+49 (0) 221 - 290270-40
info@datenschutzrechtsanwaelte.de

EuGH erleichtert die Geltendmachung von Schadensersatzansprüchen nach der DSGVO

Art. 82 Abs. 1 DSGVO regelt, dass jeder Person, der wegen eines Verstoßes gegen die DSGVO ein Schaden entstanden ist, ein Schadensersatzanspruch gegen den Verantwortlichen zusteht. Bis dato war der Schadensersatzanspruch aber, insbesondere wegen der komplexen Abwägungserfordernisse, für juristische Laien kaum durchsetzbar. So hatten Betroffene die Ursachen von Datenlecks detailreich zu beschreiben, obwohl ein Einblick in die internen Abläufe der Datenverarbeiter naturgemäß kaum möglich war. Dies nahm dem in Art. 82 Abs. 1 DSGVO vorgesehenen Schadensersatzanspruch seine praktische Wirksamkeit.

Das änderte sich nun mit zwei EuGH-Urteilen in den Verfahren (C-340/21 + C-456/22). Die Geltendmachung eines Schadensersatzanspruchs nach DSGVO wird für den Kläger dadurch wesentlich einfacher.

Zwar begründet allein der Umstand, dass es zu einem Datenleck gekommen ist, immer noch keinen Schadensersatzanspruch des Klägers. Doch trägt der Datenverarbeiter nun die Beweislast dafür, dass die unternommenen Sicherheitsmaßnahmen geeignet waren, Eingriffe Dritter zu verhindern. Dies hat der EuGH aus der in Art. 5 Abs. 2 DSGV verankerten Rechenschaftspflicht abgeleitet. Erfolgt ein unbefugter Zugang zu personenbezogenen Daten durch Dritte, muss der Datenverarbeiter beweisen, dass er für dieses Datenleck nicht verantwortlich ist.  

Obwohl die Datenverarbeiter über einen gewissen Entscheidungsspielraum bei der Festlegung geeigneter technischer und organisatorischer Maßnahmen verfügen, haben die Gerichte eine konkrete Bewertung der Sicherheitsmaßnahmen vorzunehmen, um festzustellen ob das erforderliche Sicherheitsniveau erreicht wurde. Erst wenn die Sicherheitsmaßnahmen nicht oder nur unzureichend vorgenommen worden sind, können Schadensersatzansprüche geltend gemacht werden.

In C-456/22 hat der EuGH klargestellt, dass der Schaden „weit“ zu verstehen ist. Deshalb schließt er eine Bagatellgrenze für immaterielle Schäden aus. Ein Schaden ist schon dann gegeben, wenn der Betroffene „befürchtet“, dass seine personenbezogenen Daten missbräuchlich verwendet werden könnten. Eine spürbare Beeinträchtigung ist nicht erforderlich. Eine Beeinträchtigung muss nicht einmal objektiv nachvollziehbar sein. Das Gericht stellte fest, dass ein Schadensersatzanspruch das Vorliegen eines Schadens, einen Verstoß gegen die DSGVO und einen Kausalzusammenhang zwischen beiden Voraussetzungen erfordert. 

Fazit:

Die Entscheidungen des EuGH ermöglichen den Betroffenen von Datenlecks überhaupt erst die praktische Durchsetzung von Schadensersatzansprüchen. Mit der Klärung der Beweislastfrage müssen Betroffene nun nicht mehr die Ungeeignetheit der Sicherheitsmaßnahmen von Datenverarbeitern darlegen. Mit den Entscheidungen wurde endgültig geklärt, dass es zur Geltendmachung eines Schadensersatzanspruchs nach § 82 DSGVO kumulativ und abschließend dreier Voraussetzungen bedarf:

  • Verstoß gegen die DSGVO, welcher durch den Datenverwender zu widerlegen ist.
  • Durch den Kläger darzulegender Schaden, welcher bereits bei der Befürchtung eines Datenmissbrauchs und ohne Bagatellgrenze gegeben ist.
  • Ursachenzusammenhang zwischen Verstoß und Schaden, welcher durch den Kläger darzulegen ist.

 

© Februar 2024, Sophie Rebière, Stefan Müller-Römer

Zurück

© 2022 Müller-Römer Rechtsanwälte