Ende Januar urteilte der EuGH, dass ein Kunde in einem ganz speziellen Fall keinen Anspruch auf immateriellen Schadensersatz hatte. Denn in dieser Konstellation war praktisch ausgeschlossen, dass hier tatsächlich ein Datenmissbrauch passiert sein könnte. Dennoch kursieren falsche Interpretationen zu diesem Urteil im Netz – eine Klarstellung.
Ein Urteil des Europäischen Gerichtshofs (EuGH) hat unter Juristen zu unterschiedlichen (und teils auch fehlerhaften) Interpretationen geführt, die wir hier einmal klarstellen möchten. Passiert war folgendes: In dem Fall hatte ein Saturn-Mitarbeiter an der Kasse ein Dokument mit personenbezogenen Daten eines Kunden versehentlich an einen anderen Kunden weitergegeben – den Fehler nach einer halben Stunde aber korrigieren können. Der Dritte hatte die Daten erwiesenermaßen nicht zur Kenntnis genommen. Der betroffene Kunde befürchte dennoch, jemand könne während dieser sehr kurzen Zeit potenziell eine Kopie des Dokuments angefertigt und diese weiterverbreitet haben. Allein dieser Umstand sei jedoch noch kein immaterieller Schaden im Sinne von Art. 82 Datenschutzgrundverordnung (DSGVO), so der EuGH. Das Risiko sei hier schließlich rein hypothetisch gewesen (Urt. v. 25.01.2024, Rs. C-687/21).
Die LTO betitelte daraufhin ihren Artikel mit der Überschrift „Ein ungutes Gefühl ist kein immaterieller Schaden“. Anders als die Überschrift wurde der Artikel jedoch später dahingehend geändert, „dass die Annahme eines immateriellen Schaden (sic!) erst dann ausscheidet, wenn auszuschließen ist, dass der Dritte die personenbezogenen Daten zur Kenntnis genommen hat.“ Dennoch: Weiterhin suggeriert allein die Überschrift ein völlig falsches Bild von der tatsächlichen EuGH-Rechtsprechung zum immateriellen Schadensersatz, das wir hier noch einmal ins rechte Licht rücken wollen: Denn tatsächlich hat der EuGH umgekehrt im Dezember 2023 entschieden, DASS ein ungutes Gefühl – sofern begründet – regelmäßig ein immaterieller Schaden sein kann. Der hier entschiedene Fall ist hingegen lediglich eine – wohl in der Praxis eher selten auftretende – Ausnahme.
Soforthilfe vom Anwalt
Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.
Ungutes Gefühl bei Datenlecks im Internet ist regelmäßig ein immaterieller Schaden
Im Dezember hatte der EuGH entschieden, dass es bereits einen „immateriellen Schaden“ darstellen kann, wenn eine von einem Hackerangriff betroffene Person befürchtet, dass ihre personenbezogenen Daten durch Dritte missbraucht werden (Urt. v. 14.12.2023, Rs. C-340/21). Zur Begründung führte der EuGH aus, der Begriff des Schadens gem. Erwägungsgrund 146 DSGVO müsse weit verstanden werden, denn die DSGVO gewährleiste ein hohes Schutzniveau. Unter Bezugnahme auf Erwägungsgrund 85 S. 1 DSGVO betont der EuGH außerdem, dass der zentrale Anknüpfungspunkt für die Befürchtungen der Kontrollverlust über die Daten ist.
Auf diese bisherige Rechtsprechung nimmt der EuGH in seinem aktuellen Urteil auch noch einmal Bezug. Dabei betont er, dass bereits der kurzzeitige Verlust der Kontrolle über personenbezogene Daten und die damit einhergehende „begründete Befürchtung“ vor Weiterverbreitung oder Missbrauch einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO darstellen kann. Dies umfasse explizit auch die Situation, in der jemand die Möglichkeit hatte, von einem Dokument Kopien anzufertigen. Lediglich ein „rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten“ könne nicht zu einer Entschädigung führen. Dies sei der Fall, wenn kein Dritter die fraglichen personenbezogenen Daten zur Kenntnis genommen habe – so lag der Fall hier.
