Stellen Sie sich vor, Sie kaufen in einem Elektronikmarkt ein und geben vertrauliche Informationen für eine Finanzierung an. Nun erfahren Sie, dass Ihre persönlichen Daten aus Versehen einem Fremden ausgehändigt wurden. Sicherlich würden Sie sich sorgen, vielleicht sogar Schadensersatz fordern. Ein Kunde der Elektronikfachmarktkette Saturn erlebte genau dieses Szenario und verlangte Schadensersatz nach Art. 82 DSGVO. Der Fall ging hoch bis zum EuGH. Der entschied: Kein Schadensersatz bei bloß hypothetischen Risiken.
War war geschehen?
In dem verhandelten Fall hatte ein Kunde der Elektronikfachmarktkette Saturn geklagt, weil seine Kauf- und Finanzierungsunterlagen versehentlich an einen anderen Kunden ausgehändigt wurden. Diese enthielten sensible Daten wie Adresse, Arbeitgeber und Einkommen. Glücklicherweise wurde der Fehler schnell bemerkt und korrigiert und der Kunde erhielt seine Ware eine knappe halbe Stunde später ausgehändigt.
Der Kunde fühlte sich dennoch verletzt und klagte auf Schadensersatz nach Art. 82 Datenschutz-Grundverordnung (DSGVO). Sein Argument: Schon das bloße Risiko, dass seine Daten missbraucht werden könnten, rechtfertige eine Entschädigung nach Art. 82 DSGVO.
EuGH: kein DSGO-Schadensersatz bei bloß theoretischen Risiken
Doch der EuGH urteilte anders und lehnte einen Schadensersatzanspruch ab. Ein rein hypothetisches Risiko oder die bloße Angst, dass Daten missbraucht werden könnten, reiche nicht aus, um Schadensersatzansprüche nach Art. 82 DSGVO zu begründen.
Der EuGH verwies insofern auf sein Urteil vom 14. Dezember 2023 (C‑456/22), in dem er entschieden hatte, dass die Angst einer Person, ihre Daten könnten missbraucht werden, zwar grundsätzlich einen „immateriellen Schaden“ darstellen könne. Allerdings müsse dieser Schaden real und nachweisbar sein. Ein bloßer Verstoß gegen DSGVO-Bestimmungen oder ein lediglich hypothetisches Risiko reicht nicht aus.
Unter Anwendung dieser Grundsätze entschied der EuGH im vorliegenden Fall, dass kein immaterieller Schaden vorliegt, da die Daten des Klägers nicht wirklich missbraucht wurden und es nur eine unbegründete Befürchtung gab, dass dies in Zukunft passieren könnte.
"Desgleichen ist im vorliegenden Fall festzustellen, dass es sowohl mit dem Wortlaut von Art. 82 Abs. 1 DSGVO als auch mit dem Schutzziel dieser Verordnung im Einklang steht, dass der Begriff „immaterieller Schaden“ eine Situation umfasst, in der die betroffene Person die begründete Befürchtung hegt (…), dass einige ihrer personenbezogenen Daten künftig von Dritten weiterverbreitet oder missbräuchlich verwendet werden, weil ein Dokument, das diese Daten enthält, an einen unbefugten Dritten weitergegeben wurde, der in der Lage war, vor der Rückgabe des Dokuments Kopien von ihm anzufertigen.
Gleichwohl obliegt es demjenigen, der eine auf Art. 82 DSGVO gestützte Schadensersatzklage erhebt, das Vorliegen eines solchen Schadens nachzuweisen. Insbesondere kann ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten nicht zu einer Entschädigung führen. Dies ist der Fall, wenn kein Dritter die fraglichen personenbezogenen Daten zur Kenntnis genommen hat.
Daher ist (...) Art. 82 Abs. 1 DSGVO dahin auszulegen (...), dass in einem Fall, in dem ein Dokument, das personenbezogene Daten enthält, an einen unbefugten Dritten weitergegeben wurde, der diese Daten erwiesenermaßen nicht zur Kenntnis genommen hat, nicht schon deshalb ein „immaterieller Schaden“ im Sinne dieser Bestimmung vorliegt, weil die betroffene Person befürchtet, dass im Anschluss an die Weitergabe, die es ermöglichte, vor der Rückgabe des Dokuments eine Kopie von ihm anzufertigen, in der Zukunft eine Weiterverbreitung oder gar ein Missbrauch ihrer Daten stattfindet."
EuGH, Urt. v. 25.01.2024 - Az.: C-687/21
Praxishinweis:
Zusammengefasst bedeutet das Urteil, dass Betroffene nur dann Anspruch auf Schadensersatz nach Art. 82 DSGVO haben, wenn tatsächlich ein Schaden entstanden ist und sie diesen nachweisen. Ein bloß theoretisches Risiko der missbräuchlichen Verwendung von Daten rechtfertigt ebenso wenig einen Schadensersatz nach Art. 82 DSGVO wie die bloße Angst vor einem möglichen Datenmissbrauch.
Betroffene, die Schadensersatz wegen eines Verstoßes gegen die DSGVO fordern, müssen daher umfassend und sorgfältig vortragen. Allein ein Verstoß gegen die DSGVO rechtfertigt keinen Schadensersatz. Auch dürfen sie sich nicht nur der üblichen allgemeinen Floskeln wie "Kontrollverlust" und "Angst" bedienen. Erforderlich ist vielmehr ein Vortrag dahingehend, dass es bereits zu tatsächlichen Einbußen (z.B. Kontoabbuchungen) oder körperlichen Beschwerden (Zusammenbruch) gekommen ist. Diese Behauptungen müssen Betroffene im Zweifel auch beweisen können.