Der EuGh hat heute in einem weiter Urteil (EuGH C-340/21) die Voraussetzungen zum Immateriellen Schadensersatz bei Datenschutzverstößen entschieden. Der Gerichtshof hatte bereits im Juli entschieden, dass ein Anspruch auf Schadensersatz auch einen Schaden voraussetzt. Offen blieb bislang die Frage, wann denn ein Schaden vorliegt. In der Regel wird allein durch den Verlust der Daten kein offensichtlich messbarer Schaden entstehen, was bei immateriellen Schäden an sich schwierig sein dürfte. Hier wurde dann z. B. argumentiert, dass mit dem Verlust der Kontrolle über die Daten ein Unwohlsein einhergeht und darin ein Schaden zu sehen ist. Die Gerichte waren sich hier uneins. Mit dem aktuellen Urteil konkretisiert der EuGH die Voraussetzungen des immateriellen Schadensersatzes weiter (zugunsten betroffener Personen).
EuGH setzt Schwelle für Schadensersatz weiter herunter
In der Pressemeldung des EuGH vom 14.12.23 heißt es dazu:
1. Im Fall der unbefugten Offenlegung von bzw. des unbefugten Zugangs zu personenbezogenen Daten können die Gerichte aus diesem Umstand allein nicht ableiten, dass die Schutzmaßnahmen, die der für die Datenverarbeitung Verantwortliche ergriffen hat, nicht geeignet waren. Die Gerichte müssen die Geeignetheit dieser Maßnahmen konkret beurteilen.
2. Der Verantwortliche trägt die Beweislast dafür, dass die getroffenen Schutzmaßnahmen geeignet waren.
3. Im Fall der unbefugten Offenlegung von bzw. des unbefugten Zugangs zu personenbezogenen Daten durch „Dritte“ (wie Cyberkriminelle) kann der Verantwortliche gegenüber den Personen, denen ein Schaden entstanden ist, ersatzpflichtig sein, es sei denn, er weist nach, dass er in keinerlei Hinsicht für den Schaden verantwortlich ist.
4. Allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, kann einen „immateriellen Schaden“ darstellen.
Damit ist zwar nicht direkt die Frage geklärt, ob Unwohlsein per se ausreicht. Allerdings dürfte die Schwelle für einen Schaden nunmehr sehr niedrig angesetzt werden sein.
Verantwortliche müssen ausreichende Maßnahmen nachweisen
Das Urteil bringt aber noch weitere Erkenntnisse:
Im Fall einer Datenpanne muss der Verantwortliche beweisen, dass die getroffenen technischen und organisatorischen Maßnahmen geeignet waren, die personenbezogenen Daten zu schützen.
Fazit
Das Urteil wird weitreichende Folgen haben und stärkt die Rechte betroffener Personen. Als Unternehmer solltest du das Thema Datenschutz nun noch genauer beachten. In der Zukunft dürfte es vermutlich eher mehr Prozesse um Schadensersatz geben, als weniger.
