EuGH stärkt Verbraucher: Schadensersatz bei Befürchtung eines möglichen Missbrauchs von Daten ist möglich

Stellen Sie sich vor, Sie werden Opfer einer Cyberattacke: Ihre persönlichen Daten werden von Hackern von den Servern eines Finanzamtes geklaut und im Darknet zum Verkauf angeboten. Ihre Kontodaten wurden zwar noch nicht von Unbefugten verwendet, aber Sie haben Angst, dass es zu einem solchen Missbrauch Ihrer Daten kommen könnte. Können sie nun einen Schadensersatzanspruch gegen das Finanzamt geltend machen? 

Der Gerichtshof der Europäischen Union (EuGH) hat diese Frage mit Urteil vom 14.12.2023 zu Gunsten der betroffenen Verbraucher entschieden. Allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, kann einen immateriellen Schaden darstellen.

Hintergrund: der Schadensersatzanspruch des Art. 82 DSGVO

Doch was bedeutet das?

Die DSGVO gewährt allen Personen einen Schadensersatzanspruch, denen wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist. Die Frage, was ein 'immaterieller Schaden' ist, ist (und bleibt) ziemlich umstritten. Prominentes Beispiel sind die Facebook Scraping Fälle, in denen die Gerichte ganz unterschiedlich darüber urteilten, ob der bloße Verlust personenbezogener Daten einen solchen 'immateriellen Schaden' darstellt.

Der EuGH hatte in weiteren Urteilen aus dem Jahr 2023 die Position von einzelnen Personen im Bereich des Datenschutzrechts gestärkt. So wurde mit Urteil vom 04.05.2023 klargestellt, dass es keine Erheblichkeitsschwelle für die Geltendmachung eines Schadens gibt. Auch vermeintlich 'kleine' Schäden sind deshalb potentiell ersatzfähig.

Auswirkungen: Mehr Raum für Schadensersatz bei Datenschutzverstößen

Auch die neue EuGH-Rechtsprechung erweitert den Raum für Schadensersatzklagen. Obwohl die Entscheidung des EuGH im Zusammenhang mit einer Datenschutzverletzung infolge eines Cyberangriffs erging, erwarte ich, dass sie die Schwelle für alle Arten von datenschutzrechtlichen Schadensersatzansprüchen deutlich senken wird. Nun genügt grundsätzlich der Nachweis, dass die betroffene Person Angst vor dem Missbrauch ihrer Daten hat. Zu einem Missbrauch selbst muss es gar nicht mehr kommen.

Die Entscheidung wird sich deshalb möglicherweise auch auf Verfahren auswirken, die wegen der rechtswidrigen Verwendung von Tracking-Tools auf Websites geführt werden. Die rechtswidrige Sammlung und Zusammenführung personenbezogener Daten zu Profilen mit dem Ziel, diese zu Werbezwecken zu verwenden, dürfte einen 'möglichen Missbrauch' im Sinne der neuen Rechtsprechung darstellen.