Mittwoch, 23. Oktober 2024

Schadensersatz nach DSGVO

Prof. Dr. Hervé Edelmann, Fachanwalt für Bank- und Kapitalmarktrecht, Thümmel, Schütze & Partner, Stuttgart

 

In seiner Entscheidung vom 20.06.2024, C 182/22 sowie 189/22 (DB 2024, 1671), in welcher es um den Anspruch eines Verbrauchers auf immateriellen Schadensersatz nach § 82 DSGVO ging, welcher dem Verbraucher dadurch entstanden sein soll, dass unbekannte Dritte solche bei einer von einem Unternehmen betriebenen Trading-App hinterlegte persönliche Daten durch Diebstahl entwendet hatten, wiederholt der EuGH seine bereits in früheren Entscheidungen aufgestellten Grundsätze zu Ansprüchen auf Schadensersatz gemäß § 82 DSGVO (vgl. zu diesen Schadensersatzgrundsätzen die Beiträge in Banken-Times-SPEZIAL Bankrecht (BTS), Ausgabe Mai 2024, S. 38 sowie Ausgabe Februar 2024, S. 4 ff.). So erinnert der EuGH zunächst daran, dass der in Art. 82 Abs. 1 DSGVO vorgesehene Schadensersatzanspruch, insbesondere im Fall eines immateriellen Schadens, ausschließlich eine Ausgleichsfunktion erfüllt, da eine auf diese Bestimmung gestützte finanzielle Entschädigung es nur ermöglichen soll, den konkret aufgrund des Verstoßes gegen die DSGVO erlittenen Schaden in vollem Umfang auszugleichen. Insofern komme dem Art. 82 Abs. 1 DSGVO keine Abschreckungs- oder Straffunktion zu (Rn. 23 f.).

Sodann erinnert der Bundesgerichtshof daran, dass der Grad der Schwere ebenso wie die etwaige Vorsätzlichkeit eines etwaig begangenen Verstoßes gegen die DSGVO bei der Bemessung der Höhe des Schadensersatzes keine Rolle spielen (Rn. 29 f.). Unter Hinweis darauf, dass der Entschädigung nach Art. 82 Abs. 1 DSGVO ausschließlich Ausgleichsfunktion zukommt, gelangt der EuGH wiederum zum Ergebnis, dass ein solcher durch eine Verletzung des Schutzes personenbezogener Daten verursachter Schaden seiner Natur nach nicht weniger schwerwiegend ist als eine Körperverletzung. Demgemäß müsse die Entschädigung den aufgrund des Verstoßes erlittenen Schaden ausgleichen; dies unabhängig davon, ob es sich um einen physischen, materiellen oder immateriellen Schaden handelt (Rn. 35–39).

Hieran anschließend hält der EuGH fest, dass für die Gewährung eines Schadensersatzanspruches nach Art. 82 Abs. 1 DSGVO kumulativ drei Voraussetzungen zwingend vorliegen müssen, nämlich

  • die Verarbeitung personenbezogener Daten muss unter Verstoß gegen die Bestimmungen der DSGVO erfolgen,
  • der vom Verstoß betroffenen Person muss ein konkreter Schaden entstanden sein, welcher von der betroffenen Person zu beweisen ist, und
  • schließlich muss ein Kausalzusammenhang zwischen der rechtswidrigen Datenverarbeitung und dem nachgewiesenen Schaden bestehen (Rn. 41 f. sowie 57).

Sodann verweist der EuGH (erneut) darauf, dass ein zu ersetzender Schaden i. S. v. Art. 82 Abs. 1 DSGVO keine Bagatellgrenze überschreiten muss, weswegen auch ein nur geringfügiger Schaden auszugleichen ist (Rn. 44 ff.).

