Immaterieller Schadensersatz: EuGH weiterhin vage
Am 20.06.2024 veröffentlichte der Europäische Gerichtshof (EuGH) ein Urteil, indem er sich mit verschiedenen interessanten datenschutzrechtlichen Anforderungen hätte befassen können. Allerdings bleibt der EuGH weiter vage zum immateriellen Schadensersatz.
Fall vor dem AG München
Dem EuGH-Urteil liegen zwei zusammengefasste Fälle (C‑182/22 and C‑189/22) gegen das Aktienhandel-Portal Scalable Capital zugrunde. Die Kläger hatten jeweils Konten bei dem Unternehmen. Hierfür mussten sie verschiedene personenbezogene Daten preisgeben. 2020 waren Unbekannte an die von Scalable Capital gespeicherten personenbezogene Daten gelangt. Ein Identitätsdiebstahl konnte jedoch nicht nachgewiesen werden. Im Anschluss verlangten die betroffenen Ersatz des ihnen vermeintlich durch den Diebstahl entstandenen immateriellen Schadens vor dem Amtsgericht (AG) München. Das AG München wendete sich mit verschiedenen Vorlagefragen an den EuGH. Es wollte etwa wissen, ob bereits die durch einen Datendiebstahl begründete Gefahr einen immateriellen Schaden darstellt.
Die Problematik um den datenschutzrechtlichen immateriellen Schadensersatz
Im deutschen Recht besteht ein Anspruch auf Ersatz eines immateriellen Schadens nur in sehr wenigen gesetzlich geregelten Fällen. Dazu gehört nach Art. 82 Abs. 1 Datenschutzgrundverordnung (DSGVO) auch ein immaterieller Schaden, der aufgrund eines Verstoßes gegen die DSGVO entstanden ist. Bislang ist allerdings noch nicht abschließend gerichtlich entschieden, unter welchen Voraussetzungen ein solcher Anspruch vorliegt.
Zumindest hat der EuGH in letzter Zeit einige Entscheidungen erlassen, die verdeutlichen, dass nicht jede Datenschutzverletzung auch einen immateriellen Schaden begründet. Anfang des Jahres entschied der EuGH etwa, dass lediglich ein ungutes Gefühl wegen einer kurzen Datenweitergabe noch keinen immateriellen Schaden darstellt. Im April bestätigte der EuGH nun erneut, dass ein immaterieller Schaden einen konkreten, nachweisbaren Schaden erfordert. Der EuGH ließ jedoch bislang offen, welche Kriterien hierfür genau erfüllt sein müssen.
Das Urteil des EuGH: Erneut keine klare Antwort
Funktion des immateriellen Schadensersatzes
Für von Datendiebstahl Betroffene kommt eine ernüchternde Antwort vom EuGH. Zunächst weist der EuGH in seinem Urteil darauf hin, dass der Schadensersatzes nach Art. 82 DSGVO allein eine Kompensationsfunktion habe. Diese müsse es ermöglichen, den entstandenen Schaden zu ersetzen. Eine Straffunktion habe er hingegen nicht. Diese werde bereits ausreichend durch die Sanktionen und Geldbußen von Art. 83 und 84 DSGVO erfüllt.
Bestimmung der Anspruchshöhe
Bei der Bestimmung der Höhe des Schadens müsse nicht zwangsläufig auf die Schwere der Datenschutzverletzung oder auf einen etwaigen Vorsatz des Verantwortlichen geachtet werden. Außerdem seien Datenschutzverletzungen, nicht per se weniger einschneidend als physisch zugefügte Schäden. Allerdings dürfe ein nationales Gericht trotz Vorliegen eines Schadens auch nur einen sehr geringe Schadensersatzhöhe zusprechen, wenn bereits diese geeignet ist, die erlittenen Schäden zu kompensieren. Damit bejaht der EuGH effektiv die Rechtmäßigkeit eines rein symbolischen Schadensersatzes.
Immaterieller Schaden durch Datendiebstahl
Allein ein Datendiebstahl rechtfertige noch keinen Schadensersatzanspruch. Soll daraus ein Identitätsdiebstahl gefolgt sein, müsse tatsächlich auch ein Missbrauch der personenbezogenen Daten zur Begründung eines Anspruchs auf Schadensersatz dargelegt werden. Insgesamt deutet das darauf hin, dass die Chancen auf einen Ersatz des immateriellen Schadens in Datendiebstahlsfällen eher schlecht stehen.
Fazit
Wie so viele Male zuvor, bleibt der EuGH zum immateriellen Schadensersatz nur vage. Die Ausführungen lassen es kaum zu, hieraus für die nationalen Gerichte klare Grenzen zu ziehen. Insofern stehen Betroffene weiterhin vor einem prozessualen Risiko, wenn sie infolge einer Datenschutzverletzung einen immateriellen Schaden gerichtlich geltend machen wollen. Gleichzeitig können sich auch Unternehmen nicht sicher auf die Folgen von Datenschutzvorfällen einstellen.
Insgesamt ist weiterhin nicht vollständig geklärt, wann ein immaterieller Schaden vorliegt, ohne dass nicht auch sowieso ein Vermögensschaden existiert. Folgt man den Ausführungen des EuGH, kommt man regelmäßig auch zur Bejahung eines materiellen Schadens. Das ist umso frustrierender vor dem Hintergrund, dass die Darlegung eines Identitätsdiebstahls häufig äußerst schwierig zu beweisen ist, da die Täter sowohl beim Datendiebstahl als auch beim Identitätsbetrug völlig anonym handeln. Die Erfahrung zeigt allerdings, dass immer wieder Datendiebstähle auch zu Identitätsbetrug führen. Die unzähligen Spam-E-Mails, Betrugsanrufe oder -nachrichten, die fast jeder schon einmal erhalten hat, zeigen, wie groß die Gefahren sind.