Der EuGH setzt seine Rechtsprechung fort und stärkt in Bezug auf immateriellen Schadensersatz nach Verletzung der EU-Datenschutzgrundverordnung – kurz DSGVO – erneut die Verbraucherrechte.
Allein die Befürchtung die Daten von Betroffenen könnten unrechtmäßig weitergegeben werden oder für andere Zwecke, wie einem Identitätsdiebstahl missbraucht werden, reicht nach Ansicht des EuGH aus, um einen Anspruch auf Schadensersatz zu begründen.
Zwei deutsche Gerichte hatten dem EuGH im Rahmen eines jeweiligen Vorabentscheidungsersuchen einige Fragen hinsichtlich der Voraussetzungen des immateriellen Schadensersatzes nach Art. 82 DSGVO vorgelegt.
In zwei Urteilen vom 20. Juni 2024 – Az. Rs C-590/22 und Rs C-182/22 und Rs C-189/22 die Verbraucherrechte erneut gestärkt und führt seine bisherige Rechtsprechung mit den Urteilen vom 04.05.2023 (Az.C-300/21), 14.12.2023 (Az. C-456/22) und vom 11.04.2024 (Az. C‑741/21) fort.
Lesen Sie hierzu unsere Beiträge – EuGH vom 04.05.2023 und EuGH vom 11.04.2024.
Der EuGH bleibt seiner Linie treu und stärkt wiederholt die Rechte der Betroffenen von Datenschutzverstößen.
Kurz und knapp
- Schadensersatz Betroffener wegen Verstoß gg. die DSGVO einfacher durchsetzbar.
- Befürchtung, Datenmissbrauch könnte erfolgen, reicht aus.
- Kontrollverlust über personenbezogene Daten gehören zu Schäden nach der DSGVO.
- Unternehmen die unsauber mit den Daten umgehen, können sich nicht damit entlasten, es sei nur ein leichter Verstoß.
- Höhe des Schadensersatzes muss geeignet sein, den erlittenen Schaden auszugleichen.
- Deutsche Gerichte dürfen nicht knauserig bei der Bemessung des Schadensersatzes sein.
I. Anlass der Vorabentscheidungsverfahren
- Verfahren
Im Verfahren der Rechtssache – RS C-590/22 – war Grundlage eine Klage vor dem Amtsgericht (AG) Wesel in der zwei ehemalige Mandanten einer Steuerkanzlei 15.000 EUR an Schadensersatz forderten, weil die Steuerkanzlei die jeweiligen Steuererklärungen an unbefugte Dritte, welche an der ehemaligen Wohnanschrift der Mandanten/Kläger nunmehr wohnen, versandt wurden.
Vor diesem Hintergrund erhoben die Kläger des Ausgangsverfahrens beim Amtsgericht Wesel (Deutschland), dem vorlegenden Gericht, auf der Grundlage von Art. 82 Abs. 1 DSGVO Klage auf Ersatz des immateriellen Schadens, der ihnen durch die Weitergabe ihrer personenbezogenen Daten an Dritte entstanden sein soll und den sie mit 15 000 Euro beziffern.
Aufgeklärt werden konnte nicht, ob diese dritten Personen tatsächlich von den Daten Kenntnis erlangt haben.
- Verfahren
Im Verfahren der Rechtssache – Rs C-182/22 und Rs C-189/22 vor dem Amtsgericht (AG) München verlangten zwei Anleger immateriellen Schadensersatz nach Art. 82 DSGVO aufgrund des Diebstahls ihrer persönlichen Daten und einem möglichen Datenmissbrauch.
Scalable Capital, eine Gesellschaft deutschen Rechts, betreibt eine Trading-App, auf der die Kläger des Ausgangsverfahrens, einen Account eröffnet hatten. Zu diesem Zweck hinterlegten sie in ihrem jeweiligen Account bestimmte personenbezogene Daten, insbesondere ihren Namen, ihr Geburtsdatum, ihre Postanschrift, ihre E‑Mail-Adresse sowie eine digital gespeicherte Kopie ihres Personalausweises. Ein für die Eröffnung der Accounts erforderlicher Betrag von mehreren Tausend Euro war von den Klägern des Ausgangsverfahrens einbezahlt worden.
Im Jahr 2020 wurden persönliche Daten sowie Daten zum Wertpapier-Depot der Kläger des Ausgangsverfahrens von Dritten, deren Identität unbekannt ist, abgegriffen. Scalable Capital zufolge wurden die persönlichen Daten bislang nicht in betrügerischer Weise verwendet.
