Der Europäische Gerichtshof (EuGH) hat heute in zwei Urteilen die Voraussetzungen für Schadensersatzansprüche nach der Datenschutzgrundverordnung (DSGVO) klargestellt, was die Situation für Kläger erheblich erleichtert und die Ablehnung durch einige Gerichte erschwert. Eine ausführliche Besprechung der Urteile finden Sie in dem Beitrag „DSGVO-Schadensersatz: Klägerfreundliches vom EuGH“ bei CR-online von Rechtsanwalt Christian Franz, LL.M., den wir im Folgenden zusammenfassen:
Ein wesentlicher Aspekt der DSGVO ist die Möglichkeit, Schadensersatzansprüche bei Datenschutzverletzungen geltend zu machen. Früher waren die Hürden hierfür hoch, doch das hat sich geändert. Der Europäische Gerichtshof (EuGH) hat nun klargestellt, dass die Anforderungen an die Geltendmachung von Schadensersatz niedriger sind als bisher angenommen. Dies bedeutet, dass Verbraucher nun leichter ihre Rechte bei Datenschutzverstößen durchsetzen können.
Rollenverteilung
Im ersten Urteil (C-340/21) behandelte der EuGH die Frage, wer im Falle einer Datenschutzverletzung die Beweislast trägt. Er entschied, dass es Aufgabe des Verantwortlichen ist, nachzuweisen, dass angemessene Sicherheitsmaßnahmen getroffen wurden. Dies ermöglicht es Betroffenen, sich auf eine widerlegbare Vermutung zu stützen, dass das verantwortliche Unternehmen keine angemessenen Maßnahmen ergriffen hat, wenn dieses nicht detailliert darlegt, welche Sicherheitsmaßnahmen es getroffen hat.
Schaden: Der Tabubruch
Im zweiten Urteil (C-456/22 – Gemeinde Ummendorf) befasste sich der EuGH mit der Definition von Schaden im Sinne der DSGVO. Er betonte, dass Schaden weit verstanden werden kann und es keine Bagatellgrenze gibt. Der Schaden muss nicht spürbar sein und erfordert keine objektive Beeinträchtigung. Selbst Befürchtungen eines Betroffenen, nach einer Datenschutzverletzung Opfer von Missbrauch seiner Daten zu werden, können als immaterieller Schaden betrachtet werden. Der EuGH stellte jedoch klar, dass ein bloßer Verstoß gegen die DSGVO allein keinen Schadensersatzanspruch begründet. Der Schaden muss nachgewiesen und konkret dargelegt werden. Dieser Schaden kann im Verlust der Kontrolle über die personenbezogenen Daten liegen.
Klares kaltes Wasser
Der EuGH formulierte abschließend drei kumulative Voraussetzungen für einen Schadensersatzanspruch nach der DSGVO:
- Ein Verstoß gegen die DSGVO.
- Ein nachgewiesener Schaden.
- Eine nachgewiesene Kausalität zwischen Verstoß und Schaden.
Die EuGH-Urteile eröffnen Klägern neue Möglichkeiten und erschweren die Verteidigung für Beklagte und ihre Anwälte. Klägeranwälte müssen jedoch sicherstellen, dass ihre Klageanträge klar und eindeutig formuliert sind, um Missverständnisse und Teilunterliegen zu vermeiden.