An den falschen Empfänger versendete Unterlagen oder der Verlust von wichtigen Akten in einem öffentlichen Café, jeder Datenschutzverstoß kann auch immer die Forderung von Schadensersatz mit sich bringen. Voraussetzung ist, dass dem Betroffenen auch wirklich ein Schaden entstanden ist. Der bloße Verstoß gegen die DSGVO allein, soll nach Ansicht des EuGH (Urteil v. 04.05.2023 – C-300/21) noch nicht ausreichen, um einen immateriellen Schaden zu begründen. Eine Erheblichkeitsschwelle beim Schadensersatz wird jedoch nicht gefordert. Der EUGH stellte klar, dass jede konkrete Einbuße oder Beeinträchtigung auf Seiten des Betroffenen einen Schadensersatz begründen könne.
Was war passiert?
Die österreichische Post hatte Daten ihrer Kunden weitergegeben, damit eine Agentur anhand der Daten die Parteiaffinität der Kunden ermitteln und so zielgerichtete Wahlwerbung betreiben konnte. Der Kläger, dessen Daten so genutzt wurden, war nach eigenen Angaben „erbost“ davon und fühlte sich durch die Bekanntmachung seiner Parteiaffinität „bloßgestellt“. In anderen Worten: der Vorgang löste bei ihm zwar ein schlechtes Gefühl aus, aber verursachte keinen finanziellen Schaden. Das Gericht sollte nun urteilen, ob diese Gefühlslage einen immateriellen Schadensersatz begründet.
Keine Erheblichkeitsschwelle beim Anspruch auf immateriellen Schadensersatz nach Art. 82 DSGVO
Der EUGH machte deutlich, dass zwar nicht jeder Verstoß gegen die DSGVO einen Schadensersatz begründen könne. Sobald aber der Betroffene eine kausale Beeinträchtigung nachweisen kann, kommt es auf die Erheblichkeit nicht mehr an. Vielmehr ist jede konkrete Einbuße ersatzfähig. Eine Bagatellgrenze soll es gerade nicht geben. Wie hoch allerdings der Schadensersatz zu beziffern ist, lässt der EUGH offen, denn dafür sind die nationalen Gerichte zuständig.
Bisher gab es zu der Frage unterschiedliche Rechtssprechung. Gerichte, wie das OLG Dresden, lehnten einen Anspruch bei Bagatellverstößen, ohne ernsthafte Beeinträchtigung für das Selbstbild oder Ansehen einer Person oder eine benennbare tatsächliche Persönlichkeitsrechtsverletzung, ab. Das Bundesverfassungsgericht hob dagegen ein solches Urteil auf, da der Geldentschädigungsanspruch in der Rechtsprechung des EuGH zum damaligen Zeitpunkt nicht erschöpfend geklärt war.
Praxistipp:
Wahrscheinlich werden nach diesem Urteil künftig mehr Betroffene versuchen, einen immateriellen Schadensersatz gerichtlich durchzusetzen. Insbesondere die Forderung von niedrigen Beträgen verursacht neben den Prozesskostenrisiko auch immer einen nicht unerheblichen Aufwand für die eigene Recherche und Aufarbeitung.
Davor können Sie sich am besten schützen, indem Sie ein Ihr Datenschutz-Management optimieren. Es sollte eine professionelle Bewertung von Datenschutzverletzungen ermöglichen sowie eine Bearbeitung von Anfragen betroffener Personen sicherstellen. Idealerweise sollte das Datenschutz-Management System sogar dazu beitragen, Datenschutzverstöße vollständig zu vermeiden.
Verwandte Beiträge
Kein Schadensersatzanspruch bei BagatellverstößenLeitsatz: Für ein Schadensersatzanspruch bei Bagatellverstößen, ohne ernsthafte Beeinträchtigung für das Selbstbild oder Ansehen einer…
Schadensersatz nach einer WerbemailWas kostet eine Werbemail, wenn der Betroffene hierfür keine Einwilligung gegeben hat? Die Frage nach…
Immaterieller SchadensersatzRecht häufig werden die Gerichte mit der Frage beschäftigt, wann wegen eines Verstoßes gegen die…