Der EuGH hat in zwei aktuellen Urteilen erneut die Rechte von Datenleck-Betroffenen enorm gestärkt. Zum einen betont er erneut, dass der reine Kontrollverlust bereits als ersatzfähiger Schaden im Sinne der DSGVO gilt. Zum anderen ist nun klar: Neben den DSGVO-Ansprüchen können Betroffene auch Unterlassungsansprüche nach nationalem Recht geltend machen.
In seinem ersten Urteil vom 4. Oktober 2024 hat der Europäische Gerichtshof (EuGH) noch einmal ganz deutlich entschieden, dass allein der Kontrollverlust über datenschutzwidrig veröffentlichte Daten bereits einen ersatzfähigen Schaden darstellt. Einen Nachweis zusätzlicher konkreter nachteiliger Folgen müssten Betroffene hingegen nicht führen (Rs. C-200/23).
Eigentlich ist dies eine Selbstverständlichkeit, schließlich hat der EuGH dies so ähnlich schon in früheren Urteilen betont und darin folgende Grundsätze aufgestellt (u.a. Rs. C-300/21 – Österreich / C-340/21 – Hackerangriff in Bulgarien / C-687/21 – MediaMarkt / C-741/21 – juris / C-590/22 – Steuerberater; C-182/22 und C-189/22 – Scalable Capital):
- Für einen Anspruch auf Schadensersatz nach der Datenschutzgrundverordnung (DSGVO), etwa wegen eines Datenlecks, müssen Betroffene nicht nachweisen, dass ihre Daten tatsächlich illegal weitergegeben wurden bzw. dass ein Datendiebstahl auch tatsächlich zu Identitätsdiebstahl bzw. -betrug geführt hat.
- Begründete Befürchtungen, Ängste und Sorgen vor einem solchen Missbrauch reichen aus, um einen Schaden anzunehmen.
- Auch der faktische Kontrollverlust über die eigenen Daten reicht aus, um einen Schaden annehmen zu können, schließlich hat der Gesetzgeber dies in Erwägungsgrund 85 eindeutig so geschrieben.
- Es gibt beim Schadensersatz keine ‚Erheblichkeitsschwelle‘, der Schaden muss also keine bestimmte Schwere erreichen, um ersatzfähig zu sein.
- Der Begriff des Schadens ist weit zu betrachten, denn die DSGVO soll die Rechte der Betroffenen ausreichend schützen.
Datenleck bei Facebook
Meta hat deine Daten auf dem Gewissen! Jetzt Handynummer eingeben und sofort zeigt der Checker Dir an, ob du betroffen bist:
Achtung: Verliere nicht deinen Anspruch
Zum 31.12.2024 droht die Verjährung der Ansprüche Betroffener des Datenlecks bei Facebook. Zögere nicht deine Schadensersatzansprüche von bis zu 1.000 € geltend zu machen, bevor die Zeit abgelaufen ist!
Hinweis: Wir verwenden deine Mobilfunknummer zur Überprüfung, ob du von dem Facebook-Datenleak betroffen bist. Der Abgleich deiner Mobilfunknummer erfolgt auf unserem Server. Eine Weitergabe an Dritte erfolgt nicht. Unmittelbar nach dem Abgleich und Ausspielung des Ergebnisses an dich wird deine Mobilfunknummer bei uns gelöscht. Die Verarbeitung ist im Rahmen unserer Vertragserfüllung erforderlich, da die beauftragte Überprüfung sonst nicht möglich ist, Art. 6 (1) lit. b DS-GVO.
Die Rechtsprechung an deutschen Gerichten ist dennoch aktuell leider weiterhin uneinheitlich. Viele Gerichte wissen derzeit (noch) nicht, wie sie das europäische Recht auslegen und die bisherigen Urteile des EuGH interpretieren sollen. Vor allem versuchen manche Gerichte, die Geltendmachung von immateriellem Schadensersatz zu erschweren. Hierzu argumentieren sie, dass allein der objektive Kontrollverlust über die eigenen Daten gerade nicht ausreiche, um einen Schadensersatzanspruch zu begründen. Erst etwa (erhebliche) psychische Beeinträchtigungen wie Befürchtungen oder Ängste vor einem tatsächlichen Missbrauch würden zu einem „wirklichen“ Schaden führen.
Allerdings hat der EuGH sich immer wieder auf Erwägungsgrund 85 der DSGVO bezogen und betont, dass der EU-Gesetzgeber explizit den „Verlust der Kontrolle“ über die personenbezogenen Daten als immateriellen Schaden auflistet. Im aktuellen Urteil stellt er noch einmal ganz deutlich klar, dass der Nachweis zusätzlicher konkreter nachteiliger Folgen explizit nicht verlangt wird.
