend mit Fragen zur Einschränkung der DSGVO-Rechte oder mit Fragen, die eindeutig im Rahmen der DSGVO entschieden werden könnten, beschäftigen. In der Zwischenzeit stehen die Verfahren in vielen Mitgliedsstaaten still.
Max Schrems: "Wir sehen einen besorgniserregenden Trend, dass viele Gerichte nach und nach die Rechte der Nutzer einschränken wollen. Die Durchsetzung durch Nutzer und Datenschutzbehörden wird schrittweise erschwert oder gar verunmöglicht. Während 96% des Europäischen Parlaments und alle EU-Mitgliedstaaten für einen starken Schutz der Privatsphäre gestimmt haben, sehen wir kaum die versprochene Durchsetzung. Es scheint, dass einige Richter von der Industrie davon überzeugt wurden, dass die DSGVO eingeschränkt werden muss. Wir sehen immer mehr Urteile, die versuchen, die DSGVO schrittweise aufzuheben. Ein Weg ist, den EuGH über tendenziöse Fragen dazu zu bringen, die DSGVO einzuschränken."
Die finale Entscheidung des EuGH sollte in den kommenden Monaten ergehen.