EuGH-Urteil zu DSGVO-Schadensersatzansprüchen
Der europäische Gerichtshof schränkt datenschutzrechtliche Schadensersatzansprüche Betroffener von Datendiebstählen ein. Potenziellen Massenschadensersatzklagen soll so ein Riegel vorgeschoben werden.
Wie viel Schadensersatz gibt es bei Datenschutzverstößen? Alle Augen waren am 4. Mai 2023 nach Luxemburg gerichtet. Der Europäische Gerichtshof (EuGH) sollte in seinem ersten Urteil zu Schadensersatzansprüchen nach der Datenschutz-Grundverordnung (DSGVO) langersehnte Antworten geben (Aktenzeichen C-300/21). Die Ausführungen der Luxemburger Richter enttäuschen jedoch: Sie belassen es einerseits bei Selbstverständlichkeiten – kein Schadensersatzanspruch ohne konkreten Schaden und keine Bagatellgrenze – und vermeiden andererseits eine Antwort darauf, wann ein immaterieller Schaden vorliegt. Für Unternehmen ist das Urteil insgesamt positiv zu bewerten, denn Betroffene dürften vor Gericht zukünftig nicht mehr mit der bloßen Behauptung Erfolg haben, der Datenschutzverstoß habe sie geärgert oder ein Unbehagen verursacht.
Worum geht es?
Verstöße gegen datenschutzrechtliche Vorgaben können für Unternehmen teuer werden und behördliche Bußgelder in Millionenhöhe nach sich ziehen, wie in der Vergangenheit beispielsweise H&M, 1&1 oder Deutsche Wohnen erfahren haben. Der von einer unrechtmäßigen Datenverarbeitung betroffene Kunde oder Mitarbeiter kann zudem Schadensersatz geltend machen – für materielle Schäden, aber auch für immaterielle Beeinträchtigungen. Letzteres ist neu und im deutschen Recht die absolute Ausnahme. Beispiele sind entgangene Urlaubsfreuden im Reiserecht oder Schmerzensgeld bei Körperverletzungen.