EuGH entscheidet zum Datenschutz: Wann erhalten Verbraucher Schadensersatz?
Bahnbrechendes Urteil am 4. Mai 2023 erwartet / Bisher Rechtsauffassung uneinheitlich

Lahr, 02.05.2023 (lifePR) - Am 4. Mai 2023 steht am Europäischen Gerichtshof (EuGH) ein bahnbrechendes Urteil zum Datenschutz an. Wann müssen Unternehmen wie Facebook, Deezer oder Twitter Schadensersatz beispielsweise an die Opfer von Datenlecks zahlen? Genügt bereits der leichtfertige Umgang mit den personenbezogenen Daten? Im Schlussantrag hat der EuGH-Generalanwalt Campos Sánches-Bordona am 6. Oktober 2022 unterstrichen, dass Schmerzensgeld nur fällig wird, wenn tatsächlich ein materieller oder immaterieller Schaden nachweisbar ist. Sich über den Verlust der eigenen Daten zu ärgern oder die Normverletzung durch die Unternehmen genügt nach Ansicht des Generalanwalts für Schadensersatz nicht. (Az.: C-300/21). Die Verbraucherkanzlei Stoll & Sauer bietet von Datenschutz-Verstößen betroffenen Verbrauchern im Online-Check eine kostenlose Erstberatung an. Dr. Stoll & Sauer gehört zu den führenden Kanzleien im Verbraucherschutz. Mehr Infos zum Thema Datenleck und Datenschutz gibt es auf unserer Website.

Beim Datenschutz-Verstoß kein Schadensersatz ohne Schaden

Unternehmen, Behörden und Arbeitgeber sammeln und nutzen personenbezogene Daten von Verbrauchern, um Geld zu verdienen. Es gibt jedoch Bedenken bezüglich des leichtfertigen Umgangs mit diesen Daten, was zu Verstößen gegen Datenschutzgesetze führen kann. Unsicher ist darüber hinaus, wie die Datenschutzgrundverordnung (DSGVO) auszulegen ist und wann ein immaterieller Schaden entsteht. Obwohl viele deutsche Gerichte hohe Schadensersatzsummen zugunsten der Kläger vergeben, gibt es noch immer Rechtsunsicherheit. Mehrere Vorabentscheidungsverfahren sind beim Europäischen Gerichtshof (EuGH) anhängig. Die Kanzlei Dr. Stoll & Sauer stellt die wichtigsten Aussagen des aktuellen Verfahrens vor. Am 4. Mai 2023 will das Gericht in diesem Verfahren entscheiden:

• Eine Adresshändlerin aus Österreich hatte ohne Einwilligung personenbezogene Daten von Umfrageinstituten und Wahlstatistiken verknüpft, um die Parteiaffinität von Personen in ihrer Kartei zu prognostizieren. Ein Verbraucher, dessen Parteiaffinität bisher nicht öffentlich bekannt war, war darüber verärgert und hat auf Schadensersatz geklagt. Der österreichische Oberste Gerichtshof bittet den EuGH um Klärung, ob der Ärger des Verbrauchers einen immateriellen Schadensersatzanspruch begründet, ob die Pflichtverletzung allein ausreicht, um einen Schadensersatzanspruch geltend zu machen und ob der Schaden nachgewiesen werden muss.
• Konkret wollte das Gericht in Österreich wissen, ob bereits die Verletzung der DSGVO reicht, um Schadensersatz zuzusprechen, oder braucht es einen tatsächlichen Schaden. Macht das Unionsrecht weitere Vorgaben für diesen Schadensersatzanspruch? Muss für die Zuerkennung vom Schadensersatz eine Folge von zumindest einigem Gewicht vorliegen, die über bloßen Ärger hinausgeht?
• Der Generalanwalt Campos Sánches-Bordona äußerte sich in seinem Gutachtachten dahingehend, dass der reine Ärger über einen Datenschutz-Verstoß nicht zwangsläufig zu einem Schadensersatzanspruch führt. Es muss eine Unterscheidung zwischen vorübergehenden Emotionen und stärkeren, langfristigen Beeinträchtigungen getroffen werden.
• Sollten Kläger langfristige negative Folgen aufgrund der Pflichtverletzung nachweisen können, können Gerichte immateriellen Schadensersatz zusprechen.

