Der Gerichtshof der Europäischen Union (EuGH) hat kürzlich entschieden (Urt. v. 25.01.2024, Az. C-687/21), dass ein immaterieller Schaden nicht schon dann eintritt, wenn personenbezogene Daten versehentlich einem Dritten zugänglich gemacht werden, sofern dieser keine Kenntnis davon genommen hat. Der Gerichtshof verschärft mit dem Urteil die Anforderungen an Schadensersatzansprüche bei Verstößen gegen die Datenschutz-Grundverordnung (DSGVO).
In dem Fall kaufte ein Kunde in einem Geschäft des Elektrofachhändlers Saturn ein Haushaltsgerät. Bei der Warenausgabe wurde das Gerät aber versehentlich einem anderen Kunden, der sich unbemerkt vorgedrängelt hatte, ausgehändigt – inklusive Kauf- und Kreditvertragsunterlagen. Diese Unterlagen beinhalteten unter anderem den Namen, die Anschrift, den Arbeitgeber und die Einkünfte des "richtigen" Käufers. Der Irrtum wurde kurz danach einem Saturn Mitarbeiter bewusst und etwa eine halbe Stunde später bekam der wahre Käufer das Gerät inklusive seiner Unterlagen wieder.
Der Kunde verlangte dennoch nach der DSGVO Schadensersatz von Saturn, und zwar für den immateriellen Schaden, den er aufgrund des Irrtums der Angestellten und des daraus resultierenden Risikos, die Kontrolle über die eigenen personenbezogenen Daten verloren zu haben, erlitten habe.
Das Amtsgericht Hagen legte dem EuGH daraufhin eine Reihe von Fragen vor, insbesondere solche nach der Auslegung der DSGVO. Gefragt wurde, ob Kläger einen konkreten Schaden darlegen müssten, wenn sie immateriellen Schadensersatz wegen des zeitweisen Kontrollverlusts über personenbezogene Daten nach der DSGVO geltend machen wollten.
Nach Art. 82 DSGVO können natürliche Personen bei einem DSGVO-Verstoß Schadensersatz verlangen. Um Schadensersatz zuzusprechen, muss das angerufene Gericht prüfen, ob die Anspruchsvoraussetzungen von Art. 82 DSGVO erfüllt sind. Unter anderem mit Urteilen vom 04.05.2023 und 14.12.2023 hat sich der EuGH zu den Voraussetzungen des DSGVO-Schadensersatzanspruchs geäußert und beispielsweise der Annahme einer Erheblichkeitsschwelle, wie sie einige Gerichte forderten, eine Absage erteilt. Nicht jeder Verstoß gegen eine Vorschrift der DSGVO stellt allerdings - so auch der EuGH - automatisch einen nach Art. 82 DSGVO ersatzfähigen Schaden dar.
Der EuGH stellte in seiner Entscheidung vom 25.01.2024 zunächst fest, dass „der Umstand, dass Mitarbeiter des Verantwortlichen irrtümlich ein Dokument mit personenbezogenen Daten an einen unbefugten Dritten weitergegeben haben, reicht für sich genommen nicht aus, um davon auszugehen, dass die technischen und organisatorischen Maßnahmen, die der Verantwortliche getroffen hat, nicht „geeignet“ im Sinne der Art. 24 und 32 DSGVO waren“.
Weiterhin muss die in diesem Fall betroffene Person für einen Schaden nicht nur einen Verstoß gegen die DSGVO nachweisen, sondern auch dass ihr wirklich ein Schaden entstanden ist. Ein immaterieller Schaden liegt laut EuGH in solchen Fällen aber nicht schon dann vor, wenn allein die Befürchtung seitens des Klägers besteht, dass durch die Weiterleitung der personenbezogenen Daten an einen unbefugten Dritten die Daten möglicherweise kopiert worden seien und in der Zukunft missbraucht werden könnte, obwohl der Dritte erwiesenermaßen die Daten nicht in Kenntnis genommen habe. Das heißt, das Risiko der missbräuchlichen Verwendung sei im vorliegenden Fall rein hypothetischer Natur.
Zusammenfassend kann man sagen, dass ein ungutes Gefühl keinen materiellen Schaden begründet, jedenfalls dann, wenn der Datenmissbrauch nachweislich ausgeschlossen werden kann.
Die Entscheidung des EuGH bietet Unternehmen nun mehr Rechtssicherheit. Art. 82 DSGVO setzt nunmehr nach gefestigter EuGH-Rechtsprechung voraus, dass ein auf dem DSGVO-Verstoß kausal beruhender materieller oder immaterieller Schaden nachgewiesen und festgestellt werden (also: 1. DSGVO-Verstoß, 2. Schaden, 3. Kausalität zwischen DSGVO-Verstoß und Schaden). Durch die Entscheidung vom 25.01.2024 werden hierbei weitere Maßstäbe gesetzt und Klarheit geschaffen in Bezug auf die Beweislast bei Schadensersatzklagen im Bereich des Datenschutzrechts. Der Schadensersatzanspruch nach der DSGVO entscheidet sich maßgeblich an diesen prozessualen Stellschrauben der Darlegungs- und Beweislasten.
"EuGH: Schadensersatz nach DSGVO – eine Frage der Darlegungs- und Beweislasten"