Beim Datenschutz-Verstoß kein Schadensersatz ohne Schaden
Unternehmen, Behörden und Arbeitgeber sammeln und verwenden personenbezogene Daten von Verbrauchern, um daraus Gewinn zu erzielen. Allerdings gibt es Bedenken hinsichtlich des sorglosen Umgangs mit diesen Daten, was zu Verstößen gegen Datenschutzgesetze führen kann. Lange Zeit herrschte Unklarheit darüber, wie die Datenschutzgrundverordnung (DSGVO) ausgelegt werden soll und wann ein immaterieller Schaden entsteht. Im Gegensatz zu einem materiellen Schaden, der beispielsweise durch einen fehlenden Geldbetrag auf dem Konto leicht bezifferbar ist, ist ein immaterieller Schaden schwieriger nachzuweisen. Derzeit sind dazu mehrere Vorabentscheidungsverfahren beim Europäischen Gerichtshof (EuGH) anhängig. Die Kanzlei Dr. Stoll & Sauer fasst die wichtigsten Aussagen der aktuellen Entscheidung vom 4. Mai 2023 zusammen:
- Eine Adresshändlerin aus Österreich hatte ohne Einwilligung personenbezogene Daten von Umfrageinstituten und Wahlstatistiken verknüpft, um die Parteiaffinität von Personen in ihrer Kartei zu prognostizieren. Ein Verbraucher, dessen Parteiaffinität bisher nicht öffentlich bekannt war, war darüber verärgert und hat auf Schadensersatz geklagt. Der österreichische Oberste Gerichtshof bittet den EuGH um Klärung, ob der Ärger des Verbrauchers einen immateriellen Schadensersatzanspruch begründet, ob die Pflichtverletzung allein ausreicht, um einen Schadensersatzanspruch geltend zu machen und ob der Schaden nachgewiesen werden muss.
- Konkret wollte das Gericht in Österreich wissen, ob bereits die Verletzung der DSGVO reicht, um Schadensersatz zuzusprechen, oder braucht es einen tatsächlichen Schaden. Macht das Unionsrecht weitere Vorgaben für diesen Schadensersatzanspruch? Muss für die Zuerkennung vom Schadensersatz eine Folge von zumindest einigem Gewicht vorliegen, die über bloßen Ärger hinausgeht?
- Der EuGH verknüpft in seinem Urteil den in der DSGVO vorgesehene Schadenersatzanspruch an drei kumulative Voraussetzungen:
- Erstens muss ein Verstoß gegen die DSGVO vorliegen. Der materielle oder immaterielle Schaden muss aus diesem Verstoß resultieren. Der Kausalzusammenhang zwischen dem Schaden und dem Verstoß muss zwingend bestehen. Demnach eröffnet nicht jeder Verstoß gegen die DSGVO für sich genommen den Schadenersatzanspruch.
- Zweitens darf der Schadenersatzanspruch nicht auf immaterielle Schäden beschränkt sein, die eine gewisse Erheblichkeit Die graduelle Abstufung, von der die Möglichkeit abhängt, Schadenersatz zu erhalten, könnte nämlich je nach Beurteilung durch die angerufenen Gerichte unterschiedlich hoch ausfallen. Es gibt daher keine Bagatellfälle.
- Drittens stellt die DSGVO keine Regeln zur Bemessung des Schadensersatzes zur Verfügung. Kriterien dafür müssen die Mitgliedsstaaten selbst ermitteln. Wichtig dabei ist dem Gericht, dass dabei ein vollständiger und wirksamer Schadenersatz für den erlittenen Schaden sichergestellt wird.
- Aus der Perspektive der Kanzlei Dr. Stoll & Sauer bietet das Urteil nun eine klare Rechtsgrundlage für Verbraucher und Gerichte.
- Die Aussichten der Verbraucher auf Schadensersatz sind nicht beeinträchtigt, sondern haben sich sogar verbessert. Die Konsequenzen des Verlusts eigener Daten durch eine Datenschutzverletzung können erheblich sein und zu einem Identitätsdiebstahl führen, was Betroffene verständlicherweise sehr besorgt und für schlaflose Nächte sorgen kann.
- Insbesondere bei Verstößen, die eine große Anzahl von Personen betreffen, können Unternehmen weiterhin mit erheblichen Schadensersatzforderungen konfrontiert werden. Beispielsweise kann ein Datenleck bei Facebook dazu führen, dass nicht nur das E-Mail-Konto zugespammt wird, sondern auch sensible personenbezogene Daten in die Hände von Kriminellen geraten, was zu unerwünschten Bankgeschäften oder Käufen führen kann. Daher besteht ein direkter Zusammenhang zwischen dem durch einen Datenschutzverstoß entstandenes Datenleck und dem Schaden – so wie es der EuGH in seinem Urteil fordert.
- Die Rechtsprechung lässt sich auch auf andere Aspekte des Datenschutzes, wie z.B. Schufa-Angelegenheiten, Sicherheitslücken in Unternehmen wie Twitter, Otto, Kaufland, Facebook, Revolut und generelle Verstöße gegen den Datenschutz übertragen.
- Die Kanzlei Dr. Stoll & Sauer empfiehlt Verbrauchern daher, sich anwaltlich beraten zu lassen. In einem kostenlosen Online-Check und einer kostenfreien Erstberatung können Möglichkeiten aufgezeigt werden, um den Schaden zu minimieren und Schadensersatz einzuklagen. Die Kanzlei Dr. Stoll & Sauer rät Verbrauchern daher zur anwaltlichen Beratung. Im kostenfreien Online-Check und der kostenlosen Erstberatung zeigen wir Möglichkeiten auf, den Schaden zu minimieren und Schadensersatz einzuklagen. Generell urteilen deutsche Gerichte derzeit sehr verbraucherfreundlichen und haben Unternehmen wie Facebook bereits zur Zahlung von Schadenersatz bis zu 3000 Euro verurteilt.