Eines der wichtigsten Argumente: es handelt sich um die Daten von Alten und Beschäftigten, Behinderten, Kindern, Kranken und PatientInnen, die vielfach der jeweiligen Kirche gar nicht angehören. Woher nehmen dann die Kirchen den Anspruch, diese Daten als interne, "eigene, kirchliche Angelegenheit" zu behandeln? Es fehlt schon an der entsprechenden Rechtsetzungsbefugnis.
Nun hat der EuGH eine Entscheidung getroffen, die "auf mehreren Ebenen die notwendige Rechtssicherheit schafft und geeignet scheint zur Vereinheitlichung der genannten divergierenden Rechtsprechungslinien zu Art. 82 Datenschutzgrundverordnung (DSGVO) beizutragen". Marco Blocher (Datenschutzjurist bei noyb- Europäisches Zentrum für digitale Rechte, einer auf die strategische Durchsetzung des europäischen Datenschutzrechts spezialisierten NGO mit Sitz in Wien) greift das Urteil im Verfassungsblog unter der Überschrift
Immaterieller Schadensersatz wegen Datenschutzverletzungen nach Art. 82 DSGVO im Lichte von EuGH C-300/21auf:
Eine richtungsweise Entscheidung zu immateriellen Schadensersatzansprüchen für DSGVO-Verletzungen fällte der EuGH Anfang Mai 2023 in der Rechtssache C‑300/21. Es ist das erste Urteil aus einer langen Reihe an Vorabentscheidungsersuchen zur Auslegung des Art. 82 DSGVO. Anders als die Schlussanträge von Generalanwalt Sánchez-Bordona (zu diesen siehe VerfBlog, 2022/11/14), die eher rechtpolitische als juristische Argumente ins Feld führten und bedauerlich wenig zur Lösung der vorgelegten Fragen beitrugen, schafft das EuGH-Urteil auf mehreren Ebenen die notwendige Rechtssicherheit und scheint geeignet zur Vereinheitlichung der genannten divergierenden Rechtsprechungslinien zu Art. 82 DSGVO beizutragen.und weiter:
Schaden, Kausalität und Rechtswidrigkeit als Tatbestandsmerkmale von Art. 82 DSGVOBemerkens- und Lesenswert, und ganz nebenbei noch die Anmerkung, dass es den kirchlichen Datenschutzregelungen wohl an entsprechenden, gleichwertigen Schadensersatzansprüchen fehlt. Für solche Verfahren müsste also auch bei einem rechtswirksamen Bestand der kirchlichen Normen auf die staatliche Gerichtsbarkeit zugegriffen werden, die dann natürlich auch auf Basis der Datenschutzgrundverordnung (DSGVO) urteilen würden. Warum also nicht gleich die staatliche Gerichtsbarkeit voll umfänglich beanspruchen?
Zur ersten Vorlagefrage – ob für einen Schadensersatzanspruch bereits die Verletzung von Bestimmungen der DSGVO als solche ausreicht oder es darüber hinaus eines erlittenen Schadens bedarf – führt der EuGH wenig überraschend aus, dass die bloße Rechtsverletzung noch keinen Schadensersatzanspruch nach Art. 82 DSGVO zu begründen vermag. Vielmehr muss der betroffenen Person auch ein kausaler materieller oder immaterieller Schaden entstanden sein (Rn 36).
Keine Erheblichkeitsschwelle
In seiner Antwort zur dritten Vorlagefrage – ob ein immaterieller Schadensersatzanspruch eine Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht erfordert, die über den dadurch hervorgerufenen Ärger hinausgeht – lehnt der EuGH das damit angesprochene, der deutschen Rechtskultur entstammende Konzept einer „Erheblichkeitsschwelle“ unmissverständlich ab (Rn 51). Es stünde im Widerspruch zu dem unionsrechtlich auszulegenden, weiten Schadensbegriff (siehe Erwägungsgrund 146 DSGVO), wenn dieser auf Schäden mit einer gewissen Erheblichkeit beschränkt wäre (Rn 46). Damit ist klargestellt, dass auch Rechtsverletzungen mit geringfügigen Konsequenzen zu Schadensersatzansprüchen nach Art 82 DSGVO führen können.
Ermittlung von Schadenseintritt und -bemessung als Gretchenfrage
EuGH betont Äquivalenz und Effektivität des Unionsrechts
Mit der zweiten Vorlagefrage wollte der vorlegende österreichische Oberste Gerichtshof wissen, ob für die Bemessung des Schadensersatzes nach Art 82 DSGVO neben den Grundsätzen der Effektivität und Äquivalenz weitere Vorgaben des Unionsrechts bestehen. In seiner knappen Antwort hierzu verweist der EuGH auf das Recht der Mitgliedstaaten, welchem die Ausgestaltung von Klageverfahren zum Schutz der aus Art. 82 DSGVO erwachsenden Rechte und die Festlegung der Kriterien für die Ermittlung des Umfangs geschuldeten Schadensersatzes obliege (Rn 59). Dabei sind jedoch die Grundsätze der Äquivalenz und der Effektivität des Unionsrechts zu beachten (Rn 54) und ein „vollständiger und wirksamer Schadensersatz für den erlittenen Schaden“ sicherzustellen (Rn 57).
Viele dahinterstehende, in der Praxis entscheidende Fragen sind damit unter Bedachtnahme auf das mitgliedstaatliche Recht zu lösen. Die Anforderungen, die an einen Schadenseintritt, dessen Nachweis und zuletzt auch die Bemessung des statthaften Ersatzes zu stellen sind, müssen dabei äquivalent zu jenen für andere immaterielle Schadensersatzansprüche sein und müssen darüber hinaus eine effektive Wiedergutmachung ermöglichen.
Ersatz nicht bloß für Gefühlsbeeinträchtigungen – Datenschutz als eigenständiges Rechtsgut
Wann liegt also ein ersatzfähiger immaterieller Schaden durch eine DSGVO-Verletzung vor? Um eine sachgerechte Lösung dieser Problematik zu finden, muss zu allererst von dem (verbreiteten) Gedanken Abschied genommen werden, dass sich immaterielle Schäden für Datenschutzverletzungen ausschließlich auf der Gefühlsebene der betroffenen Person abspielen. Das in Art. 8 GRCh vorgesehene Grundrecht auf Datenschutz und seine Ausdifferenzierung in der DSGVO stellen schließlich ein eigenständiges Rechtsgut dar. Immaterieller Schadensersatz für die Verletzung dieses Rechtsguts ist insofern ein Novum und kann nicht alleine mit der Metrik der Gefühlsbeeinträchtigung gemessen werden. ...
Keine Kommentare:
Kommentar veröffentlichen
Ihr könnt Eure Kommentare vollständig anonym abgeben. Wählt dazu bei "Kommentar schreiben als..." die Option "anonym". Wenn Ihr unter einem Pseudonym schreiben wollt, wählt die Option "Name/URL". Die Eingabe einer URL (Internet-Adresse) ist dabei nicht nötig.
Wir freuen uns, wenn Ihr statt "Anonym" die Möglichkeit des Kommentierens unter Pseudonym wählt. Das Kommentieren und Diskutieren unter Pseudonym erleichtert das Austauschen der Argumente unter den einzelnen Benutzern.