Der Europäische Gerichtshof (EuGH) hat in seiner aktuellen Entscheidung zentrale Fragen zur Haftung für Datenschutzverstöße und die Voraussetzungen für Schadensersatzansprüche nach Art. 82 DS-GVO geklärt. Im Mittelpunkt stand die Frage, unter welchen Bedingungen betroffene Personen Schadensersatz verlangen können und ob eine bloße Befürchtung eines Datenschutzverstoßes ausreicht, um einen immateriellen Schaden geltend zu machen.

1. Hintergrund des Falls

Der Fall betrifft eine Steuerberatungskanzlei, die Steuerunterlagen ihrer Mandanten an eine veraltete Adresse versandt hatte. Die neuen Bewohner der Adresse öffneten den Brief versehentlich, stellten aber nach eigener Aussage fest, dass er nicht für sie bestimmt war, legten ihn wieder zurück und gaben ihn zur Abholung durch Angehörige der Mandanten bereit. Als die Mandanten den Umschlag schließlich erhielten, stellten sie fest, dass sich darin Kopien ihrer Steuererklärungen und weitere sensible Daten befanden. Sie befürchteten, dass die neuen Bewohner die enthaltenen Informationen zur Kenntnis genommen haben könnten, konnten dies aber nicht nachweisen.

Daraufhin klagten sie auf Schadensersatz in Höhe von 15.000 Euro und beriefen sich auf Art. 82 DS-GVO. Das zuständige deutsche Gericht, das Amtsgericht Wesel, legte dem EuGH mehrere Fragen zur Auslegung dieser Vorschrift vor. Insbesondere wollte es wissen, ob allein der Verstoß gegen die DS-GVO ausreicht, um Schadensersatz zu begründen, oder ob der Kläger einen konkreten Schaden nachweisen muss.

2. Entscheidung des EuGH

a) Ein bloßer Verstoß reicht nicht für Schadensersatz

Der EuGH stellte klar, dass ein Verstoß gegen die Datenschutz-Grundverordnung allein noch keinen Anspruch auf Schadensersatz begründet. Nach Art. 82 Abs. 1 DS-GVO muss ein Schaden vorliegen, der kausal auf den Verstoß zurückzuführen ist. Es reicht also nicht aus, dass ein Unternehmen gegen Datenschutzvorschriften verstoßen hat – die betroffene Person muss konkret nachweisen, dass ihr dadurch ein materieller oder immaterieller Schaden entstanden ist.

b) Befürchtung eines Datenmissbrauchs kann Schaden sein – aber nur unter bestimmten Voraussetzungen

Eine der zentralen Fragen war, ob bereits die Befürchtung, dass personenbezogene Daten unbefugt an Dritte gelangt sind, einen Schaden im Sinne der DS-GVO darstellen kann. Hier entschied der EuGH, dass eine solche Befürchtung grundsätzlich einen immateriellen Schaden darstellen kann, allerdings nur dann, wenn die betroffene Person nachweisen kann, dass sie durch diese Befürchtung tatsächlich negative Folgen erlitten hat.

Damit stellte der EuGH klar, dass eine rein abstrakte Angst oder ein hypothetisches Risiko nicht ausreicht. Die betroffene Person muss darlegen, welche konkreten Auswirkungen die Befürchtung auf sie hatte – beispielsweise erhebliche psychische Belastungen oder andere nachweisbare Beeinträchtigungen.

c) Schadensersatz hat keine abschreckende Funktion

Ein weiterer wichtiger Punkt der Entscheidung betrifft die Funktion des Schadensersatzes nach Art. 82 DS-GVO. Der EuGH betonte, dass dieser Anspruch keine abschreckende oder strafende Funktion hat. Das bedeutet, dass die Höhe des Schadensersatzes nicht von der Schwere des Datenschutzverstoßes abhängt und keine „Strafzahlungen“ vorgesehen sind.

