Der europäische Gerichtshof hatte sich wieder einmal mit der Frage auseinanderzusetzen, ob ein Anspruch auf Ersatz eines immateriellen Schadens gegeben ist, wenn ein Betroffener vorübergehend die Kontrolle über seine personenbezogenen Daten verloren hat, wenn ausgeschlossen werden kann, dass der Dritte die Daten überhaupt eingesehen hat. Was war geschehen?
Ein Kunde hatte bei Saturn ein Haushaltsgerät gekauft, welches zusammen mit den Kauf- und Kreditvertragsunterlagen bei der Warenausgabe einem Dritten ausgehändigt worden ist. In den Papieren waren unter anderem der Name, die Anschrift, der Arbeitgeber und die Einkünfte des Betroffenen aufgeführt. Etwa eine halbe Stunde später wurde der Irrtum aufgeklärt und der Kunde bekam das Gerät und die Unterlagen ausgehändigt.
Auf die Vorlage des Amtsgerichts Hagen, bei dem der Kunde Klage auf Schadensersatz gemäß Art. 82 DSGVO erhoben hatte, hat der Europäische Gerichtshof am 25. Januar 2024 (C-687/21) entschieden.
Rechtsanwalt Sendler: Alleine die kurzfristige Sorge, dass aufgrund der Weitergabe der Daten eine Missbrauchsgefahr bestanden habe, könne keinen immateriellen Schaden begründen, wenn, wie vorliegend, auszuschließen sei, dass der Dritte die Daten eingesehen hat.
Ähnlich hatte bereits zuvor am 12. Dezember 2023 der Bundesgerichtshof entschieden (VI ZR 277/22) dass nämlich der Ersatz eines immateriellen Schadens nur verlangt werden könne, wenn nachgewiesen werde, dass der Verstoß gegen die DSGVO negative Folgen für den Anspruchsteller gehabt habe.
Rechtsanwalt Sendler: Das ist im Zusammenhang mit der Frage, ob dem Betroffenen ein Datenschutzverstoß spürbare Angst vor Verlusten bereitet hat, nicht immer ohne weiteres darstellbar.
Aber nur zwei Tage später schon hat der Europäische Gerichtshof mit Urteil vom 14. Dezember 2023 (C-456/22) entschieden, dass die Schadensersatzregelung in Art. 82 Abs. 1 DSGVO keine Bagatellgrenze vorsieht, unterhalb derer Schadensersatzansprüche im Falle von Datenschutzverletzungen ausgeschlossen wären. Damit sind die Rechte der Betroffenen gestärkt worden.
Rechtsanwalt Sendler: Nun obliegt es den Instanzgerichten zu beurteilen, ob das durch einen Datenschutzverstoß verursachte Unwohlsein oder eine Angst vor dem Eintritt möglicher Schäden ersatzfähig sind und falls ja, in welcher Höhe.
Jedenfalls hat der Europäische Gerichtshof festgestellt, dass für einen Schadensersatzanspruch das Vorliegen eines Schadens, ein Verstoß gegen die DSGVO und ein Kausalzusammenhang zwischen beidem erforderlich ist.
Rechtsanwalt Sendler: Man darf gespannt sein, wie sich diese Rechtsprechung weiter entwickeln wird.
Häufig gestellte Fragen zu immateriellem Schadensersatz bei Datenschutzverstößen
Ein Anspruch besteht nur, wenn ein konkreter Schaden entstanden ist, ein Verstoß gegen die DSGVO vorliegt und beides ursächlich zusammenhängt.
Darunter fallen nicht messbare Beeinträchtigungen wie Angst, Stress, Kontrollverlust oder das Gefühl, ausgeliefert zu sein, also rein emotionale Folgen eines Verstoßes.
Die Verjährungsfrist richtet sich nach nationalem Recht. In Deutschland sind es regelmäßig drei Jahre ab Kenntnis von Verstoß und Schaden (§ 195, 199 BGB).
Nein. Gerichte verlangen nachvollziehbare und spürbare Folgen. Ein bloßes Unwohlsein oder die abstrakte Angst vor möglichem Missbrauch genügt nicht automatisch.
Grundsätzlich muss der Betroffene den Schaden, den Verstoß und den Kausalzusammenhang darlegen. Der Verantwortliche kann sich ggf. entlasten (§ 82 Abs. 3 DSGVO).
Nein. Art. 82 DSGVO erfasst sowohl materielle als auch immaterielle Schäden, etwa finanzielle Verluste oder Rufschäden ebenso wie Angst oder Kontrollverlust.
Nicht zwingend. Aber es muss erkennbar sein, dass der Betroffene durch den Verstoß konkret belastet wurde, etwa durch Kontrollverlust oder psychische Belastung.
Nein, der Europäische Gerichtshof hat klargestellt, dass auch kleine Beeinträchtigungen grundsätzlich ersatzfähig sein können, entscheidend ist der Einzelfall.
Man muss darlegen, dass der Datenschutzverstoß konkrete Auswirkungen hatte. Allgemeine Sorgen oder bloße Spekulationen über mögliche Gefahren reichen nicht.
Sie können geltend machen, dass keine Dritten Zugriff hatten. Aber selbst dann kann ein Anspruch bestehen, wenn ein reales Kontrollverlustgefühl nachweisbar war.
Es gibt keine festen Sätze. Die Gerichte entscheiden im Einzelfall, abhängig von Art, Dauer und Intensität der Beeinträchtigung.
