EUGH: KEIN DSGVO-SCHADENERSATZ BEI NUR HYPOTHETISCHEN DATENMISSBRAUCH

In einem Urteil vom 15.01.2024 verschärfte der EuGH erneut die Anforderungen an einen Schadensersatzanspruch aufgrund eines immateriellen Schadens nach Art. 82 DSGVO. Grundsätzlich ist für einen Schadensersatzanspruch nach Art. 82 DSGVO neben einem Verstoß gegen die Vorschriften der DSGVO auch ein materieller oder immaterieller Schaden bei dem Betroffenen. Ein rein hypothetischer immaterieller Schaden reiche jedoch nicht aus.

In einem Urteil vom 15.01.2024 verschärfte der EuGH erneut die Anforderungen an einen Schadensersatzanspruch aufgrund eines immateriellen Schadens nach Art. 82 DSGVO. Grundsätzlich ist für einen Schadensersatzanspruch nach Art. 82 DSGVO neben einem Verstoß gegen die Vorschriften der DSGVO auch ein materieller oder immaterieller Schaden bei dem Betroffenen. Ein rein hypothetischer immaterieller Schaden reiche jedoch nicht aus.

Dem Urteil liegt folgender Sachverhalt zugrunde: Der Kläger hatte in einem Saturn-Geschäft ein Haushaltsgerät erworben und erstellte zusammen mit einem Mitarbeiter einen entsprechenden Kauf- und Kreditvertrag, wobei verschiedene dafür notwendige personenbezogene Daten des Klägers aufgenommen worden sind, inkl. seiner Bankdaten. Die Unterlagen wurden ausgedruckt und von beiden Parteien unterzeichnet. Der Kläger brachte die Unterlagen zu einem weiteren Mitarbeiter an der Warenausgabe. Ein anderer Kunde, der sich unbemerkt vorgedrängelt hatte, erhielt daraufhin irrtümlich sowohl das von dem Kläger bestellte Gerät als auch die betreffenden Unterlagen und nahm beides mit. Der Irrtum wurde schnell bemerkt, die Rückgabe des Geräts und der Unterlagen an den Kläger wurden innerhalb einer halben Stunde erwirkt. Das Unternehmen bot dem Kläger an, ihn durch unentgeltliche Lieferung des betreffenden Geräts in seine Wohnung für diesen Fehler zu entschädigen.

Der Kläger hielt eine solche Entschädigung jedoch für unzureichend und erhob Klage auf Ersatz des immateriellen Schadens, den er aufgrund des Irrtums der Angestellten von Saturn und des daraus resultierenden Risikos des Verlusts der Kontrolle über seine personenbezogenen Daten erlitten habe.

Der Gerichtshof hat in diesem Urteil nun zum immateriellen Schaden ausgeführt, dass dieser einen Schadensersatz nach Art. 82 Abs. 1 DSGVO begründen kann, sofern die betroffene Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat, wobei der bloße Verstoß gegen die Bestimmungen der DSGVO nicht ausreicht, um auf dieser Grundlage einen Schadensersatzanspruch zu begründen.

Zu dem vorliegenden Sachverhalt wird ausgeführt, dass es demjenigen, der eine auf Art. 82 DSGVO gestützte Schadensersatzklage erhebt, obliegt, das Vorliegen eines solchen Schadens nachzuweisen. Insbesondere könne ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten nicht zu einer Entschädigung führen. Dies sei der Fall, wenn kein Dritter die fraglichen personenbezogenen Daten zur Kenntnis genommen hat.

Wenn ein Dokument, das personenbezogene Daten enthält, an einen unbefugten Dritten weitergegeben wurde, der aber diese Daten erwiesenermaßen nicht zur Kenntnis genommen hat, läge laut EuGH nicht schon deshalb ein immaterieller Schaden im Sinne der DSGVO vor, weil die betroffene Person befürchtet, dass im Anschluss an die Weitergabe, die es ermöglichte, vor Rückgabe des Dokuments eine Kopie von Ihm anzufertigen, in der Zukunft eine Weiterverarbeitung oder gar ein Missbrauch ihrer Daten stattfindet.

Quelle:  EuGH, Urt. v. 25.01.2024, Az. C-687/21

Zurück