In einem Urteil hat der Europäische Gerichtshof entschieden, dass für einen immateriellen Schadensersatz gemäß Artikel 82 der DSGVO die anhaltende Sorge, dass Daten missbräuchlich verwendet werden könnten, allein nicht ausreicht. Insbesondere dann soll dies gelten, wenn nachweislich ausgeschlossen werden kann, dass die Daten missbräuchlich verwendet wurden.
Sachverhalt – kurzzeitige Preisgabe von Daten
Das Urteil des EuGH vom 25.01.20224 – C-687/21 basierte auf folgendem Sachverhalt:
Der Kläger, ein Kunde des Elektrofachhändlers Saturn, erwarb ein Haushaltsgerät, das versehentlich einem anderen Kunden, der sich vorgedrängelt hatte, zusammen mit den Kauf- und Kreditvertragsunterlagen ausgehändigt wurde. Somit wurden dem Dritten der Name des Klägers sowie dessen Anschrift, Arbeitgeber und Einkünfte offengelegt. 30 Minuten nach dem Vorfall wurde der Irrtum von den Mitarbeitenden bemerkt, und der Kläger erhielt seine Unterlagen zurück, ohne dass der Dritte vor der Rückgabe der Dokumente die Daten zur Kenntnis genommen hatte.
Der Kunde forderte dennoch Schadensersatz gemäß Art. 82 DSGVO, da er infolge des Fehlers des Mitarbeiters und des daraus resultierenden Risikos, die Kontrolle über seine persönlichen Daten verloren zu haben, einen immateriellen Schaden erlitten habe.
Urteil
Das Amtsgericht Hagen hatte daraufhin zu klären, ob allein das Gefühl des Unbehagens wegen der Gefahr eines künftigen Missbrauchs der Daten, ausgelöst durch die bloße Möglichkeit der Anfertigung von Kopien vor der Rückgabe des Dokuments, ausreicht, um einen Schadensersatzanspruch zu begründen. Das AG Hagen legte dem EuGH eine Reihe von Fragen vor, unter anderem nach der Auslegung der DSGVO und danach, ob ein immaterieller Schaden entstehen kann, wenn die personenbezogenen Daten dem Dritten nicht zur Kenntnis gebracht wurden.
Der EuGH stellte klar, dass ein immaterieller Schaden grundsätzlich vorliegt, wenn der Betroffene befürchten muss, dass durch einen Verstoß gegen die DSGVO ein Dritter die eigenen personenbezogenen Daten missbräuchlich verwenden könnte. Dies liegt im Interesse der Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten.
Jedoch muss eine Einschränkung gemacht werden: Es gilt nur, wenn die betroffene Person den Nachweis erbringen könne, dass sie „tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten [habe], wobei der bloße Verstoß gegen die Bestimmungen der DSGVO zur Begründung eines Schadensersatzanspruches nicht [ausreiche].“
Dementsprechend kann ein rein hypothetisches Risiko nicht zu einem Schadensersatz führen. Diese klare Feststellung konkretisiert die restriktive Handhabung von immateriellen Schadensersatzansprüchen und macht Massenklagen schwieriger.