II. Vorlagefragen und Feststellungen des EuGH
Im ersten Verfahren – Rs C-590/22 – wollte das vorlegende Gerichte folgendes wissen:
Vorlagefrage:
Reicht es zur Begründung eines Anspruchs auf immateriellen Schadenersatz gemäß Art. 82 Abs. 1 DSGVO aus, dass die den Anspruch stellende Person befürchtet, dass als Folge von Verletzungen der Bestimmungen der DSGVO ihre personenbezogenen Daten in fremde Hände gelangt sind, ohne dass dies positiv festgestellt werden kann?
Antwort des EuGH
Nach alledem ist auf die dritte Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass die Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen diese Verordnung an Dritte weitergegeben wurden, ohne dass nachgewiesen werden kann, dass dies tatsächlich der Fall war, ausreicht, um einen Schadensersatzanspruch zu begründen, sofern diese Befürchtung samt ihrer negativen Folgen ordnungsgemäß nachgewiesen ist.
Im zweiten Vorlage-Verfahren – Rs C-182/22 und Rs C-189/22 – wollte das vorlegende Gerichte folgendes wissen:
Vorlagefrage:
Ist für das Verständnis des immateriellen Schadenersatzes in seiner Bemessung von einem strukturellen Rangverhältnis oder zumindest Regel-Ausnahme-Rangverhältnis auszugehen, bei dem das von einer Datenverletzung ausgehende Beeinträchtigungserleben weniger Gewicht hat als das mit einer Körperverletzung verknüpfte Beeinträchtigungs- und Schmerzerleben?
Antwort EuGH
Nach alledem ist auf die dritte Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass im Rahmen der Festlegung der Höhe des aufgrund des Anspruchs auf Ersatz eines immateriellen Schadens geschuldeten Schadenersatzes davon auszugehen ist, dass ein solcher durch eine Verletzung des Schutzes personenbezogener Daten verursachter Schaden seiner Natur nach nicht weniger schwerwiegend ist als eine Körperverletzung.
III. Was bedeuten diese EuGH-Urteile konkret?
1.
Betroffene müssen, um einen Anspruch auf immateriellen Schadensersatz zu haben, nicht nahweisen, dass ihre Daten unrechtmäßig weitergegeben wurde und ein Datendiebstahl zu einem tatsächlichen Identitätsdiebstahl oder Betrug geführt hat.
Wichtig ist folgende Feststellung des EuGH:
Eine Befürchtung hierüber reicht nunmehr aus!
2.
Der immaterielle Schaden wegen Verletzung der DSGVO – Verletzung des Schutzes personenbezogener Daten – ist seiner Natur nach nicht weniger schwerwiegend als eine Körperverletzung.
Wichtig war diese Feststellung des EuGH deshalb, weil deutsche Gerichte die Höhe der Schadensersatzansprüche eher geringhalten möchten.
3.
Schadensersatz muss geeignet sein, den erlittenen Schaden voll auszugleichen.
Wichtig deshalb – deutsche Gerichte sollten nicht zu zurückhaltend bei der Bemessung der Schadensersatzhöhe sein.
4.
Verantwortliche, wie Unternehmen oder Behörden, welche den Datenschutz nicht so genau nehmen und deshalb ein Verstoß gegen die DSGVO begangen wurde, können sich nicht dadurch entlasten, dass sie nur ein geringes Verschulden hinsichtlich des DSGVO-Verstoßes, eines Hacks bzw. den Verstoß anzulasten ist – denn die Schwere des Verstoßes ist irrelevant für die Höhe des Schadensersatzes – so der EuGH.
IV. Wirkten sich die Urteile des EuGH auf die Höhe des Schadensersatzes aus?
Die Urteile zeigen wiederholt auf und der EuGH wird nicht müde dies zu betonen, dass der immaterielle Schadensersatz nach Art. 82 DSGVO geeignet sein muss, um den entstandenen Schaden auszugleichen.
Dies betont der EuGH in den beiden Urteilen, deshalb nochmals, weil auch der EuGH feststellt, dass die deutschen Gerichte zu lapidar und knauserig bei der Bemessung des Schadensersatzes handeln.
Auch stellt der EuGH im Urteil nochmals heraus, dass der immaterielle Schadensersatz nach der DSGVO nach Art. 82, 83 DSGVO eine Ausgleichsfunktion dahingehend hat und der immaterielle Schadensersatzanspruch diene als „Anreiz zur Einhaltung der DSGVO“ diene.
Für die Höhe des immateriellen Schadensersatzanspruch ist nicht relevant, wie schwer oder wie oft gegen die DSGVO verstoßen wurde.
Entscheidend ist den erlittenen Schaden der Betroffenen zu kompensieren.
Viele Gericht stellen unverhältnismäßig hohe Anforderungen an den Schaden, den ein Betroffener/Verbraucher eines Datenschutzverstoßes darlegen muss. Vorgetragen wird, dass allein der Kontrollverlust über die eigenen Daten nicht ausreiche, um einen Schadensersatzanspruch zu begründen.
