SBS Firmengruppe Logos

| Datenschutzrecht

EuGH: Kurzer DSGVO Verstoß reicht nicht für Schadensersatz


Es gibt viele Daten, welche zum Beispiel bei einem Kauf von Produkten angegeben werden. Von Adresse bis Zahlungsdaten. Personenbezogene Daten sagen viel aus und sind daher schützenswert. Der Europäische Gerichtshof (EuGH) hat allerdings jetzt entschieden, dass ein kurzer Verstoß noch nicht ausreicht, um einen Schadensersatz auf Grundlage von der DSGVO geltend zu machen.

Die Datenschutz-Grundverordnung (DSGVO)

Die DSGVO, also Datenschutz-Grundverordnung, besteht aus 11 Kapiteln, untergliedert in 99 Artikel und ist eine Verordnung der Europäischen Union, welche die Verarbeitung und den Schutz von personenbezogenen Daten regelt. In Kapitel 3 finden sich die Regelungen für die Rechte von betroffenen Personen, während in Kapitel 4 die Verantwortlichkeit aufgeführt wird. Kapitel 8 regelt die Haftung bei einem Verstoß gegen die zuvor aufgeführten Artikel. In Art. 82 wird so die Haftung und das Recht auf Schadensersatz regelt, darin heißt es:

„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“ Und weiter in Absatz 2 „Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.“ (Zum Volltext)

Der vorliegende Fall vorm EuGH

In dem Fall des EuGH geht es um einen Kunden, welcher in der Elektronikfachmarktkette Saturn eingekauft hat. Einem Mitarbeiter der Kette ist ein Fehler unterlaufen, denn er händigte versehentlich einem anderen Kunden die Ware einschließlich der Kauf- und Kreditvertragsunterlagen aus. Der Kunde, dessen Daten versehentlich weitergegeben worden sind, sah darin ein Verstoß und eine Verletzung seiner persönlichen Daten, denn es wurden Name, die Anschrift, Arbeitgeber und die Einkünfte des Betroffenen einer fremden Person mitgeteilt. Für diesen Schaden wollte der Kläger Schadensersatz nach Art. 82 DSGVO. Etwa eine halbe Stunde nach der falschen Aushändigung wurden Gerät und die Unterlagen dann dem Kläger übergeben. Der vorliegende Fall landete zunächst beim Amtsgericht Hagen, welches sich mit mehreren Rechtsfragen an das EuGH wendete.  

Es liegt kein Anspruch auf Schadensersatz vor

Der EuGH kam zu der Entscheidung (Urteil in der Rechtssache C-687/21) das die Voraussetzungen für einen Schadensersatz nach Art. 82 DSGVO nicht gegeben sind. Begründet wird dies damit, dass es nicht ausreichen würde, wenn ein Mitarbeiter Unterlagen irrtümlich an Dritte weitergibt. Denn ein Irrtum würde nicht bedeuten, dass die technischen und organisatorischen Maßnahmen vom Unternehmen grundsätzlich für den Schutz der Daten nicht ausreichend sind. Der unbefugte Kunde hat die personenbezogenen Daten des Klägers sogar erwiesenermaßen nicht zur Kenntnis genommen. Die kurzfristige Sorge, dass in Zukunft eine Weiterverbreitung oder sogar ein Missbrauch der Informationen hätte stattfinden können, reicht nicht, um einen immateriellen Schaden nachzuweisen.

Ein Verstoß führt nicht immer zu Schaden

Der EuGH hatte bereits in einem anderen Fall (Rechtssache C-340/21), wo es um Datenmissbrauch nach einem Cyberangriff ging, entschieden, dass eine Furcht tatsächlich erlitten worden sein muss und dies auch belegt werden müsse. Zu einem ähnlichen Ansichtspunkt kommt auch der Bundesgerichtshof (BGH) kurz vor dem EuGH Urteil in seiner Entscheidung vom 12. Dezember (Az.: 277/22), wo das Gericht aufführt, dass der Betroffene, der Ersatz des immateriellen Schadens verlangt, geltend machen und gegebenenfalls nachweisen müsse, "dass der Verstoß gegen die DSGVO negative Folgen für ihn gehabt hat". Im Fall des BGH wurde die Klage zurückgewiesen, weil die Klägerin genau dies nicht bzw. zu spät gemacht hat. 

Zusammenfassend lässt sich also aus diesen Entscheidungen der Rückschluss ziehen, dass Daten schützenswert sind, aber nicht jeder Verstoß auch gleich zu einem Schadensersatz nach der DSGVO führt. Für einen Schadensersatz ist es entscheidend, dass wirklich ein Schaden entstanden ist und dieser auch geltend gemacht wird. Es muss vorgetragen und gegebenenfalls bewiesen werden, dass es negative Folgen und Auswirkungen durch den Verstoß gab, denn nur dann ist nach dem EuGH und auch dem BGH ein Schadensersatz fällig.


SBS LEGAL - Kanzlei für Datenschutzrecht 

Haben Sie Fragen zur Auskunftspflicht nach der DSGVO? Wollen Sie gerne wissen, ob Sie gegen den Datenschutz verstoßen oder gegen einen Verstoß vorgehen? Wir als spezialisierte Anwälte für Datenschutzrecht beraten Sie gerne bei jeglichen Belangen, um Sie und Ihre Daten zu schützen. Sie wollen wissen, wie Sie sich vor einem Hackerangriff schützen, oder wie Sie sich im Falle eines Hackerangriffes am besten verhalten sollten? Sie brauchen Hilfe bei Erstellung eines IT-Sicherheitskonzeptes? Sie wollen erfahren, wie Sie Datenflüsse protokollieren und kontrollieren? 

Dann sind Sie bei uns von SBS LEGAL genau richtig!

Bei Fragen zum Datenschutzrecht stehen wir Ihnen sehr gerne mit unseren erfahrenen Anwälten für Datenschutzrecht und zertifizierte Datenschutzbeauftragten zur Verfügung. Unser Team berät Sie fachlich kompetent und zielorientiert. Wünschen Sie die Rechtsberatung von dem erfahrenen Team aus Rechtsanwälten und Spezialisten der SBS LEGAL Rechtsanwälte? Dann freuen wir uns auf Ihre Kontaktaufnahme.

Der Erstkontakt zu SBS LEGAL ist immer kostenlos.

SBS Direktkontakt

telefonisch unter (+49) 040 / 7344086-0 oder
per E-Mail unter mail@sbs-legal.de oder
per unten angebotenem SBS Direktkontakt.

Ich habe die Datenschutz-Richtlinien gelesen und stimmen diesen hiermit zu.

Zurück zur Blog-Übersicht