Daraus folgt: Begründete Befürchtungen und Ängste vor einem Missbrauch sind eine weitere Schadensposition neben dem Kontrollverlust – sie sind aber nicht zusätzlich notwendig. Dementsprechend sind sie auch nicht „nachzuweisen“, um überhaupt einen Schadensersatzanspruch zu begründen. Denn allein der objektive Kontrollverlust über die eigenen Daten stellt bereits einen Schaden dar. Allerdings können begründete Befürchtungen vor einem tatsächlichen Missbrauch den Schaden unserer Meinung nach vergrößern, was zu einem höheren Anspruch auf Schadensersatz führen dürfte.
Aktuelles Urteil des EuGH zu Kontrollverlust als Schaden
Ausgangspunkt des aktuellen EuGH-Verfahrens war eine Datenschutzverletzung, bei der personenbezogene Daten eines Anteilseigners einer GmbH, welche im Handelsregister hinterlegt waren, öffentlich einsehbar gemacht wurden. Dem Löschbegehren der Betroffenen Person kam die zuständige bulgarische Behörde nicht nach. Das oberste Verwaltungsgericht Bulgariens legte den Fall dem EuGH vor und möchte mit seiner 7. Frage wissen, ob: „Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass ein zeitlich begrenzter Verlust der Kontrolle der betroffenen Person über ihre personenbezogenen Daten aufgrund der Online-Zugänglichmachung dieser Daten im Handelsregister eines Mitgliedstaats ausreichen kann, um einen „immateriellen Schaden“ zu verursachen, oder ob dieser Begriff des „immateriellen Schadens“ den Nachweis des Vorliegens zusätzlicher materieller nachteiliger Folgen erfordert.“
Der EuGH führt der EuGH zur Frage des Kontrollverlustes als immateriellen Schaden in Rn. 145 aus (aus dem Englischen übersetzt): „Insbesondere ergibt sich aus der beispielhaften Aufzählung der Arten von „Schäden“, (…) im ersten Satz des 85. Erwägungsgrundes der DSGVO (…), dass der Unionsgesetzgeber in den Begriff „Schaden“, den die betroffenen Personen erleiden können, u. a. den bloßen „Verlust der Kontrolle“ über ihre eigenen personenbezogenen Daten einbeziehen wollte, (…) selbst wenn es nicht zu einem tatsächlichen Missbrauch der fraglichen Daten gekommen wäre.“
Der EuGH wiederholt zwar auch, dass die Person nachweisen muss, dass sie tatsächlich einen solchen Schaden, wie geringfügig auch immer, erlitten hat. Allerdings betont er, dass der Begriff des „immateriellen Schadens“ nicht den Nachweis zusätzlicher konkreter negativer Folgen erfordert. Das bedeutet: Die Person muss allein Verlust der Kontrolle (= Schaden) nachweisen – bereits dies stellt einen immateriellen Schaden nach den Regelungen der DSGVO dar. Die Person muss aber keine tatsächliche Beeinträchtigung in Form von Ängsten, etwa durch ein medizinisches Gutachten nachweisen.
Für den vorliegenden Sachverhalt bedeutete dies ganz konkret, dass ein immaterieller Schaden bereits deshalb anzunehmen war, weil die klagende Person den Kontrollverlust über die personenbezogenen Daten nachgewiesen hatte – und zwar durch die Vorlage des Datensatzes, der anlässlich des DSGVO-widrigen Datenlecks veröffentlicht worden war.
Datenleck bei Twitter (X)
Jetzt prüfen, ob dir Sofort-Entschädigung zusteht. Ohne Kosten, ohne Rechtsschutzversicherung. Einfach E-Mail-Adresse eingeben und sofort herausfinden, ob du vom Datenleck betroffen bist:
Achtung: Verliere nicht deine Chance auf schnelle Entschädigung
Es gibt nur noch begrenzte Plätze für den Abkauf deiner Ansprüche gegen Twitter. Zögere nicht deine Sofort-Entschädigung bei unserem Partner RightNow einzulösen, bevor die Zeit abgelaufen ist!
In Kooperation mit unserem Partner RightNow
Sie werden zu RightNow weitergeleitet…
EuGH zur Höhe des Schadensersatzes
Vor deutschen Gerichten besteht darüber hinaus auch Uneinheitlichkeit bezogen auf die Höhe des korrekten Schadenersatzes. Hier schwanken die Urteile zwischen 50 Euro und 1000 Euro – obwohl die Sachverhalte in den meisten Fällen absolut identisch sind.
