Neue Urteile des EuGH - Schadensersatz nach DSGVO, Kontrollverlust, Ängste reichen – Nachweis nicht notwendig.

Der EuGH hat durch zwei aktuelle Urteile die Durchsetzung von Schadensersatz nach der DSGVO massiv gestärkt.

In seiner Entscheidung vom 4.10.2024 – Rs C-200/23 hat der EuGH festgestellt,

• dass  der bloße Kontrollverlust über datenschutzwidrig veröffentlichte Daten bereits einen ersatzfähigen Schaden darstellt. 
• ein Nachweis zusätzlicher konkreter nachteiliger Folgen müssten Betroffene hingegen nicht führen.

Der EuGH setzt seine Rechtsprechung mit den aktuellen Urteilen fort. Bereits am 20. Juni 2024 – Az. Rs C-590/22 und Rs C-182/22 und Rs C-189/22 hat der EuGH die Verbraucherrechte erneut gestärkt und führte seine bisherige Rechtsprechung aus den Urteilen vom 04.05.2023 (Az.C-300/21), 14.12.2023 (Az. C-456/22) und vom 11.04.2024 (Az. C‑741/21) fort.

Lesen Sie hierzu unsere Beiträge – EuGH vom 04.05.2023 und EuGH vom 11.04.2024.

Der EuGH bleibt seiner Linie treu und stärkt wiederholt die Rechte der Betroffenen von Datenschutzverstößen.

Festgehalten werden können folgende Grundsätze:

• Schadensersatz nach der DSGVO setzt keinen tatsächlichen Nachweis von Missbrauch der Daten voraus.
• Der Kontrollverlust über Daten, Befürchtungen, Ängste und Sorgen reichen aus, um einen Schaden zu begründen. Dies gibt der Erwägungsgrund 85 der DSGVO vor.
• Eine Erheblichkeitsschwelle ist nicht erforderlich.
• Gerichte sollen sich bzgl. der Höhe des Schadensersatzes an der Rechtsprechung für Schmerzensgeld wegen Körperverletzungs-Delikten orientieren.

EuGH zum Kontrollverlust und Schadensersatz

Sachverhalt der aktuellen Entscheidung des EuGH zum Kontrollverlust aufgrund einer Verletzung des Datenschutzes war, dass personenbezogene Daten eines Anteilseigners einer GmbH öffentlich einsehbar waren.

Der Betroffene machte sein Recht nach der DSGVO auf Löschung nach Art. 17 DSGVO geltend. Jedoch kam die zuständige bulgarische Behörde diesem Begehren nicht nach.

Es erfolgte der Gang vor das Oberste-Verwaltungsgericht Bulgariens. Dieses legte den Fall dem EuGH vor und stellte dem Gerichtshof 7. Fragen zur Beantwortung:

Die 7. Frage lautete wie folgt:

Ist der Begriff des „immateriellen Schadens“ in Art. 82 Abs. 1 DSGVO dahingehend auszulegen, dass die Annahme eines immateriellen Schadens einen spürbaren Nachteil und eine objektiv nachvollziehbare Beeinträchtigung persönlicher Interessen voraussetzt, oder reicht hierfür der bloße kurzfristige Verlust der uneingeschränkten Verfügungsgewalt der betroffenen Person über ihre Daten durch die Veröffentlichung personenbezogener Daten im Handelsregister aus, der für die betroffene Person keine spürbaren oder nachteiligen Folgen hatte?

Der EuGH führt in diesem Urteil – Übersetzung der englischen Urteilsabschrift – wie folgt aus:

Insbesondere aus der beispielhaften Aufzählung der Arten von „Schäden“, die betroffenen Personen entstehen können, im ersten Satz von Erwägungsgrund 85 der Datenschutz-Grundverordnung geht hervor, dass der EU-Gesetzgeber beabsichtigte, in den Begriff des „Schadens“, der betroffenen Personen entstehen kann, unter anderem den bloßen „Verlust der Kontrolle“ über ihre eigenen personenbezogenen Daten infolge eines Verstoßes gegen diese Verordnung einzubeziehen, u. a. den bloßen „Verlust der Kontrolle“ über die eigenen personenbezogenen Daten infolge eines Verstoßes gegen diese Verordnung einbeziehen wollte, auch wenn kein tatsächlicher Missbrauch der betreffenden Daten stattgefunden hat (vgl. in diesem Sinne Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C-340/21, EU: C:2023:986, Randnr. 82).

