Das österreichische Landgericht Feldkirch hat entschieden, dass die Österreichische Post wegen DSGVO-Verletzungen dem Betroffenen einen Schadensersatz iHv. 800,- EUR bezahlen muss (LG Feldkirch, Beschl. v. 07.08.2019 - Az.: 57 Cg 30/19b - 15).
Hintergrund des Rechtsstreits ist die aktuelle Auseinandersetzung um die Frage, ob die Österreichische Post unerlaubt besondere personenbezogene Daten (hier: politische Orientierung) von österreichischen Bürgern verarbeitet hat. Dies führte u.a. dazu, dass vor wenigen Tagen die Österreichische Datenschutzbehörde gegen das Unternehmen ein DSGVO-Bußgeld iHv. 18 Mio. EUR verhängt hat (= vgl. unsere News v. 30.10.2019).
Die Entscheidung des LG Feldkirch ist bereits im August gefällt worden.
Ein großer Streitpunkt der gesamten Problematik ist dabei die Frage, ob es sich bei den Informationen, die sich auf die politische Ausrichtung des Betroffenen beziehen, überhaupt um personenbezogene Daten besonderer Kategorien nach Art. 9 DSGVO handelt. Denn die Österreichische Post verarbeitete nicht reale Daten, sondern lediglich Prognose-Entscheidungen. Die Österreichische Post verteidigte sich insbesondere damit, dass es dabei nur um Affinitäten handle und nicht um tatsächliche Fakten.
Diese Argumentation ließ das Gericht nicht gelten. Vielmehr vertrat es den Standpunkt, dass auch reine Affinitäten unter die DSGVO fielen:
"Aus Sicht des Gerichts handelt es sich bei den von der beklagten Partei mittels Marketinganalyseverfahren ermittelten Affinitäten aufgrund der Tatsache, dass diese in weiterer Folge dem Kläger als Individuum zugeschrieben wurden, klar um sich auf eine identifizierte natürliche Person beziehende Informationen, sohin um personenbezogene Daten.
Auch wenn die beklagte Partei damit argumentiert, dass die Daten ihren Ausgang in anonymen Erhebungen haben, ändert dies nichts daran, dass es sich aufgrund der Zuweisung zu Einzelpersonen gerade nicht um Aussagen einer allgemein Statistik, sondern um Aussagen über identifizierte Individuen handelt.
Auch die Frage, ob die Parteiaffinitäten unter die besonderen Kategorien personenbezogener Daten fallen, ist aus Sicht des Gerichts klar zu bejahen, da es sich um Abbildungen politischer Meinungen handelt.
Nach den getroffenen Feststellungen hat die beklagte Partei weder eine Einwilligung des Klägers zur Ermittlung und Speicherung (= Verarbeitung iSd Art 7 Z 2 DSGVO) von ihn betreffenden Parteiaffinitäten eingeholt, noch ihn persönlich darüber informiert. Hierin ist eine erhebliche Verletzung der DSGVO zu erblicken, welche den Kläger in seinem Grundrecht auf Datenschutz und seinen damit einhergehenden Freiheiten in störender Weise beeinträchtigt hat. Dass die naturgemäß allgemein gehaltene Datenschutzerklärung der beklagten Partei online über die Website abrufbar war und ist, vermag daran nichts zu ändern."
Hinsichtlich der Höhe des Schadensersatzes bewertet das Gericht einen Anspruch iHv. 800,- EUR für angemessen. Der Kläger hatte 2.500,- EUR gefordert:
"Die Tatsache, dass die beklagte Partei Parteiaffinitäten des Klägers ohne dessen Einwilligung und Information ermittelt und gespeichert hat, rechtfertigt einen immateriellen Schadenersatz. In Anbetracht der Tatsache, dass es sich einerseits bei der politischen Meinung einer Person um besonders schützenswerte und sensible Daten handelt, andererseits die von der beklagten Partei gespeicherten Parteiaffinitäten des Klägers feststellungsgemäß nicht an Dritte übermittelt wurden, erscheint ein Betrag in Höhe von EUR 800,-- zur Abgeltung des vom Kläger erlittenen immateriellen Ungemachs angemessen."
