Der OGH hat mit Entscheidung vom 03.07.2025 (6 Ob 113/24x) klargestellt, dass ein bloßer Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) nur beim Zutreffen weiterer Voraussetzungen zu einem Schadenersatzanspruch führt. Für einen Schadenersatzanspruch gemäß DSGVO müssen folgende Bedingungen erfüllt sein: es muss ein materieller oder immaterieller Schaden durch einen schuldhaften Verstoß gegen die DSGVO entstanden sein.
Besonders relevant ist dies bei immateriellen Schäden. Die betroffene Person, die immateriellen Schadenersatz fordert, muss nicht nur den Verstoß gegen die DSGVO nachweisen, sondern auch beweisen, dass ihr durch den Verstoß tatsächlich ein Schaden entstanden ist. Im Anlassfall vor dem OGH ging es um Marketingklassifikationen, die über statistische Wahrscheinlichkeiten errechnet wurden. Der OGH bestätigte, dass zwar ein Verstoß gegen die DSGVO vorlag, jedoch kein nachweisbarer Schaden entstanden sei.
Der EuGH hat bereits klargestellt, dass auch geringfügige Beeinträchtigungen, wie zB die begründete Befürchtung eines Missbrauchs personenbezogener Daten einen immateriellen Schaden verursachen können. Entscheidend ist, dass der Schaden tatsächlich nachweisbar ist. Der Schadenersatz gleicht tatsächliche Beeinträchtigungen aus, es handelt sich um keinen Strafschadenersatz (in der österreichischen Rechtsordnung nicht vorgesehen). Im Anlassfall konnte auch keine geringfüge Beeinträchtigung festgestellt werden.