EuGH: Schmerzensgeld bei Datenschutzverstoß nur bei tatsächlichen Schäden

Fachbeitrag 17.05.2023

Datenschutzrecht

Allein die Verletzung der DSGVO begründet nach dem EuGH keinen Schadensersatzanspruch

Der EuGH hat sich in seiner Entscheidung vom 04.05.2023 (C-300/21) mit einer wesentlichen Frage des Datenschutzrechts befasst und diese – zumindest teilweise – beantwortet. Laut EuGH genügt eine DSGVO-Verletzung allein nicht, um materiellen Schadensersatz zu erhalten, denn es müsse auch ein Schaden nachweisbar sein.

Verstöße gegen datenschutzrechtliche Vorgaben können teuer werden und Geldbußen in beachtlicher Höhe nach sich ziehen. Der von einer unrechtmäßigen Datenverarbeitung Betroffene kann zudem Schadensersatz geltend machen – und zwar auch für rein immaterielle Beeinträchtigungen. Dafür muss er aber darlegen, dass mehr als das „subjektive Unmutsgefühl“ beeinträchtigt ist. Denn nicht jeder Verstoß gegen die DSGVO reicht automatisch für einen Anspruch auf immateriellen Schadensersatz aus, so der EuGH in einer auch für die Rechtsanwendung in Deutschland sehr bedeutsamen Entscheidung.

In seinem Urteil bestätigte der EuGH, dass der bloße Verstoß gegen die DSGVO allein noch keinen Schadensersatzanspruch begründet. Denn der Schadensersatzanspruch sei an drei kumulative Voraussetzungen geknüpft:

Einen Verstoß gegen die DSGVO,
das Vorliegen eines materiellen oder immateriellen Schadens
und einen ursächlichen Zusammenhang zwischen Schaden und Verstoß.

Damit führe nicht jeder Verstoß gegen die DSGVO zu einem Schadensersatzanspruch, da ein individueller Schaden nachgewiesen werden müsse.

Aber: Der Schadensersatzanspruch beschränke sich nicht auf immaterielle Schäden mit einer gewissen Erheblichkeit. Die DSGVO kenne keine Erheblichkeitsschwelle und eine solche Beschränkung stünde im Widerspruch zum vom Unionsgesetzgeber gewählten weiten Verständnis des Begriffs „Schaden“. Die Festlegung der Kriterien für die Ermittlung des Schadensumfangs habe nach den Recht der einzelnen Mitgliedstaaten zu erfolgen – immer aber in dem Verständnis, dass die DSGVO einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden sicherstellen solle, sog. „breiter Schadensersatzanspruch“. Die Verteidigungslinie, der Betroffene habe lediglich einen „Bagatellschaden“ erlitten, ist damit jedoch hinfällig.

Praxistipp

Ein breiter Schadensersatzanspruch heißt für Unternehmen, dass Datenschutzverstöße vermieden werden müssen. Dies bedeutet wiederum, sich Unternehmen spätestens jetzt überlegen müssen, wie sie die datenschutzrechtlichen Regelungen einhalten wollen. Ansonsten könnten datenschutzrechtliche Bußgelder und Schadensersatzforderungen die Kosten eines eigenen Datenschutzmanagementsystems schnell übersteigen.

Dr. Ralf Heine M.M.

Rechtsanwalt · Fachanwalt für Arbeitsrecht · Fachanwalt für Informationstechnologierecht · zert. Datenschutzauditor (TÜV) und -beauftragter (TÜV®)

zum Profil

Rechtlicher Hinweis: Bitte beachten Sie, dass eine Lektüre dieses Artikels in keinem Fall eine Rechtsberatung ersetzt. Sollten Sie Fragen haben, setzen Sie sich mit uns in Verbindung.