[English below]
Bei Verstössen gegen die europäische Datenschutz-Grundverordnung (DSGVO) können die nationalen Aufsichtsbehörden (in Liechtenstein die Datenschutzstelle) Geldbussen verhängen.
Darüber hinaus räumt die DSGVO betroffenen Personen bei einem Verstoss gegen die DSGVO auch einen unabhängigen Anspruch auf Schadensersatz gegen den Verantwortlichen und/oder gegen den Auftragsverarbeiter ein.
In seiner Entscheidung C-300/21 hat der EuGH die Voraussetzungen für einen solchen Schadenersatzanspruch wie folgt konkretisiert:
Dieser Entscheidung des EuGH lag ein Sachverhalt betreffend die österreichische Post zugrunde. Diese hatte Informationen zu Parteipräferenzen mit Hilfe eines Algorithmus und diesem zugrunde liegender soziodemografischer Merkmale basierend auf der jeweiligen Wohnanschrift ermittelt (sogenannte Zielgruppenadressen). Diese Daten waren für Wahlwerbezwecken von Parteien gedacht. Der Kläger war nach den Feststellungen des Generalanwalts am EuGH – "erbost und beleidigt" über die Zuschreibung der ihm zugedachten Parteiaffinität. Auch, wenn die Daten nicht an Dritte weitergegeben wurden, begehrte der Kläger Schadensersatz iHv EUR 1‘000.00 für seinen erlittenen immateriellen Schaden. Der EuGH sprach aus, dass unter den obigen Grundsätzen ein solcher Schadenersatz grundsätzlich zustehe.
Diese Klarstellung des EuGH ist insofern von Bedeutung, als DSGVO-Verstösse oftmals grosse Datenbestände und somit häufig eine Vielzahl von Personen betreffen. Vor diesem Hintergrund könnten sich diese schadenersatzrechtlichen Ansprüche kumulieren und in der Summe sogar die allenfalls von der Behörde verhängten Bussgelder übersteigen.
Haben Sie hierzu Fragen oder benötigen Sie Hilfe?
Wir stehen Ihnen gerne persönlich, telefonisch oder per E-Mail zur Verfügung.
In the event of breaches of the European General Data Protection Regulation (GDPR), the national supervisory authorities (in Liechtenstein the Data Protection Authority) may impose fines.
In addition, the GDPR also grants affected persons an independent claim for damages against the controller and/or against the processor in the event of a breach of the GDPR.
In its decision C-300/21, the ECJ specified the requirements for such a claim for damages as follows:
This decision of the ECJ was based on a case concerning the Austrian postal service. The Austrian postal service had determined information on party preferences with the help of an algorithm and underlying socio-demographic characteristics based on the respective residential address (so-called target group addresses). This data was intended for election advertising purposes by political parties. According to the findings of the Advocate General at the ECJ, the plaintiff was "incensed and offended" by the attribution of party affinity to him. Even if the data were not disclosed to third parties, he sought damages of EUR 1,000.00 for the non-material damage he had suffered. The ECJ ruled that such damages were due under the above principles, in general.
This clarification by the ECJ is significant as GDPR infringements often affect large data files and thus frequently a large number of persons. Against this background, these claims for damages could accumulate and in total even exceed any fines imposed by the authority.
Do you have any questions or do you need help?
We are pleased to be at your service.