Das LG Feldkirch äußert sich auch ganz grundsätzlich zu der Frage, in welchen Fällen einer DSGVO-Verletzung überhaupt Schadensersatz zu gewähren ist. So gab es im vorliegenden Fall auch einen Verstoß gegen die datenschutzrechtlichen Auskunftspflichten. Hier verneinte das Gericht einen Ausgleich:
Allgemeine Ausführungen:
"Der Schadensbegriff nach der DSGVO ist weit und autonom auszulegen. Er umfasst den physischen, materiellen und immateriellen Schaden. Gemäß ErwGr 75 sind mögliche ersatzfähige Schäden eine Diskriminierung, ein Identitätsdiebstahl oder -betrug, ein finanzieller Verlust, eine Rufschädigung, ein Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, eine unbefugte Aufhebung der Pseudonymisierung und andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile.
Ein Schaden kann nach ErwGr 75 auch darin bestehen, dass die betroffene Person um ihre Rechte und Freiheiten gebracht oder daran gehindert wird, die sie betreffenden personenbezogenen Daten zu kontrollieren (...).
Die DSGVO normiert keine Erheblichkeitsschwelie für den Ersatz des immateriellen Schadens. Dennoch sind nicht alle Unlustgefühle, die mit einer Rechtsverletzung verbunden sind, ersatzfähig, sondern muss der Interessenbeeinträchtigung ein Gewicht zukommen, weil dem österreichischen Schadenersatzrecht eine solche Erheblichkeitsschwelle immanent ist (...).
Die Art und Weise der Bemessung des immateriellen Schadens ist in der DSGVO und im DSG nicht geregelt. Da die Feststellung der Höhe eines immateriellen Schadens erhebliche Schwierigkeiten bereitet, wird auf die Ausmittlung des Schadens nach freier richterlicher Überzeugung iSd § 273 ZPO zurückgegriffen.
Es kommt zu einer Globalbemessung aufgrund der Umstände des Einzelfalls. Relevante Bemessungskriterien sind insbesondere die Auswirkungen bei der geschädigten Person, die Kategorie der betroffenen Daten, Schwere und Dauer des Verstoßes sowie ob Daten etwaigen Dritten übermittelt wurden (...).
Die haftungsbegründenden Tatsachen sind vom Geschädigten zu behaupten und zu beweisen, sohin der Eintritt eines (materiellen oder immateriellen) Schadens, der Normverstoß, also die (objektive) Rechtswidrigkeit durch den Schädiger, sowie die Ursächlichkeit des Verhaltens des Schädigers am eingetretenen Schaden. Der in Anspruch genommene Schädiger hat die Möglichkeit, unter Beweis zu stellen, dass er in keiner Weise für den eingetretenen Schaden verantwortlich ist, also die Schadensursachen außerhalb seines Verantwortungsbereichs liegen bzw er keine Möglichkeit hatte, den Schadenseintritt zu verhindern (...)."
Konkret auf den vorliegenden Rechtsstreit:
"Was die Frage der verspäteten Auskunftserteilung betrifft, ist nicht ersichtlich, worin hier ein ersatzfähiger immaterieller Schaden gelegen sein soll. Art 12 Abs 3 DSGVO normiert zwar, dass Auskünfte unverzüglich, in jedem Fall aber längstens Innerhalb eines Monats nach Eingang eines auf Auskunft gerichteten Antrags zu erteilen sind. Diese Frist hat die beklagte Partei, die für interne Weiterieitungsschwierigkeiten an die von ihr eingerichtete spezielle Stelle selbst einzustehen hat, nicht eingehalten.
Durch die nachträgliche Auskunftserteilung im Rahmen des Beschwerdeverfahrens wurde eine diesbezügliche Rechtsverletzung jedoch beseitigt bzw hat die nachträgliche Auskunft zumindest eine quanzifizierbare Schädigung des Klägers in diesem Zusammenhang verhindert.
Dasselbe gilt für eine Verletzung von Informationspflichten (über die Thematik Parteiaffinitäten hinaus). Die beklagte Partei ist auf Basis des festgestellten Sachverhalts ihren Informationspflichten nach Art 14 DSGVO von sich aus nicht ausreichend nachgekommen. Erst - aber immerhin - über Auskunftsersuchen des Klägers in Verbindung mit den von ihm eingebrachten Beschwerden hat die beklagte Partei dem Kläger schließlich in zwei Auskünften Informationen zukommen lassen, weshalb auch insoweit kein relevanter immaterieller Schaden ersichtlich ist."
Die Entscheidung ist nicht rechtskräftig.