Während Bußgelder nach Art. 83 DS-GVO darauf abzielen, Datenschutzverstöße zu ahnden und Unternehmen zur Einhaltung der Vorschriften zu bewegen, dient der Schadensersatzanspruch lediglich dazu, den tatsächlich erlittenen Schaden der betroffenen Person auszugleichen. Das bedeutet, dass Verstöße gegen Datenschutzregeln allein nicht zu einer höheren Entschädigung führen, wenn kein nachweisbarer Schaden entstanden ist.

d) Nationale Datenschutzvorschriften beeinflussen die Schadenshöhe nicht

Schließlich entschied der EuGH, dass Verstöße gegen nationale Datenschutzvorschriften, die nicht unmittelbar der Umsetzung oder Präzisierung der DS-GVO dienen, bei der Berechnung des Schadensersatzes keine Rolle spielen. Das bedeutet, dass eine betroffene Person nicht einfach deshalb eine höhere Entschädigung verlangen kann, weil zusätzlich gegen nationales Datenschutzrecht verstoßen wurde.

Das Gericht stellte klar, dass das nationale Recht den Betroffenen zwar weitergehende Ansprüche gewähren kann, dies jedoch unabhängig von Art. 82 DS-GVO zu betrachten ist.

3. Auswirkungen des Urteils auf die Praxis

Die Entscheidung des EuGH hat erhebliche Auswirkungen auf die Praxis:

a) Strengere Anforderungen an Schadensersatzklagen

• Betroffene Personen müssen konkrete und nachweisbare Schäden darlegen.
• Die bloße Behauptung, dass ein Datenschutzverstoß zu einem Kontrollverlust über personenbezogene Daten geführt hat, reicht nicht aus.

b) Unternehmen können sich besser gegen pauschale Klagen verteidigen

• Wenn kein konkreter Schaden nachweisbar ist, können Unternehmen die Haftung für Schadensersatz ablehnen.
• Pauschale Forderungen auf hohe Entschädigungen ohne konkrete Belege werden schwerer durchsetzbar.

c) Datenschutzbehörden bleiben für Sanktionen zuständig

• Die Abschreckung gegen Datenschutzverstöße erfolgt weiterhin über Bußgelder nach Art. 83 DS-GVO, nicht über Schadensersatzzahlungen.
• Unternehmen müssen sich dennoch bewusst sein, dass auch kleinere Verstöße zu hohen Bußgeldern führen können.

d) Nationale Datenschutzverstöße erhöhen nicht automatisch den Schadensersatz

• Betroffene Personen können sich nicht auf Verstöße gegen das nationale Recht berufen, um eine höhere Entschädigung zu fordern.
• Schadensersatz bleibt auf das europäische Datenschutzrecht (DS-GVO) beschränkt.

4. Fazit

Der EuGH hat mit diesem Urteil klargestellt, dass ein Datenschutzverstoß allein keinen Schadensersatzanspruch begründet. Betroffene müssen einen konkreten, nachweisbaren Schaden erleiden und dies auch belegen können. Gleichzeitig hat das Gericht jedoch anerkannt, dass bereits die Befürchtung einer unbefugten Datenweitergabe einen immateriellen Schaden darstellen kann, wenn sie tatsächlich nachweisbare negative Folgen für die betroffene Person hatte.

Die Entscheidung wird die Durchsetzung von Schadensersatzansprüchen für Datenschutzverstöße erschweren, da sie die Anforderungen an den Nachweis eines Schadens erheblich erhöht. Unternehmen profitieren von dieser Klarstellung, da sie sich gegen pauschale Schadensersatzforderungen besser verteidigen können. Aufsichtsbehörden hingegen behalten ihre Rolle als zentrale Instanz zur Sanktionierung von Datenschutzverstößen, da Bußgelder weiterhin als primäres Mittel der Abschreckung dienen. Insgesamt trägt das Urteil dazu bei, ein Gleichgewicht zwischen den Rechten der betroffenen Personen und den Interessen der Verantwortlichen herzustellen und verhindert gleichzeitig eine inflationäre Geltendmachung von Schadensersatzansprüchen ohne konkreten Nachweis eines Schadens.