Betrachtet man also diesen Kontext, so wird klar, dass die Überschrift der LTO im Prinzip das Gegenteil dessen besagt, was der EuGH für eine grundsätzliche Auffassung vertritt: Tatsächlich ist ein ungutes Gefühl regelmäßig ein Grund für Schadensersatz – solange es berechtigt ist. Das ist in Fällen eines Datenlecks bzw. Hacks praktisch immer der Fall. Schließlich können einmal abhandengekommene Daten unmöglich wieder eingefangen werden, wenn sie einmal in die Hände von Kriminellen oder gar ins Darknet gelangt sind.
Facebook-Datenleck – jetzt prüfen
Jetzt Handynummer eingeben und sofort zeigt der Checker Ihnen an, ob Sie betroffen sind:
Hinweis: Wir verwenden deine Mobilfunknummer zur Überprüfung, ob du von dem Facebook-Datenleak betroffen bist. Der Abgleich deiner Mobilfunknummer erfolgt auf unserem Server. Eine Weitergabe an Dritte erfolgt nicht. Unmittelbar nach dem Abgleich und Ausspielung des Ergebnisses an dich, wird deine Mobilfunknummer bei uns gelöscht. Die Verarbeitung ist im Rahmen unserer Vertragserfüllung erforderlich, da die beauftragte Überprüfung sonst nicht möglich ist, Art. 6 (1) lit. b DS-GVO.
Deezer-Datenleck – jetzt prüfen
Einfach Mail-Adresse eingeben und sofort herausfinden, ob Sie einer von 14 Millionen deutschen Betroffenen sind.
Bitte geben Sie Ihre E-Mail-Adresse an.
Hinweis: Wir verwenden deine E-Mail Adresse zur Überprüfung, ob du von dem Deezer-Datenleak betroffen bist. Der Abgleich deiner E-Mail Adresse erfolgt auf unserem Server. Eine Weitergabe an Dritte erfolgt nicht. Unmittelbar nach dem Abgleich und Ausspielung des Ergebnisses an dich, wird deine E-Mail Adresse bei uns gelöscht. Die Verarbeitung ist im Rahmen unserer Vertragserfüllung erforderlich, da die beauftragte Überprüfung sonst nicht möglich ist, Art. 6 (1) lit. b DS-GVO.
Keine Sorge: Direkt nach der Eingabe erscheint das Prüfergebnis nur für Dich. Erst wenn Du danach bewusst weitere Daten eingibst, werden wir auch für Dich tätig und erstreiten den Schadensersatz.
EuGH zur Schwere des Schadens
Bereits im Mai 2023 hatte der EuGH außerdem entschieden, dass der Schadenersatzanspruch nicht auf immaterielle Schäden beschränkt sei, die eine „gewisse Erheblichkeit“ erreichten (Urt. v. 04.05.2023, Rs. C-300/21). Im Urteil von Dezember wiederholte der EuGH dies noch einmal und sprach hier davon, dass kein bestimmter „Grad der Schwere“ erreicht werden müsse. Indirekt betont der EuGH diesen Aspekt außerdem dadurch, dass er explizit das Wort „Befürchtung“ nutzt, obwohl das vorlegende Gericht daneben auch von „Angst“ und „Sorge“ gesprochen hatte. Auch im aktuellen Urteil schreibt der EuGH, dass die Person nur nachweisen muss, dass sie tatsächlich einen solchen Schaden erlitten habe – „so geringfügig er auch sein mag“.
Zudem machte der EuGH weitere Ausführungen dazu, was die Gerichte bei der Bemessung der Höhe des Schadensersatzes beachten müssen: Die nationalen Gerichte müssten den Betrag so festlegen, dass er den konkret aufgrund des Verstoßes gegen die DSGVO erlittenen Schaden vollständig ausgleicht. Wichtig sei also vor allem diese „Ausgleichsfunktion“ von Art. 82 DSGVO. Es werde hingegen nicht verlangt, die Schwere des Verstoßes bei der Bemessung Schadensersatzes zu berücksichtigen. Auch diese Aussage des EuGH wird die nationalen Gerichte künftig dazu bringen, bei der Bemessung des Schadensersatzes primär auf den angerichteten Schaden und weniger auf die Schuld der Verursacher zu schauen. Damit steigen die Chancen auf einen hohen Schadensersatz gerade in den Fällen, in denen derjenige in Anspruch genommen wird, der Daten “nur” nicht ausreichend gegen ein Datenleck abgesichert hat.
ahe