Der Europäische Gerichtshof (EuGH) hat heute entschieden, unter welchen Voraussetzungen Betroffene von Datenschutzverletzungen Schadensersatzansprüche gegen Unternehmen geltend machen können (C-340/21). Dies betrifft den Missbrauch der Daten nach Cyberangriffen auf Unternehmen. Der EuGH entschied unter anderem, dass ein ersatzfähiger immaterieller Schaden der Betroffenen bereits dann vorliegen kann, wenn sie Sorgen, Befürchtungen und Ängste wegen eines möglichen künftigen Missbrauchs erlitten haben.

Dazu teilt Pascal Schumacher, Associated Partner bei der Kanzlei Noerr in Berlin und Experte für Datenschutzrecht, mit:

„Das Urteil des EuGH ist von erheblicher Tragweite, da Ängste, Sorgen und Befürchtungen in der Regel die erste Beeinträchtigung darstellen, die eine Person erleidet, und zwar unabhängig davon, ob die Daten später tatsächlich missbraucht werden und die Person dadurch einen Nachteil erleidet. Es ist daher nicht verwunderlich, dass bereits heute viele Kläger ihre Schadensersatzansprüche damit begründen, dass sie genau diese Befürchtungen und Ängste erlitten haben. Das Urteil bestärkt daher zunächst die Rechtsposition der Kläger. Allerdings weist der EuGH auch darauf hin, dass der Betroffene diese Sorgen und Ängste tatsächlich erlitten haben und dies auch nachweisen können muss. Gerade auf Massenverfahren spezialisierte Anwaltskanzleien verwenden aber oft nur Textbausteine, um die Emotionen der Menschen zu beschreiben. Das reicht wohl nicht aus, um einen Schaden substantiiert darzulegen.“

Dazu ergänzt Lea Stegemann, Senior Associate bei der Kanzlei Noerr in Berlin und Expertin für Kollektiv- und Massenverfahren sowie Datenschutzrecht:

„Gerade weil bei den oft sehr hohen Versprechungen dieser Kanzleien der Verdacht nahe liegt, dass manche Menschen auch monetäre Interessen verfolgen und weniger das Bedürfnis haben, einen Ausgleich für belastende negative Gefühle zu erhalten. In vielen Prozessen wird es daher in Zukunft wohl auch um die Frage gehen, wie gut die Betroffenen ihre negativen Gefühle darstellen können und inwieweit die beklagten Unternehmen Zweifel an dieser Darstellung streuen können. Wir empfehlen Unternehmen, auf Nummer sicher zu gehen und eine robuste Datenschutz-Governance aufzubauen, ein effektives Management der Betroffenenrechte einzuführen und mögliche Datenschutzvorfälle professionell zu evaluieren und zu handhaben.“