Die bleibende Sorge, die eigenen Daten könnten missbräuchlich verwendet werden, genügt für einen immateriellen Schaden nicht. Das gilt jedenfalls dann, wenn ausgeschlossen werden kann, dass jemand von den Daten Kenntnis genommen hat.
Ein immaterieller Schaden tritt nicht dann schon ein, wenn personenbezogene Daten versehentlich einem Dritten zugänglich gemacht werden, sofern dieser keine Kenntnis davon genommen hat, so der Europäische Gerichtshof (EuGH, Urt. v. 15.01.2024, Az. C-687/21). Mit dem Urteil verschärfte der Gerichtshof abermals die Anforderungen an Schadensersatzansprüche bei Verstößen gegen die Datenschutz-Grundverordnung (DSGVO).
Der Entscheidung liegt ein Fall zugrunde, der so alltäglich wie kurios ist: Ein Kunde kaufte in einem Geschäft des Elektrofachhändlers Saturn ein Haushaltsgerät. Bei der Warenausgabe wurde das Gerät aber versehentlich einem anderen Kunden, der sich unbemerkt vorgedrängelt hatte, ausgehändigt – inklusive Kauf- und Kreditvertragsunterlagen. Letztere beinhalteten unter anderem den Namen, die Anschrift, den Arbeitgeber und die Einkünfte des "richtigen" Käufers. Einem Saturn-Mitarbeiter fiel der Irrtum aber schnell auf und etwa eine halbe Stunde später hatte der wahre Käufer das Gerät inklusive seiner Unterlagen wieder bei sich.
Ungutes Gefühl über möglichen Missbrauch begründet keinen Schaden
Der Kunde verlangte dennoch nach der DSGVO Schadensersatz von Saturn – und zwar für den immateriellen Schaden, den er aufgrund des Irrtums der Angestellten und des daraus resultierenden Risikos, die Kontrolle über die eigenen personenbezogenen Daten verloren zu haben, erlitten habe. Das angerufene Amtsgericht Hagen legte dem EuGH daraufhin eine Reihe von Fragen vor, insbesondere solche nach der Auslegung der DSGVO.
In seinem Urteil stellt der EuGH unter anderem fest, dass die in diesem Fall betroffene Person für einen Schaden aber nicht nur einen Verstoß gegen die DSGVO nachweisen muss, sondern auch dass ihr wirklich ein Schaden entstanden ist. Ein immaterieller Schaden liegt laut EuGH in solchen Fällen aber nicht schon dann vor, "wenn eine Person, deren personenbezogene Daten an einen unbefugten Dritten weitergegeben wurden, der diese aber erwiesenermaßen nicht zur Kenntnis genommen hat, dennoch befürchtet, dass die Daten kopiert wurden und in Zukunft weitergegeben oder gar missbraucht werden könnten", wie es in dem Urteil heißt. Denn dann sei das Risiko der missbräuchlichen Verwendung rein hypothetischer Natur.
Vereinfacht gesagt: Ein ungutes Gefühl begründet keinen immateriellen Schaden, wenn der Datenmissbrauch nachweislich ausgeschlossen werden kann.
"Massenklagen werden schwieriger"
Der EuGH konkretisiert mit diesem Urteil seine restriktivere Handhabung von immateriellen Schadensersatzansprüchen. Aus Unternehmersicht dürfte diese Entscheidung begrüßenswert sein. Dr. Felix Glocker, Rechtsanwalt bei der internationalen Wirtschaftskanzlei CMS Deutschland, nennt die Entscheidung "pragmatisch", sie sorge für Rechtssicherheit. Situationen, in denen der Missbrauch von personenbezogenen Daten nur ein hypothetisches Risiko ist, betreffe viele Fälle in der Praxis, da sich ein tatsächlicher Missbrauch in der Regel nicht nachweisen lässt.
Latham & Watkins haben Saturn in dem Verfahren vertreten. Tim Wybitul, Datenschutzrechtler und Parter in der Kanzlei, kommentiert die Entscheidung wie folgt: "Diese Klarstellung des EuGH setzt neue Maßstäbe und schafft Klarheit in Bezug auf die Beweislast bei Schadenersatzklagen im Bereich des Datenschutzrechts. Die Entscheidung des EuGH bietet Unternehmen nun etwas mehr Rechtssicherheit. Sie verhindert, dass unbegründete Schadenersatzansprüche zu einer unverhältnismäßigen Belastung führen. Massenklagen gegen Unternehmen, die von Cyber-Angriffen betroffen sind, werden dadurch trotz der grundsätzlich klägerfreundlichen Tendenz des EuGH schwieriger."
Red. Hinweis: Der Artikel wurde dahingehend präzisiert, dass die Annahme eines immateriellen Schaden erst dann ausscheidet, wenn auszuschließen ist, dass der Dritte die personenbezogenen Daten zur Kenntnis genommen hat.
lmb/LTO-Redaktion
EuGH zum Datenverlust beim Saturn-Einkauf: . In: Legal Tribune Online, 26.01.2024 , https://www.lto.de/persistent/a_id/53730 (abgerufen am: 07.12.2024 )
Infos zum Zitiervorschlag