Kaum ein Thema beschäftigt den EuGH in letzter Zeit so häufig wie Art. 82 DSGVO und die Frage, unter welchen Umständen Betroffene eines Datenschutzverstoßes Schadensersatz fordern können.
Erst im Dezember 2023 entschied das Gericht, dass schon der „bloße Verlust der Kontrolle“ über die eigenen Daten einen immateriellen Schaden begründen kann, wobei es Sache des Geschädigten ist, nachzuweisen, dass ein Schaden tatsächlich eingetreten ist (wir berichteten).
Mit Urteil vom 25.01.2024 (Az. C-687/21) hat der EuGH eine weitere Entscheidung gefällt, deren praktische Auswirkungen sich aber voraussichtlich in Grenzen halten dürften. Grund hierfür ist der eher ungewöhnliche Sachverhalt, der dem Fall zugrunde lag: der Kläger hatte bei „Saturn“ ein Elektrogerät gekauft und dabei einen Kreditvertrag mit dem Markt abgeschlossen. An der Warenausgabe drängelte sich ein anderer Kunde vor und erhielt kurzzeitig das Gerät des Klägers sowie die ausgedruckten Unterlagen des Kreditvertrags. Der Fehler wurde durch einen Mitarbeiter schnell bemerkt und der Kläger erhielt sein Gerät und die Unterlagen nach ca. 30 Minuten zurück. Laut Vorlage des Amtsgerichts Hagen hat der „Vordrängler“ zu keinem Zeitpunkt Kenntnis vom Inhalt des Vertrags genommen. Der Kläger machte aber geltend, der Dritte habe die Möglichkeit gehabt, vor der Rückgabe des Dokuments Kopien davon anzufertigen,
was bei ihm Unbehagen wegen des Risikos einer künftigen missbräuchlichen Verwendung der Daten ausgelöst habe. In dieser Situation hat der EuGH entschieden, dass ein rein hypothetisches Risiko der missbräuchlichen Verwendung von Daten durch einen unbefugten Dritten nicht zu einer Entschädigung führen kann. Die Befürchtungen des Klägers begründeten in diesem Fall keinen immateriellen Schaden.
Für die mehreren Tausend vor Gericht bereits anhängigen Fälle wird es jetzt darauf ankommen, welchen Maßstab die Richter bei der Frage anlegen, ob die – regelmäßig vorgetragene – Angst vor Missbrauch der Daten über ein rein hypothetisches Risiko hinausgeht. Datenbanken wie „haveibeenpwned“ ermöglichen es Internetnutzern, zu überprüfen, ob ihre Daten Teil eines „Datenlecks“ sind. Allerdings gibt es bereits erste Entscheidungen, die selbst das Vorhandensein des eigenen Datensatzes in dieser Datenbank nicht ausreichen lassen, um einen Anspruch nach Art. 82 DSGVO zu begründen (LG Stuttgart, Urt. v. 24.01.2024, Az. 27 O 92/23). Ob dieser relativ strenge Maßstab in höheren Instanzen halten wird, bleibt abzuwarten.
Autor: Rechtsanwalt Marc Hügel