Wie fühlen Sie sich? Diese Frage ist manchmal nicht einfach zu beantworten. Im Kontext des Datenschutzes wurde bei einem Kontrollverlust über die eigenen Daten gerne einmal ein Unwohlsein von betroffenen Personen ins Feld geführt, um einen Anspruch auf Schmerzensgeld zu begründen.
Dazu hatte sich der EuGH bereits in der Vergangenheit kritisch geäußert. Nun äußerte sich der EuGH im Urteil zur Rechtssache C‑687/21 erneut zu der Frage, ob ungute Gefühle einen Schadensersatzanspruch im Rahmen der DSGVO begründen können.
Irrtum zu seinen Ungunsten
Dass beim Kauf von Haushaltsgeräten bei einem Elektrohändler mal etwas schieflaufen kann, ist so trivial wie menschlich. In diesem Fall gab es auch eine datenschutzrechtliche Komponente.
Ein Käufer wollte bei einer Filiale von Saturn ein Elektrohaushaltsgerät kaufen. Dazu schloss er einen Kauf- und Kreditvertrag ab. Zu den personenbezogenen Daten im Vertrag gehörten der Name des Käufers, seine Anschrift, der Name des Arbeitgebers, die Einkünfte des Käufers und seine Bankdaten.
Der Vertrag wurde ausgedruckt, unterschrieben und zur Warenausgabe weitergeleitet. Allerdings händigte der dortige Mitarbeiter die Unterlagen aus Versehen an einen anderen Filialbesucher aus, der sich dort vorgedrängelt hatte und die Unterlagen mitnahm. Sofort wurde der Irrtum bemerkt und eine halbe Stunde später wurden dem Käufer die Unterlagen von dem Saturn-Mitarbeiter übergeben.
Der Kläger befürchtete jedoch, der falsche Adressat könnte eine Kopie der Unterlagen gemacht haben. Er sah darin das Risiko für einen Kontrollverlust über seine personenbezogenen Daten, was Unbehagen in ihm auslöste. Daher klagte er gegen Saturn auf Schmerzensgeld – zunächst vor dem Amtsgericht Hagen. Dieses hatte Zweifel, wie die DSGVO im konkreten Fall auszulegen ist und stellte dem EuGH Fragen zur Auslegung der DSGVO. Dazu gehörte auch die Frage, ob ein befürchteter Kontrollverlust, der in der Zukunft zum Datenmissbrauch führen könnte, zu Schmerzensgeld berechtigt, auch wenn der falsche Empfänger die Daten nicht zur Kenntnis genommen hat.
Hätte, könnte, würde …
Kurz gefasst: Der EuGH sagt, Befürchtungen und Unwohlsein reichen nicht aus. Der Kläger muss den Schaden nachweisen. Ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten kann nicht zur Entschädigung führen. Hier ist das Risiko hypothetisch, weil der falsche Adressat die Daten erwiesenermaßen nicht zur Kenntnis genommen hat und der Nachweis oder zumindest Anhaltspunkte einer unbefugten Kopie nicht erbracht wurden.
Überdies hat der EuGH noch einige andere Punkte bestätigt, die bereits Gegenstand anderer Urteile waren:
So hat der EuGH bestätigt, dass der Verantwortliche geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO zum Schutz der personenbezogenen Daten treffen und auch dafür den Nachweis erbringen muss. Wenn ein Dokument irrtümlich an einen unbefugten Dritten herausgegeben wird, kann dies Fahrlässigkeit sein bzw. einen Organisationsmangel darstellen. Allerdings reicht der Umstand, dass ein Mitarbeiter ein Dokument irrtümlich herausgegeben hat, für sich genommen nicht aus, um davon auszugehen, dass die Maßnahmen nach Art. 32 DSGVO nicht geeignet waren.
Außerdem weist der EuGH darauf hin, dass der Schadensersatzanspruch aus Art. 82 DSGVO – anders als Sanktionen der Aufsichtsbehörden – keine Straffunktion hat, sondern eine Ausgleichsfunktion, wodurch der erlittene Schaden ausgeglichen werden soll.
Schließlich ist für den Schadensersatzanspruch die Schwere des begangenen Verstoßes gegen die DSGVO durch den Verantwortlichen unerheblich. Zusätzlich muss die Person, die Schadensersatz verlangt, sowohl den Verstoß gegen die DSGVO nachweisen als auch, dass ihr durch den Verstoß ein Schaden entstanden ist.
Fazit
Unwohlsein, theoretische Möglichkeiten – all dies kann keinen Schadensersatz begründen. Wer Schadensersatz einklagen möchte, muss den Schaden konkret begründen und auch nachweisen. Dies wird Geschäftsmodelle, die Sammelklagen zum Gegenstand haben, zunehmend unattraktiver gestalten.
29. Februar 2024 @ 13:08
In diesem Fall ist relativ klar, dass ein Schaden bei der betroffenen Person sehr wahrscheinlich nicht eintreten wird.
Häufig sieht es aber auch ganz anders aus, wenn bspw. mal wieder ein Diensteanbieter gehackt wird oder mangels Sicherung Daten durch einfache Datenbankabfragen aus dessen ungesicherter Datenbank abgeflossen sind.
In diesen Fällen hat man als Verbraucher normalerweise das Nachsehen, weil man praktisch nie beweisen können wird, dass der darauf folgende Verkauf der eigenen personenbezogenen Daten auf dem Schwarzmarkt oder der Missbrauch zu Phishing-/Spamzwecken in direktem Zusammenhang mit dem Datenleck steht.
Gleichzeitig verhängen die Datenschutzbehörden in diesen Fällen praktisch nie Bußgelder gegen die Diensteanbieter, selbst wenn offensichtlich ist, dass deren Sicherheitsmaßnahmen armselig waren.
In der Summe bedeutet das wenig Motivation für Diensteanbieter personenbezogene Daten zu schützen und großen Frust für die Verbraucher.