Schadenersatz bei Datenschutzverstoß
29 Nov 24Art. 82 Abs. 1 DS-GVO billigt lapidar jeder Person einen Anspruch auf Schadenersatz zu, der wegen eines Verstoßes gegen die Datenschutzverordnung ein materieller oder immaterieller Schaden entstanden ist.
Aktuelle Urteile, die sich mit solchen Ansprüchen befassen, mehrten sich. Dabei spiegelten sich in der wenig einheitlichen Rechtsprechung die weiten Auslegungsmöglichkeiten wider, die Art. 82 bietet. Der EuGH hat sich nun in einer Reihe von Entscheidungen mit diesen Fragen befasst und festgestellt, dass z. B. keine „Bagatellgrenze“ überschritten werden muss, um einen immateriellen Schaden geltend machen zu können. Auch kann schon die Befürchtung, dass personenbezogene Daten durch Dritte missbräuchlich verwendet werden könnten, einen solchen Schaden für die betroffenen Personen begründen. Allein der Kontrollverlust über die Daten kann als ersatzfähiger Schaden angesehen werden.
Update 23. April 2025
Mit seiner Entscheidung vom 18. November 2024 geht der BGH weiter als der EuGH und konkretisierte damit die europäische Rechtsprechung zum immateriellen Schadensersatz. Der BGH stellte in seinem Urteil fest, dass schon der Verlust der Kontrolle über die eigenen personenbezogenen Daten einen immateriellen Schaden darstellen kann. Dabei bedürfe es keiner missbräuchlichen Verwendung der betroffenen Daten zum Nachteil der betroffenen Person im konkreten Fall. Schon der bloße Verlust der Kontrolle sei unter den unionsrechtlichen Schadensbegriff zu fassen.
Das befreie einen Kläger aber nicht davon, dass er nachweisen müsse, dass er einen solchen Schaden erlitten hat, der bloß aus dem Kontrollverlust als solchem besteht. Über die bisherige Rechtsprechung des EuGH hinaus stellt der BGH hier ausdrücklich fest, dass es keiner besonderen Befürchtungen oder Ängste bedarf, um einen Schaden anzunehmen, wenn der Kontrollverlust nachgewiesen ist.
Wenn ein solcher Kontrollverlust nicht nachgewiesen werden kann, kann es laut BGH aber wiederum ausreichen, wenn eine betroffene Person die begründete Befürchtung hat, dass ihre Daten missbräuchlich verwendet werden.
Für Kläger in ähnlich gelagerten datenschutzrechtlichen Schadensersatzprozessen stellt die Entscheidung des BGH eine erhebliche Erleichterung dar. Sie müssen jetzt nicht mehr zumindest konkrete Befürchtungen oder Ängste wegen des Kontrollverlusts darlegen und ggf. beweisen. Der Kontrollverlust für sich reicht schon aus. Einen Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO zu begründen ist somit leichter geworden.