• Der Anspruch nach Art. 82 Abs. 1 DSGVO dient nicht dazu, den Verursacher zu bestrafen. Ohne nachgewiesenen Schaden gibt es keinen Schadensersatz. Formularende

Fazit: Falls der EuGH den Ausführungen des Generalanwalts folgt, werden aus Sicht der Kanzlei Dr. Stoll & Sauer die Chancen der Verbraucher auf Schadensersatz nicht gemindert. Insbesondere in Fällen, in denen ein Datenschutzverstoß eine Vielzahl an Personen betrifft, drohen Unternehmen weiterhin mit hohen Schadenssummen konfrontiert zu werden. Denn wer Opfer eines Datenlecks beispielsweise bei Facebook geworden ist, der ärgert sich nicht nur darüber, dass sein E-Mail-Konto zugespammt wird, sondern der muss sich Sorgen darüber machen, ob seine sensiblen personenbezogenen Daten in die Hände von Kriminellen geraten. Da besteht die Gefahr, dass Bankgeschäfte oder Käufe getätigt werden. Dies gilt auch für alle anderen Facetten des Datenschutzes – also Schufa-Angelegenheit, Sicherheitslücken in Unternehmen wie jüngst bei Twitter, Otto, Kaufland, Facebook, Revolut und generell Verstößen gegen den Datenschutz. Die Kanzlei Dr. Stoll & Sauer rät Verbrauchern daher zur anwaltlichen Beratung. Im kostenfreien Online-Check und der kostenlosen Erstberatung zeigen wir Möglichkeiten auf, den Schaden zu minimieren und Schadensersatz einzuklagen.

Keine einheitliche Rechtsauslegung beim Datenschutz

Das aktuelle österreichische Verfahren ist eines von neun unterschiedlichen Vorabentscheidungsersuchen nationaler Gerichte zur Auslegung der Datenschutzgrundverordnung (DSGVO). In einem Verfahren aus Bulgarien legt der Generalanwalt Giovanni Pitruzzella in seinen Schlussanträge die DSGVO sehr verbraucherfreundlich aus (Az.:C‑340/21): Er sieht bereits in der nachgewiesenen Befürchtung eines möglichen künftigen Missbrauchs der personenbezogenen Daten einen Schaden. Dieser immaterielle Schaden könne einen Schadensersatzanspruch begründen. Für Pitruzzella ergibt sich der Anspruch aus einem realen und sicheren emotionalen Schaden. Ärgernis oder Unannehmlichkeit begründen keinen Anspruch. In dem Verfahren stehen mögliche Ansprüche auf Schadensersatz wegen eines Hackerangriffs im Mittelpunkt. Wie bei Facebook oder Deezer sind durch ein Datenleck personenbezogene Daten ins Internet gelangt. Der Generalanwalt hat außerdem vorgetragen, dass der Verantwortliche für mutmaßliches Verschulden haften soll.

Das Bundesarbeitsgericht (BAG) hat ebenfalls ein Verfahren am Europäischen Gerichtshof zur Vorabentscheidung vorgelegt (Az.: AZR 253/20 (A)). Das BAG befürwortet eine sehr weite Auslegung des Schadensbegriffs. Bereits jeder Verstoß gegen Vorgaben der DSGVO begründet einen ersatzfähigen immateriellen Schaden. Das Gericht ging in ersten Äußerungen sogar so weit, dass die Haftung nach Art.82DSGVO kein schuldhaftes Handeln voraussetzt. Generell urteilen deutsche Gerichte derzeit sehr verbraucherfreundlichen und haben Unternehmen wie Facebook bereits zur Zahlung von Schadenersatz bis zu 3000 Euro verurteilt.