Der Europäische Gerichtshof (EuGH) am 20.06.2024 – C-590/22 PS festgestellt, dass die bloße Befürchtung einer Person, dass ihre personenbezogenen Daten an Dritte weitergegeben wurden, zur Begründung eines immateriellen Schadens sowie für den daraus entstehenden Schadensersatzanspruch nach der DSGVO ausreichen kann. Dies setzt jedoch voraus, dass diese Vermutung bzw. Befürchtung mit ihren negativen Folgen ordnungsgemäß nachgewiesen wird.
Datenschutzverletzung durch Weitergabe von Steuererklärungen
In dem zugrundeliegenden Fall soll ein Schaden dadurch entstanden sein, dass die Steuerklärungen eines Ehepaares aufgrund eines Fehlers versehentlich an Dritte übermittelt wurden. Da die Steuerklärungen auch personenbezogene Daten enthielten, soll durch deren Weitergabe an Dritte ein Schadensersatz entstanden sein.
Unzureichende Adressaktualisierung und Fehlversand
Die betroffenen Eheleute hatten ihre Steuerberatungsgesellschaft über die Änderung ihrer Postanschrift informiert und im Juli 2020 den Auftrag erteilt, die Steuererklärung für das vergangene Jahr zu erstellen. Nachdem sie keine Rückmeldung erhalten hatten, wurde ihnen mitgeteilt, dass die Steuererklärung im September 2020 per Post an sie versandt worden seien. Es stellte sich jedoch heraus, dass diese an die alte Anschrift geschickt worden waren und die neuen Bewohner versehentlich den Brief den Brief geöffnet hatten.
Datenschutzverletzung und Weitergabe personenbezogener Daten
Nachdem sie festgestellt hatten, dass der Brief nicht an sie adressiert war, gaben sie ihn an das betroffene Ehepaar zurück. Das Schreiben enthielt auch eine Kopie der Steuererklärung mit verschiedenen personenbezogenen Daten wie Namen, Geburtsdaten und Daten der Kinder, Steueridentifikationsnummern, Bankverbindungen, Angaben zur Zugehörigkeit zu einer Religionsgemeinschaft, zum Behindertenstatus eines Familienmitglieds, zum Beruf und Beschäftigung.
Klage vor dem Amtsgericht Wesel: Forderung nach Schadensersatz
Das Ehepaar erhob daher beim Amtsgericht Wesel Klage auf Ersatz des immateriellen Schadens gemäß Artikel 82 Absatz 1 DSGVO. Dieser sei ihnen durch die Weitergabe ihrer personenbezogenen Daten an Dritte entstanden. Sie bezifferten den Schaden auf 15 000 EUR. Das Amtsgericht setzte das Verfahren aus und legte dem EuGH verschiedene Fragen vor.
EuGH zu immateriellem Schadensersatz nach DSGVO
Der EuGH kam dabei unter anderem zu den folgenden Feststellungen:
Gemäß Artikel 82 Absatz 1 DSGVO steht jeder Person, die infolge eines Verstoßes gegen die DSGVO einen materiellen oder immateriellen Schaden erlitten hat, das Recht zu, von dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter Ersatz für den erlittenen Schaden zu verlangen. Hierfür müssen drei Voraussetzungen zusammen vorliegen:
- Vorliegen eines Verstoßes gegen die DSGVO,
- Vorliegen eines materiellen oder immateriellen „Schadens“, der „erlitten“ wurde, und
- Ursachenzusammenhang zwischen Schaden und Verstoß
Schadensnachweis beim Kontrollverlust über personenbezogene Daten
Ein bloßer Verstoß gegen die DSGVO reicht nicht aus. Vielmehr muss der Betroffene nachweisen, dass ein Verstoß vorliegt und dass ihm dadurch ein Schaden entstanden ist.
Im vorliegenden Fall verlangte das betroffene Ehepaar den Ersatz eines immateriellen Schadens, der durch den Verlust der Kontrolle über ihre personenbezogenen Daten, hier den Inhalt der Steuererklärung, entstanden war, ohne dass sie nachweisen konnten, ob Dritte tatsächlich Kenntnis von diesen Daten erlangt hatten.
Kontrollverlust als Grund für immateriellen Schaden
Nach Auffassung des Gerichts kann der Kontrollverlust über personenbezogene Daten, selbst für einen kurzen Zeitraum, ausreichen, um einen immateriellen Schaden im Sinne von Artikel 82 Absatz 1 DSGVO auszulösen. Voraussetzung ist jedoch, dass die betroffene Person nachweisen kann, dass sie tatsächlich einen solchen Schaden erlitten hat. Unabhängig davon, wie gering dieser auch sein mag. Die Befürchtung, dass die eigenen personenbezogenen Daten an Dritte weitergegeben wurden und die ordnungsgemäße Darlegung dieser Befürchtung mit ihren nachteiligen Folgen reichen hierfür aus. Der Nachweis, dass dies tatsächlich der Fall war, ist nicht erforderlich.
Zur Bemessung eines Schadens ist es laut EuGH nicht erforderlich, die Kriterien für die Festsetzung der Höhe von Geldbußen gemäß Artikel 83 DSGVO entsprechend anzuwenden. Der Schadensersatz habe gerade keinen Sanktions- oder Abschreckungscharakter habe.
Fazit
Der EuGH klärt hier die Leitlinien für den immateriellen Schaden nach der DSGVO. Die Frage wird hier sein, wie seitens der Gerichte mit der Anforderung der ordnungsgemäßen Darlegung dieser Befürchtung mit ihren nachteiligen Folgen im konkreten Fall umzugehen ist. Im konkreten Fall wird nun das Amtsgericht Wesel auf der Basis der Antworten des EuGH eine Entscheidung zu fällen haben.
Bildnachweis: KI generiert