Das Oberlandesgericht München sieht dies anders und hat wie folgt festgestellt:
Ein erlittener Schaden liege allein darin, dass Betroffenen von Verstößen gegen die DSGVO – wie in den Fällen der unrechtmäßigen Datenübermittlung durch die Mobilfunkanbieter an die Schufa, lesen Sie hierzu unseren Beitrag „Schufa“ – infolge des Kontrollverlust über die eigenen Daten einen Schaden erlitten haben.
Der tatsächliche Missbrauch der Daten, persönliche Ängste, ein hoher Aufwand zur Verhinderung von Missbrauch, eine Beeinträchtigung des Ansehens etc. wirken sich auf die Höhe des Schadensersatzes aus.
Das OLG München stellt, wie der EuGH verbraucherfreundlich fest, welche Voraussetzungen für einen Schadensersatz nach Art. 82 DSGVO vorliegen müssen und auch ausreichend sind. Dies sind kurz zusammengefasst,
- Ängste, Befürchtungen, Stigmatisierungen und Sorgen über den faktischen Kontrollverlust über die eigenen Daten.
- es bedarf keiner „Erheblichkeitsschwelle“, das bedeutet, der Schaden muss also keine bestimmte Schwere erreichen, um ersatzfähig zu sein.
- eine weite Auslegung des Begriffes des Schadens – Kontrollverlust über Daten fällt unter den Schadensbegriff.
- Schadensersatzes muss der Höhe nach geeignet sein, den erlittenen Schaden vollständig und wirksamen auszugleichen – Stichwort Ausgleichsfunktion der DSGVO.
V. Wir wirken sich die EuGH-Urteil auf die Praxis aus?
Durch die neuerlichen Urteile des EuGH werden die Rechte der Verbraucher gestärkt. Mit den beiden Urteilen herrscht noch mehr Klarheit, welche Voraussetzungen vorliegen müssen, damit ein Anspruch auf Schadensersatz besteht und dass die Chancen der Betroffenen von der Verletzung des Schutzes personenbezogener Daten durch einen Verstoß gegen die DSGVO auf höheren Schadensersatz erneut gestärkt wurden.
Aus den Urteilen kann die Erwartung der Betroffenen gezogen werden, dass auch in Deutschland höherer Schadensersatz zuerkannt wird. Der Bundesgerichtshof wird am 8.10.2024 über zwei Klage entscheiden, welche im Zusammenhang mit den Facebook-(nunmehr Meta)Datenlecks stehen und dass damit, auch wegen der Urteile des EuGH die Voraussetzungen für den immateriellen Schadensersatz in Deutschland endgültig feststehen.
Eine Befürchtung, dass mit den Daten Missbrauch begangen werden kann – ohne dass dies tatsächlich nachgewiesen werden muss – reicht aus, um einen Anspruch auf Schadensersatz zu begründen.
LOIBL LAW – die Rechtskanzlei, Ihre Experten im Datenschutzrecht!
WIR beraten Sie, ob als betroffene Verbraucher/Betroffener eines Datenschutzverstoßes, Unternehmen oder Behörden und insbesondere Verantwortliche der Datenverarbeitung in allen Fragen und Angelegenheiten des Datenschutzrecht und der DSGVO.
Wir beraten Sie bundesweit. Sie erhalten bei uns eine kostenlose Ersteinschätzung zu Ihrem Anliegen.
WIR handeln schnell, unkompliziert und lösungsorientiert. Unser Ziel, Ihre Rechte Sichern und schützen!
Sie können sich jederzeit unverbindlich unter 0991/38306131, per E-Mail mail@loibl-law.de oder WhatsApp-Business unter 099138306131 oder über die weiteren Kontaktmöglichkeiten auf unserer Website www.loibl-law.de mit der Online-Chat-Funktion melden.
Weitere Infos und Antworten finden Sie auf unserer Website.
Zudem sind wir auf verschiedenen Social-Media-Accounts und auf anwalt.de vertreten.
Ihr Team von LOIBL LAW!
Über uns
Herr Loibl hat die Kanzlei im August 2019 gegründet. Er hat sein Rechtswissenschaftliches Studium an der Universität Passau absolviert. Während des Referendariats am OLG München folgten Stationen bei der Staatsanwaltschaft Deggendorf, dem Landgericht Deggendorf.
Vor seinem Studium der Rechtswissenschaften war Herr Loibl bereits mehrere Jahre im Öffentlichen Dienst bei verschiedenen Behörden tätig.
Sie haben Fragen?
Reden Sie mit uns, wir helfen Ihnen und freuen uns auf Ihre Nachricht.