Brandi mbB - Logo

Beitrag

Aktuelle ThemenIT & Datenschutz

Irrtümliche Datenweitergabe rechtfertigt keinen Schadensersatz

Die Regelung in Art. 82 DSGVO zum Schadensersatz sieht ausdrücklich vor, dass bei Datenschutzverstößen von dem Betroffenen auch der Ersatz von immateriellen Schäden verlangt werden kann. Die Gewährung eines immateriellen Schadensersatzes, häufig auch als Schmerzensgeld bezeichnet, ist in Deutschland wenig ausgeprägt und in einem größeren Umfang eigentlich nur aus dem Verkehrsrecht bekannt. Es besteht daher eine erhebliche Unsicherheit, wann ein solcher Schadensersatz bei Datenschutzverstößen verlangt werden kann, wie hoch dieser zu bemessen ist und was hierfür nachgewiesen werden muss.

Sachverhalt

Auf Vorlage des Amtsgerichts Hagen musste sich der Europäische Gerichtshof jetzt mit der Frage befassen, inwieweit ein Kunde wegen eines Datenschutzverstoßes einen immateriellen Schadensersatz verlangen kann, wenn seine Daten unberechtigt gegenüber einem anderen Kunden offengelegt wurden (EuGH, Urt. v. 25.01.2024, C-687/21 – BL./.Saturn, K&R 2024, 191). Ausgangspunkt war der Kauf eines Elektrohaushaltsgeräts in einer Filiale von Saturn. Vor Ort hatte der Kunde einen Kauf- und einen Kreditvertrag abgeschlossen; das gekaufte Gerät sollte dann an der Warenausgabe abgeholt werden. Weil aber ein anderer Kunde sich unbemerkt vorgedrängt hatte, wurde diesem Kunden das Gerät mit den Vertragsunterlagen ausgehändigt. Wenig später fiel der Fehler auf und nach einer halben Stunde wurden Gerät und Unterlagen zurückgegeben. In dem amtsgerichtlichen Verfahren wurde unter anderem darüber gestritten, ob die Tatsache der Aushändigung von Unterlagen an den falschen Kunden schon beweist, dass die technischen und organisatorischen Maßnahmen gem. Art. 32 DSGVO bei Saturn nicht ausreichend gewesen sein können. Insgesamt vertrat der klagende Kunde die Auffassung, er müsse alleine die unbefugte Datenweitergabe beweisen und hieraus ergebe sich schon ein Schadensersatzanspruch.

Vorlage des AG Hagen an den EuGH

Das Amtsgericht Hagen als Ausgangsgericht hat argumentiert, dass es für die Entscheidung über die Schadensersatzansprüche auf die korrekte Auslegung der DSGVO ankomme und hierzu eine Vorlage an den EuGH erforderlich sei. Insgesamt hat das Amtsgericht sieben Fragen formuliert, die vom EuGH beantwortet werden sollten. Zunächst wollte das Amtsgericht wissen, ob die Regelung zum immateriellen Schadensersatz in Art. 82 DSGVO überhaupt angewandt werden kann, obwohl die genaue Rechtsfolge nicht weiter bestimmt wird. Sodann sollte der EuGH zu den Fragen Stellung nehmen, ob neben dem Datenschutzverstoß auch das Vorliegen eines Schadens nachgewiesen werden muss und ob für die Annahme eines Datenschutzverstoßes bereits die irrtümliche Weitergabe von Daten an einen falschen Empfänger genügt. Weiter hat das Amtsgericht unter anderem beim EuGH angefragt, wie gravierend die versehentliche Weitergabe von Finanzierungsdaten ist und ob bei der Ermittlung eines möglichen Schadensersatzanspruchs auch eine Straffunktion zu berücksichtigen ist.

