EuGH: Nicht jeder DSGVO-Verstoß führt zu Schadensersatzpflicht
Beispielsweise beim Kauf von Produkten werden viele Daten angegeben, von der Adresse bis zu konkreten Zahlungsdaten.Personenbezogene Daten sind sensible Informationen und daher schützenswert. Der Europäische Gerichtshof (EuGH) hat allerdings jetzt entschieden, dass ein kurzer Verstoß noch nicht ausreicht, um einen Schadensersatz auf Grundlage von der DSGVO geltend zu machen.
Die Datenschutz-Grundverordnung (DSGVO)
Die DSGVO, Datenschutz-Grundverordnung, besteht aus 11 Kapiteln, eingeteilt in 99 Artikel und ist eine Verordnung der Europäischen Union, welche die Verarbeitung und den Schutz von personenbezogenen Daten regelt. In Kapitel 3 sind die Regelungen für die Rechte von betroffenen Personen zu finden, während sich in Kapitel 4 die Verantwortlichkeit finden lässt. Kapitel 8 regelt die Haftung bei einem Verstoß gegen die zuvor aufgeführten Artikel. In Art. 82 wird so die Haftung und das Recht auf Schadensersatz geregelt.
Fall vor dem EuGH
In dem Fall des EuGH geht es um einen Kunden, der in der Elektronikfachmarktkette Saturn eingekauft hat. Einem Mitarbeiter der Kette ist ein Fehler unterlaufen, denn er händigte versehentlich einem anderen Kunden die Ware einschließlich der Kauf- und Kreditvertragsunterlagen aus. Der Kunde, dessen Daten versehentlich weitergegeben worden sind, sah darin ein Verstoß und eine Verletzung seiner persönlichen Daten, da Name, die Anschrift, Arbeitgeber und die Einkünfte des Betroffenen einer fremden Person mitgeteilt wurden. Für diesen Schaden wollte der Kläger Schadensersatz nach Art. 82 DSGVO. Etwa eine halbe Stunde nach der falschen Aushändigung wurden Gerät und die Unterlagen dann dem Kläger übergeben. Der vorliegende Fall landete zunächst beim Amtsgericht Hagen, welches sich mit mehreren Rechtsfragen an das EuGH wendete.
Kein Schadensersatz
Der EuGH kam zu der Entscheidung (Urteil in der Rechtssache C-687/21) das die Voraussetzungen für einen Schadensersatz nach Art. 82 DSGVO nicht gegeben sind. Begründet wird dies damit, dass es nicht ausreichen würde, wenn ein Mitarbeiter Unterlagen irrtümlich an Dritte weitergibt. Denn ein Irrtum würde nicht bedeuten, dass die technischen und organisatorischen Maßnahmen vom Unternehmen grundsätzlich für den Schutz der Daten nicht ausreichend sind. Im vorliegenden Fall war es sogar erwiesen, dass der unbefugte Kunde die personenbezogenen Daten des Klägers nicht zur Kenntnis genommen hatte. Die kurzfristige Sorge, dass in Zukunft eine Weiterverbreitung oder sogar ein Missbrauch der Informationen hätte stattfinden können, reicht nicht, um einen immateriellen Schaden nachzuweisen.
Ein Verstoß führt nicht immer zu Schaden
Der EuGH hatte bereits in einem anderen Fall (Rechtssache C-340/21), bei dem es um Datenmissbrauch nach einem Cyberangriff ging, entschieden, dass eine Furcht tatsächlich erlitten worden sein muss und dies auch belegt werden müsse. Zu einer ähnlichen Ansicht kommt auch der Bundesgerichtshof (BGH) kurz vor dem EuGH Urteil in seiner Entscheidung vom 12. Dezember (Az.: 277/22), wo das Gericht aufführt, dass der Betroffene, der Ersatz des immateriellen Schadens verlangt, geltend machen und gegebenenfalls nachweisen müsse, "dass der Verstoß gegen die DSGVO negative Folgen für ihn gehabt hat". Im Fall des BGH wurde die Klage zurückgewiesen, da die Klägerin dies nicht bzw. verspätet nachgewiesen hat.
Zusammenfassend lässt sich also aus diesen Entscheidungen der Rückschluss ziehen, dass Daten schützenswert sind, aber nicht jeder Verstoß auch gleich zu einem Schadensersatz nach der DSGVO führt. Für einen Schadensersatz ist es entscheidend, dass tatsächlich ein Schaden entstanden ist und dieser auch geltend gemacht wird. Es muss vorgetragen und gegebenenfalls bewiesen werden, dass es negative Folgen und Auswirkungen durch den Verstoß gab, denn nur dann ist nach dem EuGH und auch dem BGH ein Schadensersatz fällig.