Schadenersatz nach Art 82 DSGVO - wie hoch muss die erlittene Beeinträchtigung sein - der EuGH sagt: Befürchtungen des Datenmissbrauches können ausreichen!

Der EuGH hat am 20.06.2024 in der Rechtssache  C-590/22 (Steuererklärung) entschieden, dass 

 

• die Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen diese Verordnung an Dritte weitergegeben wurden, ohne dass nachgewiesen werden kann, dass dies tatsächlich der Fall war, ausreicht, um einen Schadenersatzanspruch zu begründen,
  
  
• sofern diese Befürchtung samt ihrer negativen Folgen ordnungsgemäß nachgewiesen ist.
  
  

Was ist daraus ableitbar?

Die geschädigte Person muss den "Schaden" iSd Art 82 Abs 1 DSGVO erlitten haben, im Verfahren behaupten und auch nachweisen. 

Der "Schaden" kann die negative Auswirkung aus dem "Kontrollverlust" sein, aber nicht der Kontrollverlust selbst. Die negative Auswirkung muss nachweisbar sein, dh es wird wohl notwendig sein, dass sich diese in irgend einer Art und Weise manifestiert, und von der geschädigten Person die konkrete (negative!) Auswirkung geschildert und auch nachgewiesen werden kann.

 

Fazit aus meiner Sicht

Eine Befürchtung, dass Daten missbräuchlich verwendet werden, kann einen Schadeden darstellen, aber: 

 

• Ohne negative Auswirkungen -> kein Schadenersatz
• Ohne Nachweis der negativen Auswirkung -> kein Schadensatz

 

Das Urteil ist mE in diesem Punkt sehr klar:

"RZ 35 Die bloße Behauptung einer Befürchtung ohne nachgewiesene negative Folgen kann daher nicht zu einem Schadensersatz nach dieser Vorschrift führen."

 

 

Diese Entscheidung C-590/22 vom 20.06.2024 reiht sich in einige ähnliche Entscheidungen des EuGH zum Schadenersatzanspruch iSd Art 82 DSGVO ein und führt die Rechtsprechung nahtlos fort: 

 

RZ 32 des Urteils:
Der Gerichtshof hat entschieden, dass sich nicht nur aus dem Wortlaut von Art. 82 Abs. 1 DSGVO im Licht ihrer Erwägungsgründe 85 und 146, wonach der Begriff „immaterieller Schaden“ im Sinne von Art. 82 Abs. 1 weit zu verstehen ist, sondern auch aus dem mit der DSGVO verfolgten Ziel der Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten ergibt, dass die durch einen Verstoß gegen die DSGVO ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, für sich genommen einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 darstellen kann (vgl. in diesem Sinne Urteile vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, Rn. 79 bis 86, sowie vom 25. Januar 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, Rn. 65).

 

 

 

Was war der Sachverhalt im gegenständlichen Verfahren

 

Im "Ausgangsverfahren" (in D: vorlegendes Gericht ist das Amtsgericht Wesel) macht die Person, deren Steuerklärung versendet wurde, einen Anspruch auf Zahlung von EUR 15.000,-- an Schadenersatz iSd Art 82 Abs 1 DSGVO geltend, der ihr dadurch entstanden sein soll, dass eben die Steuererklärung, die personenbezogene Daten enthielt, ohne ihre Einwilligung aufgrund eines Fehlers des Steuerberaters an Dritte weitergeben wurde.