In Unserem Beitrag – Wichtige Entscheidung zur DSGVO – haben wir bereits auf die Entscheidung des Europäischen Gerichtshof (EuGH) vom 4. Mai 2023 zur DSGVO und dem immateriellen Schadensersatz hingewiesen.
Mit dem Urteil vom 4. Mai 2023 – Rs. C-300/21 hat der EuGH die Rechte der Betroffenen aus der Datenschutzgrundverordnung (DSGVO) enorm gestärkt.
- In dem Urteil wurde durch den EuGH entschieden, dass der Anspruch auf immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO nicht davon abhängt, dass der entstandene Schaden eine gewisse Erheblichkeitsschwelle erreicht.
- Nach Ansicht des EuGH sollen vielmehr die nationalen Gerichte einen „vollständigen und wirksamen Schadenersatz für den erlittenen Schaden“ sicherstellen (Urt. v. 04.05.2023, Rs. C-300/21).
- Diese Entscheidung erleichtert für Betroffene die Möglichkeit, Ihre Rechte aus der DSGVO geltend zu machen und eine Entschädigung zu erhalten.
Die wichtigsten Feststellungen und Antworten des EuGH im Urteil auf die vorgelegten Fragen sind folgende:
Reicht bereits die Verletzung der DSGVO aus, um einen Schadensersatzanspruch bejahen zu können?
Ein bloßer Verstoß reiche nicht, um einen Schadensersatzanspruch für betroffene Personen eröffnet. Weiter wird festgestellt, dass nach dem Wortlaut der DSGVO, insbesondere des Art. 82 ein tatsächlicher Schaden Voraussetzung für einen Schadensersatzanspruch ist. Weiter ist Voraussetzung, dass ein Kausalzusammenhang zwischen dem Schaden und dem Verstoß bestehe. Dies so der EuGH folgt aus den Erwägungsgründen 75 und 85 der DSGVO.
Hinsichtlich der durch das österreichische Gericht vorgelegten dritten Frage, ob für den Schadensersatz die Folge einen bestimmten Grad an Erheblichkeit erreicht haben muss, die über ein bloßes Ärgernis hinausgeht?
Der Begriff des Schadens sei in der DSGVO nicht definiert und ist weit gefasst. dass die DSGVO, insbesondere Art. 82 sich nicht auf materiellen Schaden beschränkt, sondern auch immaterielle Schäden umfasst werden, welche gerade nicht eine gewisse Erheblichkeit erreichen müssen. Hierzu hat der EuGH geurteilt, der Schadenersatzanspruch sei nicht auf immaterielle Schäden beschränkt, die eine gewisse Erheblichkeit aufweisen muss.
Zur weiteren Frage, ob die DSGVO Vorgaben für den Schadensersatzanspruch enthält, teilt der EuGH folgendes mit:
Art. 82 der DSGVO hat eine Ausgleichsfunktion und soll einen vollständigen und wirksamen Schadensersatz sicherstellen. Weiter wird festgehalten, dass die DSGVO den durch den Verstoß erlittenen Schaden in vollem Umfang ausgleichen soll.
Höhe des Schadensersatzes
Art. 82 DSGVO enthält keine Vorgaben dazu, wie der Schadensersatz zu berechnen ist. Nach Erwägungsgrund 146 der DSGVO sollten betroffenen Personen vollständigen und wirksamen Ersatz für den erlittenen Schaden erhalten.
Der EuGH ist der Ansicht, dass es den nationalen Gerichten obliegt, die konkrete Höhe des Schadensersatzes unter Anwendung der jeweiligen nationalen Vorschriften festzustellen. Voraussetzung ist, dass die nationale Rechtsordnung solche Ansprüche als Rechtsbehelfe zusätzlich zu den Rechtsbehelfen der DSGVO bereitstelle.
In Erwägungsgrund 85 wird jedoch bereits der Verlust der Kontrolle über personenbezogenen Daten als Schaden nach der DSGVO angesehen. In derartigen Datenschutzverstößen ist ein Schaden bereits darin zu sehen, dass die Daten in die Hände von Dritten gelangen.
Normalerweise sei es auch bei der Geltendmachung eines immateriellen Schadens erforderlich, dass die betroffene Person den Schaden darlegt und beweist.
Dies ist nunmehr nicht erforderlich, eben weil der Erwägungsgrund 85 den Verlust der Daten explizit als Schaden aufführt. Kann jedoch ein konkreter Schaden nachgewiesen werden, führt dies zu einem höheren immateriellen Schadensersatz.
Welche Auswirkungen hat das für Datenlecks bei Facebook, Deezer und Co.??
Sowohl Facebook als auch der Streaming-Dienst Deezer haben mit den Datenlecks zu kämpfen. Bei Deezer wurden mehr als 230 Millionen Datensätze von Deezer-Nutzern gestohlen und im Internet zum Kauf angeboten. Bei Facebook hingegen ist das Ausmaß größer.
Von mehr als 530 Millionen Facebook-Kunden, darunter Daten von rund 6 Millionen Menschen aus Deutschland, sollen im Internet veröffentlicht worden sein.
Die Daten wurden aufgrund einer Sicherheitslücke von Facebook erbeutet. Nach Aussagen von Facebook soll die Sicherheitslücke bereits 2019 behoben worden sein.
Zu den betroffenen Daten gehören beispielsweise Handynummern, Geburtstage, Arbeitgeber, geographische Standorte, Namen und Telefonnummern.
Seit dem Datenleck 2019 und dem öffentlichen Wahrnehmung 2021 schwappen riesige Wellen an Spam-Anrufen, SMS und Mails über die betroffenen Verbraucher.