Entscheidung des EuGH

Einen Teil der Vorlagefragen hatte der EuGH im Ergebnis zwischenzeitlich schon in anderen Verfahren beantwortet, insbesondere das Erfordernis zum Nachweis eines konkreten Schadens durch den Betroffenen (EuGH, Urt. v. 04.05.2023 – C-300/21 – Österreichische Post). Interessant sind vor allem die Ausführungen des EuGH, wonach nicht jede versehentliche Offenlegung von Daten automatisch darauf hindeutet, dass die verantwortliche Stelle keine ausreichenden technischen und organisatorischen Maßnahmen im Sinne von Art. 32 DSGVO implementiert hat. Der EuGH stellt insoweit klar, dass nur darum geht angemessene Maßnahmen umzusetzen, ohne dass damit jegliches Risiko ausgeschlossen werden muss. Die tatsächlich erfolgte unberechtigte Offenlegung kann allenfalls ein Indiz für unzureichende Schutzmaßnahmen sei.

Bezogen auf die konkrete Schädigung des Betroffenen stellt der EuGH klar, dass die bloße Befürchtung, ein Dritter könnte Daten unbefugt zur Kenntnis genommen haben, regelmäßig nicht ausreicht. Zwar stellt der EuGH an den Umfang der Schädigung keine hohen Ansprüche, der Nachweis muss aber grundsätzlich geführt werden. Hierfür dürfte es unter Berücksichtigung des EuGH wohl nicht ausreichen, abstrakt vorzutragen, alleine die Unsicherheit, ob ein Dritter Kenntnis genommen haben könnte, führe zu einem Kontrollverlust und einer Schädigung. Im konkreten Fall waren jedenfalls keinerlei Indizien ersichtlich, dass der Dritte in der relativ kurzen Zeitspanne sich überhaupt näher mit den ausgehändigten Unterlagen befasst hätte.

Bedeutsam sind außerdem die Klarstellungen des EuGH zur Bemessung des Schadensersatzes im Einzelfall. Bis auf wenige Ausnahmen entscheidet dabei der EuGH nicht selbst über die konkrete Höhe (EuGH, Urt. v. 05.03.2024 – C-755/21 P), sondern äußert sich nur allgemein dazu, welche Aspekte generell berücksichtigt werden können. Danach muss die Schwere des Verstoßes sich nicht automatisch auf die Höhe des Schadensersatzes niederschlagen, weil es alleine auf den erlittenen Schaden ankommt. Daneben bleibt kein Raum, um über den Ersatz des konkreten Schadens die verantwortliche Stelle für den Datenschutzverstoß zu „bestrafen“.

Konsequenzen der Vorgaben des EuGH

Durch die zuletzt veröffentlichen Entscheidungen des EuGH gewinnt der Anspruch auf immateriellen Schadensersatz deutlich an Kontur. Zugunsten des Betroffenen hat der EuGH bereits klargestellt, dass es keine Bagatell- oder Erheblichkeitsschwelle gibt, also bei kleineren Schäden immerhin ein geringer Schadensersatz verlangt werden kann. Gleichzeitig positioniert sich der EuGH aber sehr deutlich gegen den Ansatz, dass alleine der Verweis auf einen Datenschutzverstoß schon genügt, um quasi reflexartig eine Kompensation für den Verstoß in Form einer Schadensersatzzahlung verlangen zu können. Es gibt zahlreiche Fälle, wo Betroffene versuchen, statt des Ersatzes eines konkreten Schadens vielmehr den Datenschutzverstoß einer verantwortlichen Stelle zum Anlass zu nehmen, um hieraus für sich einen wirtschaftlichen Vorteil zu erlangen. Um in diesem Bereich keine Fehlanreize zu schaffen, ist es wichtig, dass der EuGH jetzt klargestellt hat, welche Hürden für die Durchsetzung eines Schadensersatzanspruchs bestehen. Es muss schon konkret zu einem möglichen Schaden vorgetragen werden anstatt pauschal zu behaupten, alleine die Möglichkeit des Missbrauchs offengelegter Daten führe schon zu einem „Unwohlsein“. Gleichzeitig ist der EuGH zu Recht der Argumentation entgegengetreten, dass bereits die unbefugte Offenlegung von Daten zeigen würde, dass die verantwortliche Stelle schuldhafte ihre Pflichten verletzt hat.

Autoren

  • Dr. Sebastian Meyer LL.M.

    Rechtsanwalt und Notar mit Amtssitz in Bielefeld

    Fachanwalt für Informationstechnologierecht (IT-Recht)

    Datenschutzauditor (TÜV)


    alle Beiträge ansehen

    über mich