Heute hat der Europäische Gerichtshof (EuGH) in Luxemburg entschieden, unter welchen Voraussetzungen Betroffene von Datenschutzverletzungen Schadensersatzansprüche gegen Unternehmen geltend machen können (C-300/21). Demnach eröffnet nicht jeder Verstoß gegen die DSGVO automatisch einen Schadenersatzanspruch nach Art. 82 Abs. 1 DSGVO. Es muss ein Kausalzusammenhang zwischen dem fraglichen Verstoß und dem entstandenen Schaden bestehen. Allerdings erteilt der EuGH einer Bagatellschwelle eine Absage. Es sei nicht erforderlich, dass die betroffene Person negative Gefühle erlitten hat, die eine gewisse Erheblichkeit erreichen. Der zugesprochene Schadensersatz muss so hoch sein, dass er den erlittenen Schaden kompensiert. Anders als teilweise gefordert, vertritt der EuGH aber nicht die Ansicht, dass er zur Abschreckung auch darüber hinaus gehen könne.

Dazu teilt Pascal Schumacher, Associated Partner bei der Kanzlei Noerr in Berlin und Experte für Datenschutzrecht, mit:

„Fast fünf Jahre nach Inkrafttreten der DSGVO hat der EuGH heute endlich einige bis dahin höchst umstrittene Rechtsfragen geklärt. Der EuGH stellt klar, dass ein Anspruch auf Schadensersatz nur dann besteht, wenn die betroffene Person tatsächlich eine kausale Beeinträchtigung erlitten hat. Es genügt daher nicht zu behaupten, ein Hacker habe meine Daten wegen unzureichender Sicherheitsmaßnahmen erbeuten können. Ich muss darüber hinaus beweisen, dass ich deswegen tatsächlich an Sorgen, Ängsten oder Unsicherheiten gelitten habe. 

Soweit der EuGH auf das Erfordernis einer Bagatellgrenze verzichtet, hat er eine Gelegenheit verpasst, der bisherigen, teilweise ausufernden Rechtsprechung einen Riegel vorzuschieben.

Die professionalisierte Klageindustrie hat lange auf diese Klarstellungen gewartet, die der EuGH nun geliefert hat. Es ist mit einem Anstieg von Schadensersatzklagen zu rechnen. Außerdem können Verbraucherverbände ab Sommer 2023 mit der Abhilfeklagen für Verbraucherinnen und Verbraucher direkt auf Schadensersatz klagen, wodurch die Rechtsdurchsetzung weiter angekurbelt werden kann. Im schlimmsten Fall kann es also bei Datenschutzverstößen zu einem Nebeneinander von Bußgeldern der Aufsichtsbehörden und direkten Schadensersatzklagen der Betroffenen kommen.

Wir empfehlen Unternehmen auf Nummer sicher zu gehen und eine robuste Datenschutz-Governance aufzubauen, ein effektives Management der Rechte der Betroffenen einzuführen und mögliche Datenschutzvorfälle professionell zu evaluieren und zu handhaben.“

Wenn Sie dazu mit Herrn Schumacher sprechen möchten, stellen wir gerne einen Kontakt her.