Stand: 20.02.2024

Dass sich an Kassen und Warenausgaben von Einzelhandelsläden regelmäßig Warteschlangen bilden und reges Gedränge herrscht, ist nicht ungewöhnlich. Immer wieder gibt es auch den einen oder anderen Wartenden, der es etwas eilig hat und sich vordrängelt. In diesem skurrilen Fall hat das Vordrängeln allerdings zu einer Personenverwechslung geführt, die wiederum eine Schadensersatzforderung wegen Verletzung der Vertraulichkeit zur Folge hatte. Der Rechtsstreit landete vor dem Amtsgericht (AG) Hagen, das sich mit einer Reihe von Vorlagefrage an den Europäischen Gerichtshof (EuGH) wendete. Dieser verschärfte mit seinem Urteil noch einmal die Anforderungen an Schadensersatzansprüche nach Art. 82 DS-GVO bei Datenschutzverstößen: Ein ungutes Gefühl über einen möglichen Datenmissbrauch reicht allein nicht aus, um einen Schadensersatzanspruch zu begründen.

Der Schadensersatzanspruch nach Art. 82 DS-GVO

Betroffene Personen, denen aufgrund eines Verstoßes gegen die DS-GVO ein Schaden entstanden ist, haben gem. Art. 82 DS-GVO einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder den Auftragsverarbeiter. Ziel der Vorschrift ist im Allgemeinen nicht die staatliche Sanktionierung – wie beispielsweise in Form von Bußgeldern durch die Datenschutzbehörden – sondern der Ausgleich von Nachteilen, die eine betroffene Person erlitten hat. Darüber hinaus soll der Schadensersatz allerdings auch abschreckend auf datenverarbeitende Stellen wirken, erneut Verstöße zu begehen. Nach Erwägungsgrund 146 der DS-GVO soll der Begriff des Schadens „im Lichte der Rechtsprechung des [Europäischen] Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht.“

Schadensersatzfähig sind sowohl materielle Schäden (tatsächlich erlittene Vermögenseinbußen) als auch immaterielle Schäden (Verletzung nicht geldwerter Rechtsgüter wie beispielsweise Rufschädigung oder Zeitverluste). Die weite Auslegung des Schadens nach Erwg. 146 DS-GVO ist insbesondere für den Ersatz immaterieller Schäden relevant. Der erlittene Schaden muss – im Gegensatz zu einigen nationalen Schadensersatznormen – nicht erst eine Erheblichkeitsschwelle überschreiten, um ersatzfähig zu sein. Nach Auffassung des EuGH sieht Art. 82 DS-GVO eine Bagatellgrenze nicht vor (vgl. EuGH, Urteil v. 04.05.2023, Az. C-300/21). Dies bedeutet allerdings nicht, dass jeder Datenschutzverstoß gleichsam einen Schadensersatzanspruch begründet. Der erlittene Schaden muss dennoch vorgetragen und begründet werden und der Datenschutzverstoß muss kausal (ursächlich) für den Schadenseintritt gewesen sein.

Der Fall: Vordrängeln führt zu Personenverwechslung

Hintergrund der Schadensersatzforderung war im vorliegenden Fall eine Personenverwechslung an der Warenausgabe. Der Betroffene kaufte bei einem Elektronikfachhändler ein Haushaltsgerät. Bei der Warenausgabe drängelt sich ein anderer Kunde unbemerkt vor, sodass es zu einer Verwechslung kam und dem anderen Kunden die Ware inkl. Kauf- und Kreditvertragsunterlagen des Betroffenen ausgehändigt wurden. Die Unterlagen enthielten unter anderem den Namen, die Anschrift, den Arbeitgeber und die Einkünfte des eigentlichen Käufers. Ein Mitarbeiter des Elektronikfachhändlers bemerkte die Verwechslung allerdings schnell, sodass der Betroffene die Ware inkl. der Vertragsunterlagen nach circa einer halben Stunde zurückerhielt.

Dennoch verlangte der Betroffene von dem Elektronikfachhändler immateriellen Schadensersatz nach Art. 82 DS-GVO, da er sich aufgrund des Irrtums des Angestellten und dem Verlust der Kontrolle über seine personenbezogenen Daten einem Risiko ausgesetzt sah. Das angerufene AG Hagen wandte sich im Laufe des Verfahrens mit einigen Vorlagefragen zur Auslegung der DS-GVO an den EuGH.

Entscheidung des EuGH: Hypothetisches Risiko genügt nicht für Schadensersatzanspruch

Der EuGH stellte in seinem Urteil fest, dass es für die Begründung eines Schadensersatzanspruchs nicht ausreicht, wenn der Betroffene einen Verstoß gegen die DS-GVO nachweist (EuGH, Urteil v. 15.01.2024, Az.: C-687/21). Vielmehr muss der betroffenen Person tatsächlich ein nachweisbarer Schaden entstanden sein. Ein immaterieller Schaden liegt nach Ansicht des EuGH nicht bereits dann vor, „wenn eine Person, deren personenbezogene Daten an einen unbefugten Dritten weitergegeben wurden, der diese aber erwiesenermaßen nicht zur Kenntnis genommen hat, dennoch befürchtet, dass die Daten kopiert wurden und in Zukunft weitergegeben oder gar missbraucht werden könnten“, wie er in seinem Urteil ausführt. Ein ungutes Gefühl oder ein hypothetisches Risiko allein sind demnach nicht ausreichend, um einen immateriellen Schaden zu begründen, wenn ein Datenmissbrauch nachweislich ausgeschlossen werden kann.

Fazit: EuGH klärt wichtige Grundsatzfrage

Auch wenn der Ausgangsfall skurril erscheint, klärt das Urteil des EuGH eine wichtige Grundsatzfrage. Mit dieser Entscheidung hat der Gerichtshof Klarheit bezüglich der Beweislast bei Schadensersatzklagen geschaffen und die Vorgaben für immateriellen Schadensersatz noch einmal verschärft und konkretisiert. Betroffene müssen nicht nur einen Verstoß gegen die DS-GVO nachweisen, sondern vielmehr auch den daraus resultierenden Schaden. Ein bloßes Unwohlsein oder ein Kontrollverlust nach einer Datenschutzverletzung genügt nicht, wenn eine Kenntnisnahme Dritter ausgeschlossen werden kann. Dieser Ansicht folgten auch einige deutsche Gericht wie beispielweise das AG München (Urteil v. 03.08.2023, Az.: 241 C 10374/23) und das OLG Hamm (Urteil v. 15.08.2023, Az.: 7 U 19/23), die in zwei unterschiedlichen Fällen Schadensersatzansprüche nach einem Cyberangriff ablehnten.