Veröffentlicht am 17. Dezember
Der Europäische Gerichtshof (EuGH) hat – anknüpfend an wesentliche Entscheidungen aus dem Jahr 2023 – im Jahr 2024 in mehreren Entscheidungen die Voraussetzungen für den Anspruch auf immateriellen Schadenersatz nach Art. 82 DSGVO präzisiert. Zugleich hat der EuGH das Recht der betroffenen Personen auf Schadenersatz für immaterielle Schäden gestärkt, indem er eine Erheblichkeitsschwelle bzw. Bagatellgrenze für solche Schäden nicht für erforderlich hält. Dies führt in der Praxis dazu, dass u.a. bereits eine unbeabsichtigte „Datenpanne“ (z.B. ein krimineller Cyberangriff) einen Anspruch auf immateriellen Schadenersatz auslösen kann.
In der kürzlich ergangenen Entscheidung zu Rs. C-200/23 hielt der EuGH fest, dass allein der Verlust der Kontrolle über datenschutzwidrig veröffentlichte Daten (eines GmbH-Gesellschafters) bereits einen ersatzfähigen Schaden darstellt, auch wenn es nicht zu einer missbräuchlichen Verwendung der Daten kommt. Für einen Schadenersatzanspruch sei es demnach ausreichend, dass die betroffene Person einen, wenn auch nur minimalen, Schaden erlitten hat, ohne dass dieser Begriff des immateriellen Schadens den Nachweis zusätzlicher greifbarer nachteiliger Folgen erfordert.
Auf Basis der jüngst ergangenen Entscheidungen des EuGH lassen sich die wesentlichen Aspekte des Anspruchs auf immateriellen Schadenersatz nach Art 82 DSGVO wie folgt zusammenfassen:
- Der Begriff des Schadens im Sinne des Art 82 DSGVO ist weit auszulegen, sodass der Anspruch auf Ersatz immaterieller Schäden keinen spürbaren Nachteil erfordert.
- Der (immaterielle) Schaden nach Art 82 DSGVO muss keine Erheblichkeitsschwelle oder Bagatellgrenze überschreiten.
- Ein durch eine Datenschutzverletzung entstandener (immaterieller) Schaden ist gleich wie eine Körperverletzung zu bewerten.
- Der Schadenersatz nach Art 82 DSGVO soll zu einem (Schadens-)Ausgleich führen, jedoch keine Abschreckungs- und/oder Straffunktion erfüllen.
- Bereits die Befürchtung des Missbrauchs personenbezogener Daten durch die betroffene Person kann einen (immateriellen) Schaden im Sinne des Art 82 DSGVO darstellen.
- Bei Vorliegen eines Schadens, ist eine Haftungsbefreiung durch den Verantwortlichen nur in engen Grenzen möglich.
- Bei der Bemessung der Höhe des Schadenersatzes ist der Grad des Verschuldens sowie die Anzahl allfällig begangener DSGVO-Verstöße des Verantwortlichen unerheblich.
Die jüngste Rechtsprechung des EuGH zeigt, dass den Betroffenen die Geltendmachung von (immateriellen) Schadenersatzansprüchen für DSGVO-Verstöße sukzessive erleichtert wird. In der Praxis ist daher davon auszugehen, dass die Anzahl an (immateriellen) Schadenersatzklagen aufgrund von Datenschutzverstößen erheblich zunehmen wird.
