Der EuGH hat im Januar 2024 entschieden, dass allein die Befürchtung, eigene Daten könnten missbräuchlich verwendet werden, für einen immateriellen Schadensersatz gem. Art. 82 DS-GVO nicht ausreicht, wenn nachweislich ausgeschlossen werden kann, dass eine missbräuchliche Verwendung der Daten stattgefunden hat.

Der Fall

Der Kläger erwarb bei einem Saturn Markt ein Elektrohaushaltsgerät. Ein Mitarbeiter von Saturn erstellte einen Kauf- und Kreditvertrag und gab in das EDV-System personenbezogene Daten des Klägers ein (Name, Vorname, Anschrift, Wohnort, Angabe Arbeitgebers, Einkünfte sowie Bankdaten). Die Vertragsunterlagen mit den personenbezogenen Daten wurden ausgedruckt. Der Kläger übergab sie an die bei der Warenausgabe tätigen Mitarbeitern von Saturn. In der Zwischenzeit hatte sich ein anderer Kunde vorgedrängelt, der irrtümlich sowohl das eigentlich vom Kläger bestellte Gerät als auch die zugehörigen Vertragsunterlagen erhielt und alles mitnahm.

Der Irrtum fiel den Mitarbeitenden von Saturn auf und etwa eine halbe Stunde nach dem Vorfall erhielt der Kläger die Unterlagen zurück, ohne dass der Dritte vor der Rückgabe der Dokumente die Daten zur Kenntnis genommen hatte. Der Kläger erhob Klage beim Amtsgericht Hagen auf Ersatz des immateriellen Schadens, den er aufgrund des Irrtums der Mitarbeitenden von Saturn und des daraus resultierenden Risikos des Verlusts der Kontrolle über seine personenbezogenen Daten erlitten habe.

Saturn hielt entgegen, dass kein Verstoß gegen die DS-GVO vorläge. Dem Kläger sei kein Schaden entstanden, da weder festgestellt noch geltend gemacht worden sei, dass der Dritte die personenbezogenen Daten des Klägers missbräuchlich verwendet habe.

Das Amtsgericht Hagen legte dem EuGH nach Aussetzung des Verfahrens eine Reihe von Fragen zur Vorabentscheidung vor. Der EuGH sollte unter anderem entscheiden, ob bei der Geltendmachung eines immateriellen DS-GVO-Schadensersatzes ein konkreter Schaden dargelegt werden muss. Ferner sollte die für die Praxis wichtige Frage beantwortet werden, ob bereits das Unbehagen wegen des Risikos einer etwaigen künftigen missbräuchlichen Verwendung der Daten einen erstattungsfähigen Schaden im Sinne von Art. 82 DS-GVO begründen kann.

Entscheidung des EuGH

Der Europäische Gerichtshof hat in seinem Urteil vom 25.01.2024 klargestellt, dass Art. 82 Abs. 1 DS-GVO dahingehend auszulegen ist, dass die Person, die aufgrund dieser Bestimmung Schadensersatz verlangt, nicht nur den Verstoß gegen Bestimmungen der DS-GVO nachweisen muss, sondern auch, dass ihr dadurch ein konkreter materieller oder immaterieller Schaden entstanden ist.

Der EuGH hat ferner klargestellt, dass die durch einen Verstoß gegen die DS-GVO ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, für sich genommen einen „immateriellen Schaden“ darstellen kann. Hierfür spreche, dass der Begriff „immaterieller Schaden“ im Sinne des Art. 82 Abs. 1 DS-GVO weit zu verstehen sei. Der EuGH argumentierte zudem mit dem mit der DS-GVO verfolgten Ziel der Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten.

Dies gelte aber nur, sofern die betroffene Person tatsächlich den Nachweis erbringen könne, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten habe. Das rein hypothetische Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten könne nicht zu einer Entschädigung führen. Dies sei immer dann der Fall, wenn kein Dritter die fraglichen personenbezogenen Daten zur Kenntnis genommen habe.

Auswirkungen auf die Praxis

Es liegen inzwischen zahlreiche Vorlagefragen zum Inhalt und Umfang des Schadensersatzanspruches nach Art. 82 DS-GVO beim EuGH. Die vorliegende Entscheidung steht im Einklang mit der bisherigen Rechtsprechung des EuGH und konkretisiert die inzwischen eher restriktive Handhabe hinsichtlich des Zuspruchs von immateriellen Schadensersatzansprüchen. Grundsätzlich sind zwar immaterielle Schadensersatzansprüche zu gewähren, wenn nach der Befürchtung der betroffenen Person Daten an Dritte gelangt sein können. Das gilt jedoch nicht für Fälle, in denen die Verwertung durch Dritte tatsächlich ausgeschlossen werden kann. Praxisrelevant an der Entscheidung ist in erster Linie, dass in Fällen wie dem entschiedenen ein Missbrauch tatsächlich nicht möglich ist, so dass für die Befürchtung kein Raum ist.

(Urteil des EuGH vom 25.01.2024, C-687/21)