Immaterieller Schadensersatz bei Datenschutzverstößen

Der EuGH hat sich vorliegend mit der Frage immateriellen Schadensersatzes nach der DSGVO befasst und u.a. festgestellt, dass eine Person, die aufgrund von Art. 82 Abs. 1 DSGVO Schadensersatz verlangt, nicht nur den Verstoß gegen Bestimmungen der DSGVO nachweisen muss, sondern auch, dass ihr dadurch ein materieller oder immaterieller Schaden entstanden ist. Wird ein Dokument, das personenbezogene Daten enthält, an einen unbefugten Dritten weitergegeben, der diese Daten aber nicht zur Kenntnis nimmt, so liegt nicht schon deshalb ein "immaterieller Schaden" i.S.v. Art. 82 DSGVO vor, weil die betroffene Person befürchtet, dass im Anschluss an die Weitergabe, die es ermöglichte, vor der Rückgabe des Dokuments eine Kopie von ihm anzufertigen, in der Zukunft eine Weiterverbreitung oder gar ein Missbrauch ihrer Daten stattfindet.

Der Sachverhalt:
Der Kläger verlangt als Kunde des beklagten Elektronikfachmarktes Saturn Ersatz des immateriellen Schadens, den er aufgrund des Irrtums der Angestellten von Saturn und des daraus resultierenden Risikos des Verlusts der Kontrolle über seine personenbezogenen Daten erlitten habe; dabei stützt er sich u.a. auf die DSGVO.

Bei der Warenausgabe war das von dem Kläger bestellte Elektrohaushaltsgerät einschließlich der Kauf- und Kreditvertragsunterlagen, in denen u.a. sein Name, seine Anschrift, sein Arbeitsgeber und seine Einkünfte aufgeführt sind, irrtümlich einem anderen Kunden ausgehändigt worden. Einem Mitarbeiter der Beklagten gelang es, dass das Gerät und die Unterlagen rasch zurückgegeben wurden und der Kläger seine Unterlagen etwa eine halbe Stunde, nachdem sie dem anderen Kunden ausgehändigt worden waren, zurückerhielt.

Das vom Kläger angerufene AG Hagen hat das Verfahren ausgesetzt und dem EuGH eine Reihe von Fragen insbesondere zur Auslegung der DSGVO vorgelegt.

Die Gründe:
Unter Bezugnahme insbesondere auf seine Urteile vom 14.12.2023 (C 340/21) und vom 4.5.2023 (C 300/21) wie folgt:

Die Art. 5, 24, 32 und 82 DSGVO sind zusammen betrachtet dahin auszulegen, dass im Rahmen einer auf Art. 82 gestützten Schadensersatzklage der Umstand, dass Mitarbeiter des für die Verarbeitung Verantwortlichen irrtümlich ein Dokument mit personenbezogenen Daten an einen unbefugten Dritten weitergegeben haben, für sich genommen nicht ausreicht, um davon auszugehen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht "geeignet" i.S.d. Art. 24 und 32 waren.

Art. 82 Abs. 1 DSGVO ist dahin auszulegen, dass der in dieser Bestimmung vorgesehene Schadensersatzanspruch, insbesondere im Fall eines immateriellen Schadens, eine Ausgleichsfunktion hat, da eine auf sie gestützte Entschädigung in Geld es ermöglichen soll, den konkret aufgrund des Verstoßes gegen die DSGVO erlittenen Schaden vollständig auszugleichen, und keine Straffunktion erfüllt.

Weiterhin ist Art. 82 DSGVO dahin auszulegen, dass er nicht verlangt, dass die Schwere des von dem für die Verarbeitung Verantwortlichen begangenen Verstoßes für die Zwecke des Ersatzes eines Schadens auf der Grundlage dieser Bestimmung berücksichtigt wird.

Die Auslegung von Art. 82 Abs. 1 DSGVO ergibt, dass die Person, die aufgrund dieser Bestimmung Schadensersatz verlangt, nicht nur den Verstoß gegen Bestimmungen der DSGVO nachweisen muss, sondern auch, dass ihr dadurch ein materieller oder immaterieller Schaden entstanden ist.

Und schließlich ist Art. 82 Abs. 1 DSGVO dahin auszulegen, dass in einem Fall, in dem ein Dokument, das personenbezogene Daten enthält, an einen unbefugten Dritten weitergegeben wurde, der diese Daten erwiesenermaßen nicht zur Kenntnis genommen hat, nicht schon deshalb ein "immaterieller Schaden" im Sinne dieser Bestimmung vorliegt, weil die betroffene Person befürchtet, dass im Anschluss an die Weitergabe, die es ermöglichte, vor der Rückgabe des Dokuments eine Kopie von ihm anzufertigen, in der Zukunft eine Weiterverbreitung oder gar ein Missbrauch ihrer Daten stattfindet.

Mehr zum Thema:

Aufsatz:
Unternehmenshaftung unter der DSGVO nach "Deutsche Wohnen" – Verschuldenshaftung ohne Zurechnungserfordernis
Jan-Michael Grages / Laurenz Strassemeyer,
CR 2024, 10
CR0062910

Rechtsprechung:
Immaterieller Schaden durch Hackerangriff
EuGH vom 14.12.2023 - C-340/21
Patrick Grosmann / Christoph Bausewein, ITRB 2024, 32
ITRB0063498

Rechtsprechung:
EuGH: Voraussetzungen für immateriellen Schadensersatz nach Art. 82 DSGVO
EuGH vom 04.05.2023 - C-300/21
CR 2023, 436
CR0056893

Beratermodul IT-Recht:
Die perfekte Online-Ausstattung für das IT-Recht: Stets auf dem aktuellsten Stand mit den Inhalten aller Ausgaben von Computer und Recht und IT-Rechtsberater sowie den Updates von Redeker, Handbuch der IT-Verträge. Hier das informative Rezensions- und Anwendungsvideo von RA Michael Rohrlich und Marc Oliver Thoma ansehen! Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! 4 Wochen gratis nutzen!

Beratermodul Datenschutzrecht:
Die perfekte Online-Ausstattung für das Datenschutzrecht (DSGVO/BDSG). Jetzt mit Top-Inhalten zum Datenschutzrecht aus dem C.F. Müller Verlag. Hier das informative Rezensions- und Anwendungsvideo von RA Michael Rohrlich und Marc Oliver Thoma ansehen! Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! 4 Wochen gratis nutzen!