Heißes Thema: Immaterieller Schadenersatz! Besonders der Schadensersatz bei Datenschutzverstößen beschäftigt Unternehmen immer öfter. Wir beleuchten aktuelle Gerichtsurteile und deren Konsequenzen für Unternehmen.
Schadensersatz nach DSGVO: Was Unternehmen wissen müssen
Art. 82 DSGVO ermöglicht es betroffenen Personen, Schadensersatz für materielle und immaterielle Schäden zu fordern, die durch Verstöße gegen die DSGVO entstanden sind. Verantwortliche haften dabei für Schäden, die durch die (vermeintlich) rechtsmissbräuchliche Verarbeitung von Daten verursacht wurden. Auch Auftragsverarbeiter haften bei Missachtung der DSGVO oder der Missachtung von Anweisungen des Verantwortlichen. Von der Haftung befreit werden können Verantwortliche oder Auftragsverarbeiter nur, wenn sie nachweisen können, dass sie für die Schadensumstände nicht verantwortlich waren.
Wegweisende Gerichtsurteile zum „Immaterieller Schadensersatz“
LG München, Urteil vom 9. Dezember 2021 – Schadensersatz gewährt!
Ein Finanzunternehmen hatte es versäumt, die Zugangsdaten zu seiner IT-Infrastruktur nach der Beendigung der Zusammenarbeit mit einem externen Dienstleister zu ändern. Dies ermöglichte unbefugten Dritten den Zugriff auf die Daten von 33.200 Kunden und führte zu einem erheblichen Risiko von Identitätsdiebstahl. Das Landgericht München sprach in dieser Entscheidung einem Kläger 2.500 Euro immateriellen Schadensersatz zu und betonte die Notwendigkeit geeigneter Sicherheitsmaßnahmen gemäß Art. 32 DSGVO.
EuGH, Urteil vom 4. Mai 2023 (Rechtssache C-300/21) – Schadensersatzanspruch noch offen!
Der Fall betraf den womöglich größten Datenschutzskandals Österreich, konkret die österreichische Post, die ohne Einwilligung der Betroffenen deren Parteiaffinitäten ermittelt und gespeichert hatte. Ein Anwalt hatte geklagt, weil ihm eine Parteipräferenz für die FPÖ unterstellt wurde. Das Urteil des EuGH klärte in einem Grundsatzurteil die rechtlichen Rahmenbedingungen, verwies jedoch die endgültige Entscheidung über den Schadenersatz an die nationalen Gerichte zurück. Daher muss nun ein österreichisches Gericht klären, ob der Kläger einen ersatzfähigen immateriellen Schaden erlitten hat.
In dem erwähnten Grundsatzurteil entschied der EUGH, dass nicht jeder Verstoß gegen die DSGVO automatisch einen Schadensersatzanspruch auslöst. Er stellte fest, dass ein tatsächlicher, nachweisbarer Schaden vorliegen muss. Die Entscheidung lehnte auch eine sogenannte Erheblichkeitsschwelle ab, wodurch auch geringfügige Schäden anspruchsberechtigt wurden.
Vor diesem Urteil gab es unterschiedliche Ansichten der Gerichte darüber, ob jeder Verstoß gegen die DSGVO automatisch einen Schadensersatzanspruch auslöst oder ob ein konkreter Schaden nachgewiesen werden muss. Einige forderten eine Erheblichkeitsschwelle, um Bagatellschäden von der Entschädigung auszuschließen, während andere auch geringfügige Schäden als ersatzfähig ansahen. Diese Entscheidung erhöhte zwar die Rechtssicherheit für Betroffene und datenverarbeitende Unternehmen, ließ jedoch Fragen offen, insbesondere wie immaterielle Schäden genau definiert werden sollen und welche konkreten Kriterien für deren Nachweis gelten. Diese Unklarheit führt weiterhin zu unterschiedlichen Auslegungen und Urteilen in den nationalen Gerichten.
Kann Angst vor Datenmissbrauch zu Schadenersatz führen?
EuGH, Urteil vom 14. Dezember 2023 (Rechtssache C-340/21) – Schadenersatz gewährt!
