Tatbestand
Am 20. Juni 2024 entschied der Gerichtshof der Europäischen Union (EuGH) in den verbundenen Rechtssachen C-182/22 und C-189/22 über den Anspruch auf Ersatz immaterieller Schäden bei Verstößen gegen die Datenschutz-Grundverordnung (DSGVO). Der Fall betraf die deutsche Gesellschaft Scalable Capital GmbH, die eine Trading-App betreibt, auf der persönliche Daten der Kläger JU und SO von unbekannten Dritten gestohlen wurden. Die Kläger verlangten Schadenersatz für den durch den Datenklau entstandenen immateriellen Schaden.
Entscheidungsgründe
Ausgleichsfunktion des Schadenersatzanspruchs
Der EuGH stellte klar, dass der Schadenersatzanspruch gemäß Art. 82 Abs. 1 DSGVO eine ausschließlich ausgleichende Funktion hat. Das bedeutet, dass die Entschädigung darauf abzielt, den tatsächlich erlittenen Schaden vollständig zu kompensieren. Der Gerichtshof betonte, dass dieser Anspruch keine strafende oder abschreckende Wirkung hat. Damit soll der Schaden, der durch einen Verstoß gegen die DSGVO verursacht wurde, vollständig ausgeglichen werden (Rn. 21-24).
Schwere und Vorsätzlichkeit des Verstoßes
Der Gerichtshof entschied, dass die Schwere und die etwaige Vorsätzlichkeit eines Verstoßes gegen die DSGVO nicht berücksichtigt werden müssen, um Schadenersatz zuzusprechen. Entscheidend ist, dass ein Schaden entstanden ist, der durch den Verstoß verursacht wurde. Somit ist der Grad der Fahrlässigkeit oder Vorsätzlichkeit des Verstoßes nicht relevant für die Höhe des Schadenersatzes (Rn. 26-30).
Vergleich mit Körperverletzung
Der EuGH stellte fest, dass immaterielle Schäden, die durch eine Verletzung des Schutzes personenbezogener Daten entstehen, nicht grundsätzlich weniger schwerwiegend sind als körperliche Verletzungen. Der Schadenersatz muss den erlittenen immateriellen Schaden vollständig ausgleichen, unabhängig von der Art der Verletzung (Rn. 31-39).
Geringfügige Entschädigung
Der Gerichtshof entschied, dass ein nationales Gericht bei geringfügigen Schäden einen geringen Schadenersatz zusprechen kann, sofern dieser geeignet ist, den entstandenen Schaden in vollem Umfang auszugleichen. Dies bedeutet, dass auch bei geringfügigen Verletzungen ein Anspruch auf Schadenersatz besteht, wenn ein tatsächlicher Schaden nachgewiesen wird (Rn. 40-46).
Identitätsdiebstahl
Schließlich klärte der EuGH, dass ein Identitätsdiebstahl im Sinne der Erwägungsgründe 75 und 85 der DSGVO nur dann vorliegt, wenn ein Dritter die Identität einer betroffenen Person tatsächlich angenommen hat. Der bloße Besitz von Daten, die eine Person identifizierbar machen, reicht nicht aus, um einen Identitätsdiebstahl zu begründen. Jedoch kann der Ersatz immaterieller Schäden durch den Diebstahl personenbezogener Daten auch dann erfolgen, wenn kein Identitätsdiebstahl oder -betrug nachgewiesen werden kann (Rn. 47-58).
Auswirkungen auf die Praxis
Einheitliche Schadensbemessung
Dieses Urteil bringt Klarheit darüber, dass der Schadenersatzanspruch gemäß DSGVO keine strafende Funktion hat. Für die Praxis bedeutet dies, dass nationale Gerichte sich bei der Bemessung des Schadenersatzes auf den tatsächlichen Schaden konzentrieren müssen. Unternehmen sollten sicherstellen, dass sie angemessene Maßnahmen zum Schutz personenbezogener Daten ergreifen, um mögliche Verstöße und daraus resultierende Schadenersatzansprüche zu vermeiden (Rn. 21-24).
Relevanz der Schwere des Verstoßes
Die Schwere oder Vorsätzlichkeit eines Verstoßes spielt keine Rolle bei der Bestimmung des Schadenersatzes. Für betroffene Personen bedeutet dies, dass sie Anspruch auf vollständigen Schadenersatz haben, unabhängig davon, ob der Verstoß absichtlich oder fahrlässig begangen wurde (Rn. 26-30).
Behandlung geringfügiger Schäden
Auch bei geringfügigen Schäden besteht ein Anspruch auf Schadenersatz. Unternehmen müssen daher auch kleine Verstöße ernst nehmen und Maßnahmen ergreifen, um solche Vorfälle zu verhindern. Betroffene Personen sollten wissen, dass sie auch bei geringfügigen Datenschutzverletzungen rechtlichen Schutz genießen und Schadenersatz verlangen können (Rn. 40-46).
Klare Definition von Identitätsdiebstahl
Durch die Klarstellung, dass Identitätsdiebstahl nur dann vorliegt, wenn die gestohlenen Daten tatsächlich genutzt werden, um die Identität einer Person anzunehmen, wird die Rechtsprechung vereinheitlicht. Dies erleichtert die Beurteilung solcher Fälle und die Bestimmung des Schadenersatzes. Unternehmen sollten sicherstellen, dass sie ihre Kunden klar über die Risiken und den Schutz ihrer Daten informieren (Rn. 47-58).
Dieses Urteil stärkt den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und stellt sicher, dass Betroffene bei Verstößen gegen die DSGVO angemessenen Schadenersatz erhalten. Es unterstreicht die Bedeutung der vollständigen Kompensation erlittenen Schadens und die Notwendigkeit, effektive Maßnahmen zum Datenschutz zu implementieren.
Stefan Lutz, LL.M.
Rechtsanwalt und Fachanwalt für IT-Recht
externer Datenschutzbeauftragter
Lehrbeauftragter für IT-Recht an der RWU
Rechtsanwalt und Fachanwalt für IT-Recht Stefan Lutz, LL.M. berät Firmen und private Mandanten in den Rechtsgebieten des IT-Rechts, wozu unter anderem das Datenschutzrecht (BDSG, DSGVO, TDDDG...), Urheberrecht, Wettbewerbsrecht, Markenrecht, E-Commerce-Recht, Social Media Recht und das Recht der Künstlichen Intelligenz gehören.
Telefon: 0751 / 27 088 530