Ein Schadensersatzanspruch ist abhängig davon, ob ein materieller oder immaterieller Schaden entstanden ist

Ein Betroffener, der Schadensersatz verlangt, muss nicht nur den Verstoß gegen Bestimmungen der Datenschutz-Grundverordnung nachweisen, sondern auch, dass ihm dadurch ein materieller oder immaterieller Schaden entstanden ist.

Ausgangsverfahren

Der Kläger des Ausgangsverfahrens erwarb in den Geschäftsräumen eines großen Elektrogeschäfts ein Elektrohaushaltsgerät. Zu diesem Zweck erstellte ein Mitarbeiter des Geschäfts einen Kauf- und Kreditvertrag. Dabei gab er in das EDV-System von Saturn mehrere personenbezogene Daten des Kunden ein, und zwar seinen Namen und Vornamen, seine Anschrift, seinen Wohnort, den Namen seines Arbeitgebers, seine Einkünfte sowie seine Bankdaten.

Die Vertragsunterlagen mit diesen personenbezogenen Daten wurden ausgedruckt und von beiden Parteien unterzeichnet. Der Kläger brachte sie sodann den an der Warenausgabe tätigen Mitarbeitern von Saturn. Ein anderer Kunde, der sich unbemerkt vorgedrängelt hatte, erhielt daraufhin irrtümlich sowohl das vom Kläger bestellte Gerät als auch die betreffenden Unterlagen und nahm alles mit.

Der Irrtum wurde rasch bemerkt, und ein Mitarbeiter des Elektrogeschäfts erwirkte die Rückgabe des Geräts und der Unterlagen, die er sodann, etwa eine halbe Stunde, nachdem sie dem anderen Kunden ausgehändigt worden waren, dem Kläger gab. Das Unternehmen bot dem Kläger an, ihn durch unentgeltliche Lieferung des betreffenden Geräts in seine Wohnung für diesen Fehler zu entschädigen; der Kläger hielt eine solche Entschädigung jedoch für unzureichend und erhob beim Amtsgericht Hagen Klage auf Ersatz des immateriellen Schadens, den er aufgrund des Irrtums der Angestellten von Saturn und des daraus resultierenden Risikos des Verlusts der Kontrolle über seine personenbezogenen Daten erlitten habe; dabei stützte er sich u. a. auf die Bestimmungen der DSGVO.

Das Amtsgericht Hagen beschloss, das Verfahren auszusetzen und dem Europäischen Gerichtshof unter anderem folgende Frage zur Vorabentscheidung vorzulegen:

Ist es für einen Schadensersatzanspruch erforderlich, dass außer dem unberechtigten Bekanntgeben der zu schützenden Daten an einen unberechtigten Dritten ein vom Anspruchsteller darzulegender immaterieller Schaden festzustellen ist?

Urteil des EuGH

Der EuGH erließ zu dieser vorgelegten Frage folgendes Urteil:

Mit dieser Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass die Person, die aufgrund dieser Bestimmung Schadensersatz verlangt, nicht nur den Verstoß gegen Bestimmungen der DSGVO nachweisen muss, sondern auch, dass ihr dadurch ein materieller oder immaterieller Schaden entstanden ist.

Wie sich aus dem Wortlaut des Art. 82 Abs. 1 DSGVO ergibt, reicht der bloße Verstoß gegen die DSGVO nicht aus, um einen Schadensersatzanspruch zu begründen. Das Vorliegen eines „Schadens“ stellt nämlich eine der Voraussetzungen für den in Art. 82 Abs. 1 vorgesehenen Schadensersatzanspruch dar, ebenso wie das Vorliegen eines Verstoßes gegen die DSGVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind.

Speziell in Bezug auf immaterielle Schäden hat der Gerichtshof ferner entschieden, dass Art. 82 Abs. 1 DSGVO einer nationalen Vorschrift oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person im Sinne von Art. 4 Nr. 1 DSGVO entstandene Schaden eine gewisse Schwere erreicht hat.

Der Gerichtshof hat hinzugefügt, dass eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie nachteilige Folgen hatte, jedoch den Nachweis erbringen muss, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen, da der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen.

Nach alledem ist auf die Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass die Person, die aufgrund dieser Bestimmung Schadensersatz verlangt, nicht nur den Verstoß gegen Bestimmungen der DSGVO nachweisen muss, sondern auch, dass ihr dadurch ein materieller oder immaterieller Schaden entstanden ist.

Fazit:

  • Art. 82 Abs. 1 der Datenschutz-Grundverordnung ist dahin auszulegen, dass der in dieser Bestimmung vorgesehene Schadensersatzanspruch, insbesondere im Fall eines immateriellen Schadens, eine Ausgleichsfunktion hat, da eine auf sie gestützte Entschädigung in Geld es ermöglichen soll, den konkret aufgrund des Verstoßes gegen die DSGVO erlittenen Schaden vollständig auszugleichen, und keine Straffunktion erfüllt.
  • Art. 82 Abs. 1 der Datenschutz-Grundverordnung ist dahin auszulegen, dass die Person, die aufgrund dieser Bestimmung Schadensersatz verlangt, nicht nur den Verstoß gegen Bestimmungen der DSGVO nachweisen muss, sondern auch, dass ihr dadurch ein materieller oder immaterieller Schaden entstanden ist.
  • Art. 82 Abs. 1 der Datenschutz-Grundverordnung ist dahin auszulegen, dass in einem Fall, in dem ein Dokument, das personenbezogene Daten enthält, an einen unbefugten Dritten weitergegeben wurde, der diese Daten erwiesenermaßen nicht zur Kenntnis genommen hat, nicht schon deshalb ein „immaterieller Schaden“ im Sinne dieser Bestimmung vorliegt, weil die betroffene Person befürchtet, dass im Anschluss an die Weitergabe, die es ermöglichte, vor der Rückgabe des Dokuments eine Kopie von ihm anzufertigen, in der Zukunft eine Weiterverbreitung oder gar ein Missbrauch ihrer Daten stattfindet.

Fundstelle: Urteil des EuGH vom 25. Januar 2024 (Rs. C 687/21) – abrufbar im Internet unter https://curia.europa.eu/juris/document/document.jsf?text=&docid=282062&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=5164166