Allein die anhaltende Sorge, die eigenen Daten könnten missbräuchlich verwendet werden, reichen nicht aus, um einen immateriellen Schadensersatz nach Art. 82 DSGVO zu begründen. Dies gilt jedoch nur dann, wenn nachweislich ausgeschlossen werden kann, dass es zu keiner missbräuchlichen Verwendung der Daten gekommen ist.Eine Erheblichkeitsschwelle besteht nicht, jedoch muss ein Schaden nachgewiesen werden können.
Leitsatz des Urteils
Zum Sachverhalt
Bei dem Kläger handelte es sich um einen Kunde des Elektronikfachhändlers Saturn. Dem Mitarbeitenden passierte bei der Warenausgabe ein Fehler. Das vom Kläger erworbene Haushaltsgerät einschließlich der Kauf- und Kreditvertragsunterlagen war durch die Mitarbeitenden versehentlich einem Dritten ausgehändigt worden, der sich in der Schlange zur Warenausgabe wohl vorgedrängelt hatte. Der Kläger machte daraufhin gegenüber Saturn einen immateriellen Schadensersatzanspruch geltend. Er begründete dies damit, dass durch den Fehler einem Dritten gegenüber seinen Namen, seine Anschrift, sein Arbeitgeber und seine Einkünfte offengelegt worden wären.
Obwohl dem Mitarbeitenden der Fehler schnell bemerkte und der Kläger die Unterlagen zurückerhielt, ohne dass der Dritte vor der Rückgabe der Dokumente die Daten zur Kenntnis genommen hatte, forderte er nach Art. 82 DSGVO Schadensersatz von Saturn.
Der Kläger war der Ansicht, dass er aufgrund des Fehlers der Mitarbeitenden und des daraus resultierenden Risikos, die Kontrolle über die eigenen personenbezogenen Daten verloren zu haben. Hieraus begründe sich ein immaterieller Schaden seinerseits.
Die Entscheidung des Gerichts bei immateriellen Schaden
Das Gericht war der Ansicht, ein immaterieller Schaden grundsätzlich schon dann vorliegen könnte, wenn der Betroffene befürchten müsse, dass durch einen Verstoß gegen die DSGVO ein Dritter die eigenen personenbezogenen Daten missbräuchlich verwenden könnte. Der EuGH bezog sich hier auf den Wortlaut des Art. 82 Abs. 1 DSGVO und legte diesen im Licht der Erwägungsgründe 85 und 146 aus. Hiernach ist der Begriff „immaterieller Schaden“ weit auszulegen. Auch sei es laut EuGH gerade das Ziel der DSGVO ein hohes Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten zu gewährleisten.
Dies gelte allerdings nur dann, wenn die betroffene Person tatsächlich den Nachweis eines tatsächlich eingetretenen Schadens vorbringen könne. Der bloße Verstoß gegen die Bestimmungen der DSGVO reiche nicht aus, um einen Schadensersatzanspruch begründen zu können. Folglich reicht in rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten nicht aus, um einen Schadensersatzanspruch begründen zu können. Wenn kein Dritter die fraglichen personenbezogenen Daten zur Kenntnis genommen hat, kann auch kein Schaden entstanden sein.
Zum Urteil
Der EuGH nennt also hier die Voraussetzungen, die für die Begründung eines Schadensersatzanspruchs vorliegen müssen:
Es muss ein Verstoß gegen die DS-GVO vorliegen
Es muss ein Schaden entstanden sein
Der Verstoß gegen die DS-GVO muss kausal für den eingetretenen Schaden sein.
Ausreichend für die Begründung des Schadens ist die Darlegung, sowie der Beweis einer subjektiven Beeinträchtigung. Es ist nicht entscheidend, worin diese Beeinträchtigung letztlich gelegen hat oder ob diese erheblich war.
Was ist zu tun?
Möchte man also einen Schadensersatzanspruch geltend machen, so muss ein nachweisbarer Schaden entstanden sein, wobei eine Erheblichkeit des Schadens nicht erforderlich ist. Ein rein hypothetisches Risiko, dass ein Schaden hätte entstehen können, reicht nicht aus.
Ein Datenschutzvorfall lässt nicht zwingend den Schluss zu, dass dieser auch zu einer Verletzung der Sicherheitsanforderungen der DS-GVO geführt hat.
Datenverarbeitern können jedoch dann haftbar gemacht werden, wenn Unbefugte Dritte Zugang zu den Daten erhalten und sie sich nicht exkulpieren können. Den Verantwortlichen trifft also eine Rechenschaftspflicht, Art. 5 Abs. 2 DS-GVO. Er trägt die Beweislast, dass er auszureichende Sicherungsmaßnahmen getroffen hat.
Konkret heißt das, Datenbearbeitern ist zu raten, geeignete Sicherheitsmaßnahmen zu ergreifen, um sich im Fall eines eingetretenen Schadens wegen fehlenden Verschuldens exkulpieren zu können.