·

Datenschutz-Nachrichten

Quelle: pixabay

EuGH erleichtert Schadenersatzforderungen wegen Datenschutzverstößen

Seit Inkrafttreten der Europäischen Datenschutzgrundverordnung (DSGVO) im Mai 2018 wurde bei den Risiken eines lückenhaften Datenschutzes immer wieder auf die teils massiven, weil am Umsatz der Organisationen orientierten Bußgelder verwiesen.

In Vergessenheit geriet dabei der Artikel 82 DSGVO. Dort heißt es in Absatz 1:

Jede Person, der wegen eines Verstoßes gegen die Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder den Auftragsverarbeiter.

Diese Vernachlässigung ist zum einen darauf zurückzuführen, dass materielle Schäden (also finanziell klar messbare Schäden) im Bereich Datenschutz nur sehr selten vorkommen. Und zum anderen damit, dass deutsche Gerichte bei der Zusprechung von immateriellen Schäden (Ausgleich für nicht in Geld messbare Beeinträchtigungen) traditionell sehr zurückhaltend sind.

Diese Zurückhaltung spiegelte sich auch in einer Frage des Bundesgerichtshofs (BGH) wider, welche dieser dem Europäischen Gerichtshof (EuGH) als übergeordneter Instanz vorgelegt hatte.

Was war passiert?

Eine Privatbank hatte im Zuge eines Bewerbungsverfahrens eine Absage an eine Bewerberin ausgesprochen. Dies allerdings nicht per E-Mail oder Telefon, sondern über eine Nachricht im Netzwerk Xing. Beim Versenden wurde dabei nicht die Bewerberin als Empfängerin gewählt, sondern eine dritte Person, die mit dem Bewerbungsverfahren nichts zu tun hatte.

Die Bewerberin verlangte daraufhin Schadenersatz. Dabei machte sie keinen materiellen Schaden geltend, sondern pochte auf immateriellen Schadenersatz, weil sie sich in ihrem Persönlichkeitsrecht verletzt fühlte und ein Unwohlsein verspürte.

Damit klagte sie sich durch die Instanzen, bis der BGH sich nun – seine Skepsis mehr als deutlich zum Ausdruck bringend – an den EuGH wandte und diesem folgende Frage vorlegte:

„Ist Art. 82 Abs. 1 DSGVO dahingehend auszulegen, dass für die Annahme eines immateriellen Schadens im Sinne dieser Bestimmung bloße negative Gefühle wie z.B. Ärger, Unmut, Unzufriedenheit, Sorge und Angst, die an sich Teil des allgemeinen Lebensrisikos und oft des täglichen Erlebens sind, genügen? Oder ist für die Annahme eines Schadens ein über diese Gefühle hinausgehender Nachteil für die betroffene natürliche Person erforderlich?“

Der EuGH hat sich dieser Frage nun angenommen und Klarheit geschaffen:

„Auch wenn die vom vorlegenden Gericht erwähnten Gefühle, insbesondere Sorge oder Ärger, im Übrigen Teil des allgemeinen Lebensrisikos sein können, wie das vorlegende Gericht selbst feststellt, können solche negativen Gefühle somit einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO darstellen…“

Der EuGH erleichtert es damit zukünftig, z.B. bei Datenpannen oder verspäteter Beantwortung von Auskunftsersuchen, Schadensersatz gegenüber einem Verantwortlichen geltend zu machen. Es reicht nun, bei einer Datenpanne geltend zu machen, dass man sich als Betroffene*r wegen der Offenlegung von personenbezogenen Daten an Unbefugte unwohl fühlt, ärgert oder Angst hat, Nachteile zu erleiden, um einen Ausgleich in Geld zugesprochen zu bekommen.

Für Einzelfälle im Kontext des DRKs wird sich das daraus resultierende Risiko in Grenzen halten, da es sich bei solch zugesprochenem Schadenersatz in der Regel um kleine Beträge handeln dürfte.

Kunden hingegen, die in ihren Datenbanken größere Mengen personenbezogene Daten speichern, sollten nach dieser Auslegung des EuGHs besonders aufmerksam sein.

Ein Kreisverband mit 5.000 Fördermitgliedern in der Datenbank, die bei einem Hackerangriff offengelegt werden, sieht sich nun z.B. dem Risiko von Sammelklagen ausgesetzt, in denen eine hohe Anzahl Betroffener sehr leicht Schadenersatz für ihren Ärger geltend machen können. Wenn hier nur 2.000 Betroffene sich der Klage anschließen und jeweils nur 100 Euro zugesprochen bekommen, gelangt man sehr schnell zu Summen, die jeden Kreisverband zumindest sehr schmerzen dürften.

In Panik sollte deshalb niemand verfallen, die Skepsis der deutschen Gerichte gegenüber solch immaterieller Schadenersatzforderungen wird nicht über Nacht weichen, aber mittelfristig werden sich die Ansichten des EuGHs mehr und mehr in den Urteilen niederschlagen.

Deshalb ist die Einschätzung des EuGHs gerade für die angesprochenen Kund*innen ein guter Anlass, weiterhin wachsam auf das eigene Datenschutzmanagementsystem zu blicken und zu überprüfen, ob es noch Optimierungsbedarf gibt.

Das Team Datenschutz der BBS unterstützt Sie wie immer gerne dabei!

Unterstützen Sie jetzt ein Hilfsprojekt mit Ihrer Spende