Der EuGH hat in zwei aktuellen Urteilen zu deutschen Fällen erneut die Verbraucherrechte im Hinblick auf den immateriellen Schadensersatz nach Verletzungen der DSGVO gestärkt: Unter anderem kann allein die Befürchtung, Daten könnten illegal weitergegeben oder für Identitätsdiebstahl missbraucht werden, für einen Anspruch ausreichen. Die Urteilsgründe und Folgen erläutert Rechtsanwalt Christian Solmecke von WBS.LEGAL:
„Der Europäische Gerichtshof (EuGH) hat die Rechte von Verbrauchern in Sachen immaterieller Schadensersatz nach der Datenschutzgrundverordnung (DSGVO) in zwei Urteilen vom 20. Juni 2024 erneut gestärkt. Zwei deutsche Gerichte hatten dem EuGH eine Reihe von Fragen zu diesem Thema vorgelegt.“
Darum ging es in den Verfahren
Im ersten Verfahren hat das Amtsgericht (AG) Wesel über eine Klage von zwei ehemaligen Mandanten gegen ihre damaligen Steuerberater zu entscheiden. Sie verlangen 15.000 Euro immateriellen Schadensersatz, weil ihre Steuererklärung aufgrund eines Fehlers der Gesellschaft an Dritte (die neuen Bewohner der alten Wohnadresse der Ex-Mandanten) weitergegeben wurde. Ob die falschen Empfänger die Unterlagen tatsächlich zur Kenntnis genommen haben, konnte nicht geklärt werden (Urt. v. 20.06.2024, Rs. C-590/22).
Im zweiten Verfahren geht es um Klagen von zwei Anlegern gegen die Scalable Capital GmbH vor dem AG München. Sie hatten ihre Namen, ihr Geburtsdatum, ihre Postanschrift, ihre E-Mail-Adresse sowie eine digitale Kopie ihres Personalausweises bei der Trading-App hinterlegt. 2020 wurden die Daten dann von unbekannten Tätern abgegriffen. Scalable Capital zufolge wurden die persönlichen Daten bislang aber (noch) nicht in betrügerischer Weise verwendet. Die beiden Anleger verlangen nun Ersatz des immateriellen Schadens, der ihnen durch den Diebstahl ihrer persönlichen Daten entstanden sein soll. Von dem Datenverlust sind mehrere zehntausend Personen betroffen (verbundene Rs. C-182/22 und C-189/22).
Die beiden deutschen Gerichte haben dem EuGH nun eine Reihe von Fragen gestellt – und dessen Antworten sind sehr aufschlussreich sowie erfreulich für Verbraucher, deren Daten z.B. illegal weitergeleitet oder von Kriminellen abgegriffen wurden.
Soforthilfe vom Anwalt
Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.
Befürchtung von Datenmissbrauch reicht aus für Schadensersatz
RA Solmecke: „Der wichtigste Punkt: Für einen Anspruch auf immateriellen Schadensersatz nach der Datenschutzgrundverordnung (DSGVO) müssen Betroffene nicht nachweisen, dass ihre Daten tatsächlich illegal weitergegeben wurden bzw. dass ein Datendiebstahl auch tatsächlich zu Identitätsdiebstahl bzw. -betrug geführt hat. Wie schon in vorherigen Urteilen betont der EuGH, dass allein die Befürchtung, es könne zu solchen Vorfällen kommen, reichen könne, um einen Schaden anzunehmen. Und ein solcher Schaden begründet nun einmal regelmäßig einen Anspruch auf Schadensersatz!
Ein weiterer interessanter Aspekt, den der EuGH betonte: ‘Der Schaden durch Verletzungen des Schutzes personenbezogener Daten ist seiner Natur nach nicht weniger schwerwiegend als eine Körperverletzung.’ Das ist eigentlich eine Selbstverständlichkeit, doch der EuGH musste dies noch einmal betonen, weil das vorlegende deutsche Gericht auf diese Weise versucht hatte, mögliche Schadensersatzansprüche von Betroffenen kleinzuhalten. Eine Tendenz unter deutschen Gerichten, welcher der EuGH mit dieser erneuten Klarstellung weiter entgegenwirkt.“
EuGH zur Höhe des Schadensersatzes
RA Solmecke: „Schließlich wird der EuGH ebenfalls nicht müde, zu betonen, dass der Schadensersatz ‘geeignet sein muss, den entstandenen Schaden voll auszugleichen’. Dieser Satz, der sich mehrfach in den Urteilsgründen findet, liest sich wie eine Mahnung an die deutschen Gerichte, nicht zu knauserig bei der Bemessung von Schadensersatz zu sein.
Ebenfalls wichtig (was der EuGH bereits in einem vorherigen Urteil betonte): Unternehmen, die unsauber mit Daten umgegangen sind, können den Schadensersatz nicht ‘drücken’ mit der Begründung, ihnen sei nur ein geringes Verschulden für einen Hack bzw. ein Leak anzulasten. Denn die Schwere des Verstoßes sei irrelevant für die Höhe des Schadensersatzes.
Schließlich zeigt sich in der Urteilsbegründung auch, dass ein DSGVO-Verstoß, der nur zu einem geringen immateriellen Schaden führt, dennoch regelmäßig einen Anspruch auf Schadensersatz begründet. In diesem Fall würde er dann einfach nur geringfügiger ausfallen – was ja völlig logisch ist.
Auswirkungen auf die Facebook- und Deezer-Datenleck-Fälle:
Die Rechte unserer zehntausenden Mandanten im Fall des Facebook-Datenlecks und des Deezer-Datenlecks sowie ihre Chancen auf bis zu 1000 Euro Schadensersatz wurden mit den aktuellen Urteilen des EuGH erneut gestärkt.
Diese Urteile nähren die Erwartung, dass auch der Bundesgerichtshof (BGH) am 8. Oktober zwei entsprechend verbraucherfreundliche höchstrichterliche Urteile in unseren Facebook-Datenleck-Fällen erlassen wird, und damit die Parameter für den immateriellen Schadensersatz in Deutschland endgültig feststehen!“
Betroffenen des Facebook-Datenlecks und des Deezer-Datenlecks bieten wir kostenlose Checker an, über die sie ganz einfach herausfinden können, ob sie betroffen sind:
Unsere gewonnenen Verfahren in Sachen Facebook-Datenleck
ahe