Sodann setzt sich der EuGH mit dem Begriff des Identitätsdiebstahls auseinander und gelangt zum Ergebnis, dass der Zugang zu personenbezogenen Daten und die Übernahme der Kontrolle über solche Daten, die mit einem Diebstahl dieser Daten gleichgesetzt werden könnten, für sich genommen nicht mit einem Identitätsdiebstahl oder -betrug i. S. d. DSGVO gleichzusetzen sind, mit der Konsequenz, dass der Diebstahl personenbezogener Daten für sich genommen keinen Identitätsdiebstahl oder -betrug darzustellen vermag (Rn. 55). Demgemäß sei der Begriff des Identitätsdiebstahls nur dann erfüllt und ein Anspruch auf Ersatz des immateriellen Schadens nur dann begründet, wenn ein Dritter die Identität einer Person, die von einem Diebstahl personenbezogener Daten betroffen ist, tatsächlich angenommen hat, wobei klargestellt wird, dass der Ersatz eines durch den Diebstahl personenbezogener Daten verursachter immaterieller Schaden nicht auf die Fälle beschränkt werden könne, in denen nachgewiesen wird, dass ein solcher Diebstahl von Daten anschließend zu einem Identitätsdiebstahl oder -betrug geführt hat (Rn. 57).

In seiner weiteren Entscheidung vom 20.06.2024, C 590/22 (DB 2024, 1667), wiederholt der EuGH seine in vorstehender Entscheidung aufgestellten Grundsätze und führt ergänzend noch aus, dass die Befürchtung einer Person, deren personenbezogene Daten aufgrund eines Verstoßes gegen die DSGVO an Dritte weitergegeben wurden, ohne dass nachgewiesen werden kann, dass dies tatsächlich der Fall war, ausreicht, um einen Schadensersatzanspruch zu begründen, sofern diese Befürchtung samt ihrer negativen Folgen ordnungsgemäß nachgewiesen ist (Rn. 36). Insofern kann die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen nicht zu einem Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO führen (Rn. 35). Ferner erinnert der EuGH daran, dass die Kriterien für die Bestimmung einer Geldbuße gemäß Art. 83 DSGVO bei der Bemessung der Höhe des Schadensersatzes gemäß Art. 82 DSGVO nicht herangezogen werden können (Rn. 38–40).

Schließlich hält der EuGH fest, dass bei der Bemessung der Höhe des Schadensersatzanspruches nach Art. 82 Abs. 1 DSGVO weitere Verstöße gegen nationale Vorschriften, die Bestimmungen der DSGVO nicht präzisieren, nicht zu berücksichtigen sind (Rn. 46–49).


PRAXISTIPP

Mit vorstehenden Entscheidungen hat der EuGH seine bereits zuvor aufgestellten Grundsätze bestätigt und nochmals vertieft, sodass die nationalen Gerichte nunmehr ausreichende Anhaltspunkte dafür haben sollten, die Erfüllung welcher Voraussetzungen für die Gewährung eines immateriellen Schadensersatzanspruches nach Art. 82 Abs. 1 DSGVO erfüllt sein müssen und welche Kriterien bei der Bemessung der Höhe der Entschädigung nicht zu berücksichtigen sind. Insgesamt stehen folgende Grundsätze nach hiesiger Auffassung fest:

  • Der bloße Verstoß gegen die DSGVO reicht nicht aus, um einen immateriellen Schadensersatzanspruch auch nach Art. 82 Abs. 1 DSGVO zu begründen. Der vermeintlich Geschädigte muss vielmehr neben dem Verstoß gegen Bestimmungen der DSGVO zudem nachweisen, dass ihm durch diesen Verstoß ein ganz konkreter Schaden – so geringfügig dieser auch sein mag – tatsächlich entstanden ist. Die Verletzung einer Regelung der DSGVO begründet dabei nicht die Vermutung eines Schadens.
  • Dem Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO kommt keine Abschreckungs-, Straf- oder Genugtuungsfunktion zu. Ihm kommt vielmehr ausschließlich eine reine Ausgleichsfunktion zu.
  • Materieller Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO ist auch dann zu gewähren, wenn der entstandene Schaden eine besondere Erheblichkeit oder Schwere nicht zu überschreiten vermag. Insofern sind selbst geringfügige Bagatellschäden zu ersetzen, wenn diese vom vermeintlich Geschädigten konkret nachgewiesen werden.
  • Weder die Schwere eines Verstoßes noch eine etwaige Vorsätzlichkeit des Verantwortlichen oder der Grad des Verschuldens dürfen bei der Bemessung der Höhe der Entschädigung berücksichtigt werden. Unbeachtlich ist auch, ob der Verantwortliche zugleich mehrere Verstöße begangen oder weitere Verstöße gegen nationale Vorschriften verwirklicht hat.
  • Bei der Bemessung der Höhe der Entschädigung ist weiter zu berücksichtigen, dass der Schaden, der durch eine Verletzung des Schutzes personenbezogener Daten entstanden ist, seiner Natur nach nicht weniger schwerwiegend ist als ein durch eine Körperverletzung verursachter Schaden, weswegen dahingehende immaterielle Schäden nicht geringer zu bemessen sind als erlittene Körperverletzungen.
  • Letztendlich erfolgt die Bemessung der Höhe des immateriellen Schadensersatzes mangels Vorgaben in der DSGVO nach nationalen Regeln durch die nationalen Gerichte, wobei hierbei die europarechtlichen Grundsätze der Äquivalenz und der Effektivität zu wahren sind.

Damit steht zugleich fest, dass die nationalen Gerichte selbst entscheiden und entsprechende Grundsätze dafür aufstellen müssen, wann beispielsweise negative Gefühle, Ängste oder Sorgen, welche über das allgemeine Lebensrisiko hinausgehen, einen konkret zu ersetzenden Schaden i. S. d. DSGVO darstellen können, was im Wesentlichen davon abhängen dürfte, wie konkret und substantiiert der vermeintlich Geschädigte die ihm angeblich durch negative Gefühle, Ängste und Sorgen entstandenen (Gesundheits-)Schäden behauptet und letztendlich auch beweist.


Beitragsnummer: 22775

Beitrag teilen:

Produkte zum Thema:

Produkticon
NEUE BAIT – Neuerungen aufsichtskonform umsetzen

89,00 € inkl. 7 %

Beiträge zum Thema:

Beitragsicon
Immaterieller Schadensersatz bei DSGVO-Verstoß

Der EuGH stellt erneut klar, dass nur bei Nachweis eines tatsächlichen DSGVO-Verstoß dem Geschädigten ein immateriellen Schadensersatzanspruch zustehen könne.

14.05.2024

Beitragsicon
Aufklärungspflicht bei Avalkredit mit Stopp-Loss-Vereinbarung

Nach BGH lag kein konkludenter Abschluss eines Finanzierungsberatungsvertrages mit auslösenden weitgehende Beratungspflichten vor.

17.04.2025

Beitragsicon
Löschen – aber nun wirklich

Regelmäßiges Löschen personenbezogener Daten ist essenziell – nach Ablauf der Archivierungsfristen und mit zentralen Maßnahmen, besonders durch die IT.

18.03.2025

Beitragsicon
BGH äußert sich zum Anspruch auf „Kopie“ nach Art. 15 Abs. 3 DSGVO

Sofern ein Dokument nicht von der betroffenen Person selbst stammt, besteht nach BGH-Auffassung grundsätzlich keine Verpflichtung zur Herausgabe dessen Kopie.

17.04.2024

Beitragsicon
Widerrufsrecht bei Null-Prozent-Finanzierung

OLG Karlsruhe: Null-Prozent–Finanzierungen sind weder entgeltliche Verbraucherdarlehensverträge noch entgeltliche Verbraucherverträge i.S.d. Fernabsatzrechts.

17.04.2025

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit dem Tool Matomo aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Matomo.