Neues vom EuGH zum datenschutzrechtlichen Schadensersatz

Neues vom EuGH zum datenschutzrechtlichen Schadensersatz

Gemäß Art 82 Abs. 1 DSG-VO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz.

In zwei Vorabentscheidungsersuchen hatte sich das Amtsgericht München an den EuGH gewandt, um die Auslegung von Art. 82 der DS-GVO zu klären, insbesondere in Bezug auf die Höhe des Schadensersatzes sowie die Definitionen von „immateriellem Schaden“ und „Identitätsdiebstahl bzw. -betrug“.

Mit dem nunmehr ergangenen Urteil vom 20.06.2024 in den Rechtssachen C‑182/22 und C‑189/22 (Scalable Capital GmbH) hat der EuGH seine Rechtsprechung zum Datenschutz-Schadensersatz erneut um einige Grundsätze angereichert, die sich wie folgt zusammenfassen lassen:

  • Nicht jeder Verstoß gegen die DS-GVO führt zu einem Schadensersatzanspruch nach Art. 82 DS-GVO.
  • Ein Schadensersatzanspruch nach Art. 82 DS-GVO setzt im Kern dreierlei voraus:

(1) einen Verstoß gegen die DSG-VO

(2) einen materiellen oder immateriellen „Schaden“ 

(3) einen Kausalzusammenhang zwischen dem Schaden und dem Rechtsverstoß

wobei alle drei Voraussetzungen kumulativ vorliegen müssen.

  • Die Darlegungs- und Beweislast für diese drei Voraussetzungen liegt beim Anspruchsteller.  
  • Eine „Bagatellgrenze“, die überschritten sein muss, um einen Schadenersatzanspruch zu begründen, gibt es nicht.
  • Ein abstrakter Kontrollverlust über Daten stellt nicht automatisch einen immateriellen Schaden im Sinne von § 82 DS-GVO dar. Hinzukommen muss zumindest eine objektiv begründete Befürchtung, dass die Daten, über die der Anspruchsteller die Kontrolle verloren hat, missbräuchlich verwendet wurden oder künftig verwendet werden. 
  • Der durch eine Verletzung des Datenschutzes verursachte Schaden ist seiner Natur nach nicht weniger schwerwiegend, als eine Körperverletzung.
  • Art. 82 DS-GVO erfüllt keine Straf-, sondern eine Ausgleichsfunktion.
  • Art 82 DS-GVO verlangt nicht, dass der Grad der Schwere oder eine etwaige Vorsätzlichkeit des Verstoßes bei der Bemessung der Höhe des Schadenersatzes zu berücksichtigen sind.
  • Die nationalen Gerichte sind nicht gehindert, einen Schadenersatz in geringer Höhe zuzusprechen, wenn und soweit dieser Schadenersatz den jeweiligen Schaden in vollem Umfang ausgleicht.
  • Art. 82 DS-GVO hindert den Verantwortlichen, dessen Haftung unterstellt wird, nicht, sich durch den Nachweis, dass ihm die Handlung, die den Schaden verursacht hat, nicht zurechenbar ist, zu exkulpieren.
  • Der Begriff „Identitätsdiebstahl“ ist nur dann erfüllt, wenn ein Dritter die Identität einer Person, die von einem Datendiebstahl betroffen ist, tatsächlich angenommen hat. Jedoch ist ein Schadensersatz nicht nur auf Fälle beschränkt, in denen der Datendiebstahl nachweislich zu einem Identitätsdiebstahl oder ‑betrug geführt hat.

Diese (erweiterten) Grundsätze werden sich – wie üblich zeitversetzt – in den Entscheidungen der nationalen Gerichte, insbesondere auch der Arbeitsgerichte, widerspiegeln. Aktuelle Beispiele hierfür sind:

  • LAG Nürnberg vom 25.1.2023 – 4 Sa 201/22 („Die verspätete Auskunftserteilung auf ein Verlangen nach Art. 15 Abs. 1 DSGVO stellt als solche keinen immateriellen Schaden dar“).
  • LAG Baden-Württemberg vom 05.03.2024 – 15 Sa 45/23 („Allein der Kontrollverlust über Daten stellt nicht automatisch einen immateriellen Schaden im Sinne von § 82 DS-GVO dar“).
  • LAG Düsseldorf vom 07.03.2024 – 11 Sa 808/23 („Nicht jeder Verstoß gegen Auskunftsansprüche aus der DSGVO verursacht „automatisch“ einen Schaden“).

Fazit: Das Urteil des EuGH vom 20.06.2024 verdeutlicht, dass die Anforderungen an die Geltendmachung und Durchsetzung von Schadensersatzansprüchen in Fällen von DS-GVO-Verstößen nicht zu unterschätzen sind. Andererseits besteht kein Grund zur Annahme, dass es bei § 82 DS-GVO nur um „symbolische“ Beträge geht.

Autor

Harald Krüger
Harald Krüger

Partner, Fach­an­walt für Ar­beits­recht

TCI Rechts­an­wäl­te Mün­chen

  • Twitter
  • LinkedIn