Der EuGH hat in einem aktuellen Urteil entschieden, dass allein die anhaltende Sorge, die eigenen Daten könnten missbräuchlich verwendet werden, für einen immateriellen Schadensersatz nach Art. 82 DSGVO nicht ausreicht. Dies soll jedenfalls dann gelten, wenn nachweislich ausgeschlossen werden kann, dass eine missbräuchliche Verwendung der Daten stattgefunden hat.
Der Inhalt im Überblick
Kurzzeitige Preisgabe von Daten – Schadensersatzanspruch?
Dem Urteil des Europäischen Gerichtshofs (EuGH) vom 25.01.2024, Rs. C‑687/21 lag der nachfolgende Sachverhalt zugrunde: Der Kläger, ein Kunde des Elektronikfachhändlers Saturn, machte gegenüber Saturn einen immateriellen Schadensersatzanspruch geltend. Er trug vor, ihm sei dadurch ein Schaden entstanden, dass den Mitarbeitenden bei der Warenausgabe ein Fehler passiert sei: Das von ihm erworbene Haushaltsgerät einschließlich der Kauf- und Kreditvertragsunterlagen war durch die Mitarbeitenden versehentlich einem Dritten ausgehändigt worden, der sich in der Schlange zur Warenausgabe wohl vorgedrängelt hatte. Hierdurch wurden gegenüber dem Dritten der Name des Klägers, seine Anschrift, sein Arbeitgeber und seine Einkünfte offengelegt. Der Irrtum fiel den Mitarbeitenden aber schnell auf und etwa 30 Minuten nach dem Vorfall erhielt der Kläger die Unterlagen zurück, ohne dass der Dritte vor der Rückgabe der Dokumente die Daten zur Kenntnis genommen hatte.
Der Kunde forderte dennoch nach Art. 82 DSGVO Schadensersatz von Saturn, da er aufgrund des Fehlers der Mitarbeitenden und des daraus resultierenden Risikos, die Kontrolle über die eigenen personenbezogenen Daten verloren zu haben, einen immateriellen Schaden erlitten habe.
Was hat das Gericht entschieden?
Der kurios anmutende Sachverhalt landete zunächst beim AG Hagen, das zu klären hatte, ob allein das Empfinden von Unbehagen wegen des Risikos einer künftigen missbräuchlichen Verwendung der Daten, ausgelöst durch die bloße Möglichkeit der Anfertigung von Kopien vor der Rückgabe des Dokuments, ausreicht, um einen Schadensersatzanspruch zu begründen. Das AG Hagen legte dem Gerichtshof nach Aussetzung des Verfahrens eine Reihe von Fragen zur Vorabentscheidung vor, darunter auch die Frage, ob auch dann, wenn persönliche Daten von einem Dritten überhaupt nicht zur Kenntnis genommen worden sind, ein immaterieller Schaden entsprechend Art. 82 DSGVO vorliegen kann.
Der EuGH stellte in seinem Urteil klar: Grundsätzlich könne ein immaterieller Schaden schon dann vorliegen, wenn der Betroffene befürchten müsse, dass durch einen Verstoß gegen die DSGVO ein Dritter die eigenen personenbezogenen Daten missbräuchlich verwenden könnte. Hierfür spreche der Wortlaut von Art. 82 Abs. 1 DSGVO im Licht der Erwägungsgründe 85 und 146, wonach der Begriff „immaterieller Schaden“ weit zu verstehen sei. Der EuGH argumentierte außerdem mit dem mit der DSGVO verfolgten Ziel der Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten.
Laut dem EuGH muss aber folgende Einschränkung gemacht werden: All dies gelte nur, sofern die betroffene Person tatsächlich den Nachweis erbringen könne, dass sie
„tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten [habe], wobei der bloße Verstoß gegen die Bestimmungen der DSGVO zur Begründung eines Schadensersatzanspruches nicht [ausreiche].“
Das rein hypothetische Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten könne nicht zu einer Entschädigung führen. Dies sei immer dann der Fall, wenn kein Dritter die fraglichen personenbezogenen Daten zur Kenntnis genommen habe.
Rechtssicherheit und Praxisrelevanz
Die aktuellen Feststellungen des EuGH zum immateriellen Schadensersatz dürften wenig überraschen, konkretisieren sie doch die restriktive Handhabung von immateriellen Schadensersatzansprüchen. Dass das Verlangen von Schadensersatz das Vorliegen eines nachweisbaren Schadens voraussetzt, wird für viele Unternehmen Rechtssicherheit schaffen. Die Entscheidung hat auch deswegen hohe Praxisrelevanz, da Situationen, in denen der Missbrauch von personenbezogenen Daten nur als hypothetisches Risiko besteht, oftmals eine Vielzahl an Fällen aus der Praxis betreffen, in denen ein tatsächlicher Missbrauch nur sehr schwer bis überhaupt nicht nachweisbar ist.
„Die Entscheidung hat auch deswegen hohe Praxisrelevanz, da Situationen, in denen der Missbrauch von personenbezogenen Daten nur als hypothetisches Risiko besteht, oftmals eine Vielzahl an Fällen aus der Praxis betreffen, in denen ein tatsächlicher Missbrauch nur sehr schwer bis überhaupt nicht nachweisbar ist.“
Diese Schlussfolgerung ist dem Urteil keinesfalls zu entnehmen. Das Urteil bezog sich schließlich auf den Fall, dass ein Missbrauch nachweislich ausgeschlossen werden kann. Sobald die Daten an Kriminelle abgeflossen sind oder gar im Darknet auftauchen, ist ein Missbrauch jedoch nicht auszuschließen.
Insbesondere wird unter Rn 65 erläutert, „dass die durch einen Verstoß gegen die DSGVO ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, für sich genommen einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 darstellen kann“. Die Essenz des Urteils ist, dass diese Befürchtung begründet sein muss.
Sofern man dies auf Sicherheitsvorfälle übertragen möchte, würde es nicht ausreichend sein, dass ein System eine Sicherheitslücke aufgewiesen hat die hypothetisch ein Zugriff auf die Daten ermöglich hätte, sondern die Sicherheitslücke müsste tatsächlich ausgenutzt worden sein und zu einem Datenabfluss geführt haben.
Oder um es in anderen Worten zu sagen: das Gegenteil eines hypothetischen Risikos ist nicht ein realisiertes Risiko sondern ein tatsächliches Risiko.