In diesem Fall ging es um eine bulgarische Steuerbehörde, die durch einen Cyberangriff personenbezogene Daten von Steuerzahlern offengelegt hatte. Der EuGH bestätigte erneut, dass ein tatsächlicher Schaden nachgewiesen werden muss, der kausal durch einen Verstoß gegen die DSGVO verursacht wurde und auch hier wurde die Erheblichkeitsschwelle abgelehnt. Die Angst vor Identitätsdiebstahl oder ähnlichen Konsequenzen reicht nicht aus, um einen Schadensersatzanspruch zu begründen, wenn diese Ängste nicht zu konkreten nachweisbaren Schäden geführt haben. Solche negativen Auswirkungen könnten beispielsweise emotionaler Stress, Rufschädigung oder erhebliche Beeinträchtigungen der Lebensqualität sein. Im konkreten Fall stellte der EuGH fest, dass diese Bedingungen erfüllt waren und die Klägerin Anspruch auf Schadensersatz hatte.
EuGH, Urteil vom 25. Januar 2024 (Rechtssache C-687/21) – Kein Schadenersatz gewährt!
Der Fall drehte sich um einen Vorfall bei Saturn, bei dem ein Mitarbeiter versehentlich ein Haushaltsgerät einschließlich der Kauf- und Kreditvertragsunterlagen an einen Dritten aushändigte, der sich in der Schlange vorgedrängelt hatte. Dadurch erhielt dieser unberechtigt Zugang zu Daten wie Name, Anschrift, Arbeitgeber und Einkünfte des betroffenen Kunden. Der Kläger forderte Schadensersatz, da er meinte, durch den Fehler der Mitarbeiter und das damit verbundene Risiko, die Kontrolle über seine personenbezogenen Daten verloren zu haben, und einen immateriellen Schaden erlitten zu haben. Der Fehler wurde jedoch innerhalb von etwa 30 Minuten bemerkt und die Unterlagen wurden dem Kläger zurückgegeben, bevor der Dritte die Daten zur Kenntnis nehmen konnte. Der EuGH stellte klar, dass der Kontrollverlust über personenbezogene Daten einen immateriellen Schaden darstellen kann, sofern konkrete negative Auswirkungen nachgewiesen werden können. Obwohl der Begriff „immaterieller Schaden“ weit auszulegen ist, muss ein tatsächlicher Schaden nachweisbar sein. In diesem Fall entschied der EuGH, dass das hypothetische Risiko einer missbräuchlichen Verwendung durch einen unbefugten Dritten nicht zu einer Entschädigung führt, wenn niemand die fraglichen Daten tatsächlich eingesehen hat. Da die Daten des Klägers in diesem Fall nicht von einem Dritten genau betrachtet wurden, war ein Schadenersatzanspruch nicht gerechtfertigt.
Fazit
Diese Entscheidungen verdeutlichen, wie künftig Schadenersatzansprüche auf Basis der DSGVO entstehen können. Dabei muss immer ein kausaler Zusammenhang zwischen dem Verstoß und dem Schaden nachgewiesen werden. Ein bloßer Verstoß reicht nicht aus, um einen Schadensersatzanspruch zu begründen. Auch geringfügige Schäden können ersatzfähig sein, da der EuGH die Erheblichkeitsschwelle abgelehnt hat. Angst oder Sorge um die eigenen Daten allein, ohne weitere nachweisbare negative Auswirkungen, reicht nicht aus, um einen Schadenersatzanspruch zu begründen. Der Schaden muss greifbare und messbare Folgen für die betroffene Person haben.
MeineBerater-Tipp
Für Unternehmen bedeutet dies, dass betroffene Personen bei Datenschutzverstößen zunehmend Schadensersatzansprüche geltend machen werden, selbst bei geringfügigen immateriellen Schäden.
Die gute Nachricht für uns Unternehmer ist: Liegt kein beweisbarer Schaden vor, gibt es KEINEN Schadenersatzanspruch.
Unser Team unterstützt sie auch bei Verfahren, die gegen Sie vor die Datenschutzbehörde gebracht werden, jederzeit gerne! Bei Schadenersatzprozessen arbeiten wir mit hervorragenden Rechtsanwälten zusammen, die Sie und uns hier bestens begleiten. Melden Sie sich jederzeit, wenn Ungemach droht.