Auch diesbezüglich ist das erste aktuelle EuGH-Urteil vom 4. Oktober 2024 wichtig. Denn der EuGH weist erneut darauf hin, dass der immaterielle Schaden „seiner Natur nach nicht weniger bedeutend ist als ein Körperschaden.“ Damit stellt das Gericht die immaterielle Beeinträchtigung, die – wie der EuGH bereits ausgeführt hat – auch in der bloßen Befürchtung eines Datenmissbrauchs liegen kann, zum einen den körperlichen Beeinträchtigungen qualitativ gleich.
Zum anderen gibt er den nationalen Gerichten indirekt eine Bemessungsmöglichkeit an die Hand, die sich an den tabellarischen Berechnungsmethoden des zuzusprechenden Schmerzensgeldes orientieren kann. Aus der jahrelangen Rechtspraxis der Bezifferung von Körperschäden ist bekannt, dass bereits für kleinste und weniger gravierende Körperschäden ein Anspruch in Höhe von mehreren tausend Euro besteht. Zur Verdeutlichung sollen folgend nur einige wenige Urteile aufgeführt werden:
- 6.000,00 € Schmerzensgeld für eine schwere Schulterprellung (OLG München, Urteil vom 08.05.2015 – 10 U 4543/13) bei einer angenommenen Haftungsquote von 75 %
- 5.000,00 € Schmerzensgeld für eine Gehirnerschütterung, Prellung der linken Schulter und des linken Kniegelenk (OLG Brandenburg, Urteil vom 18.01.2024 – 12 U 144/22)
- 5.000,00 € Schmerzensgeld für eine Schulterprellung und ein HWS-Syndrom (OLG Köln, Urteil vom 04.09.2003 – 12 U 267/00)
- 4.000,00 € Schmerzensgeld für Schürfwunden und Blutergüsse sowie Prellungen an Armen und Beinen (LG Oldenburg, Urteil vom 20.02.2006 – 4 O 3620/04)
Außerdem hob der EuGH hervor, der Schadensersatz dürfe er nicht allein auf den Zeitraum beschränkt werden, in dem die betroffene Person die negativen Folgen des Verstoßes, also den Kontrollverlust, erlitten habe.
Zudem macht der EuGH noch einmal deutlich, dass der Ausgleich vollständig und wirksam sein soll. Bereits in früheren Entscheidungen hatte er betont, dass bei der Höhe des Schadensersatzes die „Ausgleichsfunktion“ der DSGVO wiederspiegeln solle.
EuGH: Unterlassungsansprüche neben Schadensersatz sind möglich
Bislang war außerdem die Frage noch nicht höchstrichterlich entschieden worden, ob Betroffene von Datenlecks auch Unterlassungsansprüche für die Zukunft gegen die Unternehmen geltend machen können, die die DSGVO verletzt und den Schaden verursacht haben. Der EuGH hat diese Frage nun am 4. Oktober anhand von wettbewerbsrechtlichen Ansprüchen deutlich entschieden: Neben der DSGVO können auch andere Ansprüche aus nationalem Recht geltend gemacht werden. Das Sanktions- und Beschwerdesystem der DSGVO sei nicht abschließend. „Durch eine Koexistenz von datenschutzrechtlichen und wettbewerbsrechtlichen Rechtsbehelfen [sei] keine Gefahr für die einheitliche Durchsetzung der DSGVO zu befürchten.“ Hier ging es konkret um wettbewerbsrechtliche Unterlassungsansprüche nach dem deutschen Recht (C-21/23).
Beide Systeme, das EU- und das nationale Recht laufen also parallel, das Rechtsbehelfssystem der DSGVO ist nicht als alleiniger Rechtsweg anzusehen. Auch wenn in dem EuGH-Urteil ums Wettbewerbsrecht ging, so muss die Argumentation auch auf die Ansprüche einzelner privater Betroffener übertragbar sein. Andernfalls bestehe nämlich kein ausreichender Rechtsschutz und die betroffene Person wäre erheblich schlechter gestellt, weil dieser dann ausschließlich ein Anspruch auf Schadensersatz aus Art. 82 DSGVO zustünde. Die DSGVO soll ja aber explizit Privatpersonen schützen (Art. 1 DSGVO).
Daraus folgt: Auch andere Unterlassungsansprüche nach deutschem Recht sind nicht aufgrund der DSGVO „gesperrt“. Datenschutzrechtliche Verstöße können also auch auf zivilrechtlicher Ebene verfolgt werden. Betroffene Personen können somit neben Ansprüchen auf Schmerzensgeld, Auskunft und Feststellung des Verstoßes auch einen Anspruch auf Unterlassung gegenüber der datenverarbeitenden Stelle geltend machen.
ahe