Der EuGH hat in einer Vorlagefrage die Rahmenbedingungen für Schadensersatzansprüche betroffener Person gegenüber dem Verantwortlichen bei einer datenschutzrechtswidrigen Verarbeitung personenbezogener Daten definiert (Urteil vom 04.05.2023, Az.: C-300/21). In dem Ausgangsfall verlangte die betroffene Person wegen „inneren Ungemachs“ Schadensersatz in Höhe von 1.000,00 €. Anhand des Falles stellte der EuGH dar, dass sowohl systematisch wie auch nach dem Wortlaut der DSGVO ein tatsächlich eingetretener Schaden erforderlich ist. Nicht notwendig folgt aus einem „Verstoß“ gegen die DSGVO ein (bezifferbarer) Schaden, womit im Grundsatz zunächst nicht jeder „Verstoß“ einen Schadenersatzanspruch auslöst. Über die konkreten Anforderungen eines Schadens ist damit allerdings noch nichts gesagt.
Nach dem EuGH ist nicht erforderlich, dass der eingetretene Schaden eine bestimmte Erheblichkeitsschwelle überschreitet. Denn die Kompensation muss dem erlittenen Unrecht entsprechen. Es komme daher nicht in Frage, unterhalb einer „Bagatellschwelle“ Schäden nicht anzuerkennen. Die Kompensation diene schließlich auch der Sicherstellung des gleichmäßig hohen Niveaus des Datenschutzrechts.
Die konkrete Art der Schadensberechnung bleibt der richterlichen Ausgestaltung in den Mitgliedsstaaten vorbehalten. Dabei ist sicherzustellen, dass wesentlich gleiche Sachverhalte gleichbehandelt werden und dass die Geltendmachung von (Datenschutz‑)Rechten durch übermäßige Anforderungen erschwert oder gar ineffizient ausgestaltet werden darf.
Nach der Entscheidung des EuGH werden in Zukunft auch auf Kleinstbeträge gerichtete Klagen Aussicht auf Erfolg haben, die bisher von den deutschen Gerichten als Bagatellschäden abgewiesen wurden. Mit entsprechender Argumentation dürfe es betroffenen Personen durchaus gelingen darzulegen, warum die konkrete Betroffenheit über ein „bloßes Ärgernis“ hinausgeht. Das betrifft insbesondere die Verarbeitung personenbezogener Daten von Beschäftigten durch deren Arbeitgeber.
Verbundgruppenzentralen und den Mitgliedern, die personenbezogene Daten verarbeiten, ist daher zu raten, ein den Ansprüchen der DSGVO genügendes Datenschutz- und Risikomanagement dauerhaft umzusetzen und Verarbeitungsvorgänge ordnungsgemäß zu dokumentieren. Denn auch bei einer Datenschutzverletzung durch Dritte (Dienstleister etc.) als Empfänger personenbezogener Daten droht unter den vom EuGH aufgezeigten Grundlinien eine Inanspruchnahme auf Schadensersatz.
Bei diesem Beitrag handelt es sich um eine gekürzte Version eines Beitrags im Datenschutz-Berater (Heft 06/2023, S. 181). Den Beitrag im Datenschutz-Berater können Sie hier als PDF herunterladen.