Betroffene haben jetzt viel leichter die Möglichkeit, Schadensersatz zu fordern. Das Landgericht (LG) Zwickau hat mit Urteil vom 14.09.2022 – Az. 7 O 334/22 Facebook zu einer Schadenersatzzahlung von 1.000 EUR verurteilt. Auch das Landgericht Paderborn hat mit Urteil vom 13.12.2022 (Az.: 2 O 212/22) dem Besitzer eines Facebook-Profils 500 Euro Schadensersatz zugesprochen.
Das Landgericht Oldenburg bspw. hat mit Urteil vom 8. Oktober 2022 – Az. 5 O 1809/22 – entschieden, dass Facebook einem Nutzer Schadenersatz in einer Höhe von insgesamt 3.000 Euro zahlen muss.
Sowohl Betroffene von Facebook als auch von Deezer sollten folgendes unternehmen:
Gemäß Art. 15 DSGVO haben Betroffene ein Auskunftsrecht. Dieser Auskunftsanspruch umfasst folgende Informationen:
- Welche Daten hat das Unternehmen gespeichert?
- Zu welchem Zweck werden die Daten verarbeitet?
- An wen erfolgt möglicherweise eine Weitergabe?
Facebook und Deezer sind gesetzlich verpflichtet innerhalb einer Frist von einem Monat Auskunft zu geben und auf Ihre Anfrage zu antworten. Wichtig ist, dass eine schriftliche Anfrage erfolgt.
Wird die Frist von Facebook und Deezer nicht eingehalten, besteht die Möglichkeit, eine Beschwerde bei der zuständigen Datenschutz-Aufsichtsbehörde einzureichen.
Was steht Ihnen zu?
Sie haben vermutlich Anspruch auf Schadensersatz von bis zu 5.000 EUR.
Nach Artikel 82 DSGVO steht Betroffenen bei Verstößen gegen die DSGVO ein Anspruch auf Ersatz des entstandenen Schadens zu.
Der Schaden kann sowohl materiell als auch immateriell sein. Dies nun umso mehr nach dem hier aufgeführten und dargestelltem Urteil des Europäischen Gerichtshofes (EuGH).
Facebook, Deezer und Co. sind dafür verantwortlich, die technische Sicherheit zu gewährleisten und bspw. Hackerangriffe bzw. den Kontrollverlust über die Daten zu verhindern.
Die Höhe des Schadensersatzes ist individuell. Hier kommt es zum Beispiel darauf an, wie hoch der Schaden ist, den Sie erlitten haben.
Fazit der Entscheidung des EuGH und den Rechten der Betroffenen auf Schadensersatz:
Mit seiner Entscheidung widerspricht der EuGH der Auffassung des Bundesarbeitsgerichts (BAG), da das BAG der Ansicht ist, dass bereits der Verstoß gegen eine Vorschrift der DSGVO einen Anspruch auf Schadensersatz begründen (8AZR 253/20) könne, aber trotzdem haben Betroffene gute Chancen auf Schadensersatz aufgrund des Urteils des EuGH.
Der EuGH trifft zwar die Aussage, dass ein bloßer Verstoß gegen die DSGVO keinen Schadensersatz begründe, jedoch ist der EuGH mit seinem Urteil nicht den Anträgen des Generalanwalts gefolgt. Letzterer hatte in seinen Schlussanträge die Auffassung vertreten, dass die Folge des Verstoßes und für den immateriellen Schadensersatz eine gewisse Erheblichkeit vorhanden sein müsse, welche über das bloße Ärgernis hinausgehen.
In der Begründung zur DSGVO – genauer gesagt in Erwägungsgrund 85 – steht explizit, dass bereits „der Verlust der Kontrolle über personenbezogenen Daten“ ein Schaden nach der DSGVO ist.
Ausführliche Infos zur Vorlage des Obersten Österreichischen Gerichtshofes und des Bundesarbeitsgerichts sowie den Schlussanträge der Generalanwälte am EuGH finden Sie hier – Wichtige Entscheidung des EuGH zur DSGVO
LOIBL LAW vertritt zahlreiche Betroffene im IT- und Datenschutzrecht, insbesondere bei Datenschutzrechtsverstößen.
LOIBL LAW – die Rechtskanzlei, Ihre Experten im IT-Recht und Datenschutz!
WIR handeln schnell, unkompliziert und lösungsorientiert. Unser Ziel, Ihre Rechte Sichern und schützen!
Sie können sich jederzeit unverbindlich unter 0991/38306131, per E-Mail mail@loibl-law.de oder WhatsApp-Business unter 099138306131 oder über die weiteren Kontaktmöglichkeiten auf unserer Website www.loibl-law.de mit der Online-Chat-Funktion melden.
Weitere Infos und Antworten zum IT-Recht und Datenschutz finden Sie auf unserer Website – LOIBL LAW oder unter den News
Ihr Team von LOIBL LAW!
Über uns
Herr Loibl hat die Kanzlei im August 2019 gegründet. Er hat sein Rechtswissenschaftliches Studium an der Universität Passau absolviert. Während des Referendariats am OLG München folgten Stationen bei der Staatsanwaltschaft Deggendorf, dem Landgericht Deggendorf.
Vor seinem Studium der Rechtswissenschaften war Herr Loibl bereits mehrere Jahre im Öffentlichen Dienst bei verschiedenen Behörden tätig.
Sie haben Fragen?
Reden Sie mit uns, wir helfen Ihnen und freuen uns auf Ihre Nachricht.