Aufgrund der vorstehenden Erwägungen ist auf die siebte Frage zu antworten,

dass Art. 82 Abs. 1 DS-GVO dahin auszulegen ist, dass die betroffene Person für einen begrenzten Zeitraum die Kontrolle über ihre personenbezogenen Daten verliert, weil diese Daten der Öffentlichkeit online zugänglich gemacht werden, im Handelsregister eines Mitgliedstaats online zugänglich gemacht werden, ausreichen kann, um einen immateriellen Schaden zu verursachen, sofern die betroffene Person nachweist, dass sie tatsächlich einen solchen, wenn auch nur minimalen, Schaden erlitten hat, ohne dass dieser Begriff des immateriellen Schadens den Nachweis zusätzlicher greifbarer nachteiliger Folgen erfordert.

Hinsichtlich der 7. Frage führt der EuGH führt im aktuellen Urteil, genauer in Rdn. 145 aus – hier sinngemäß wiedergegeben – dass

• die in der DSGVO, besonders im Erwägungsgrund 85 beispielhaften aufgezählten Arten von “Schäden” und in den Begriff “Schaden§ u. a. den bloßen “Verlust der Kontrolle” über ihre eigenen personenbezogenen Daten der Betroffenen einbeziehen wollte
• Dies selbst dann, selbst wenn es nicht zu einem tatsächlichen Missbrauch der fraglichen Daten gekommen wäre.

Der EuGH stellt zwar klar, dass die Betroffenen nachweisen müssen, dass tatsächlich ein solcher Schaden, wie geringfügig auch immer, erlitten wurde, jedoch und dies ist das entscheidende, erfordert der Begriff des „immateriellen Schadens“ nicht den Nachweis zusätzlicher konkreter negativer Folgen erfordert.

Das bedeutet, dass die betroffenen Personen nur den Verlust der Kontrolle nachweisen müssen, da bereits dies einen immateriellen Schaden nach den Regelungen der DSGVO darstellt.

Es bedarf keiner tatsächlichen Beeinträchtigung in Form von Ängsten, etwa durch ein medizinisches Gutachten.

Ansicht deutscher Gerichte – EuGH zur Höhe des Schadensersatzes

Die deutschen Gerichte sind mit immateriellen Schadensersatzansprüchen sehr zurückhaltend.

Bereits in seinen Entscheidungen im Juni 2024 bemängelte der EuGH, dass die deutschen Gerichte zu knauserig mit Schadensersatzansprüchen umgehen.

Die deutschen Gerichte vertreten die Meinung, dass allein der objektive Kontrollverlust über die eigenen Daten nicht ausreiche, um einen Schadensersatzanspruch zu begründen. Hinzutreten müssen erhebliche psychische Folgen und Beeinträchtigungen wie Ängste, Befürchtungen oder ähnliche Folgen, um einen tatsächlichen Schaden zu begründen.

Eine wichtige Feststellung des EuGH im aktuellen Urteil ist,

dass der immaterielle Schaden „seiner Natur nach nicht weniger bedeutend ist als ein Körperschaden.“

Das bedeutet, dass der EuGH ein Kontrollverlust über die eigenen Daten, verbunden mit Befürchtungen und Ängsten einen immateriellen Schadendarstellen und diese Folgen einen den körperlichen Beeinträchtigungen qualitativ gleich.

Der EuGH zeigt den nationalen Gerichten somit  auf, dass ein immaterieller Schaden, aufgrund eines Kontrollverlustes der Daten und den daraus resultierenden Ängsten vor Missbrauch wie die Höhe eines Schmerzensgeldes nach einer Körperverletzung zu bestimmen sind.

Es der gängigen Rechtsprechung zu Schmerzensgeldansprüchen nach erlittenen Körperverletzungen folgt, dass bereits bei einfachen Körperverletzungen Höhe Schmerzensgeldansprüchen von den Gerichten zugesprochen wurde.

Wichtig:

Der EuGH betonte im Urteil, dass der Schadensersatz nicht allein auf den Zeitraum erstreckt werden darf, indem der Kontrollverlust der Daten und die Folgen erlitten wurden – dies deswegen, weil der Ausgleich vollständig und wirksam sein soll.

Die Höhe des Schadensersatzes soll die „Ausgleichsfunktion“ der DSGVO widerspiegeln.

Urteile von Schmerzensgeldansprüchen

• AG Viersen, 3 C 317/98, 10.12.1998 – Schulterprellung, 1000 EUR
• AG Duisburg, 49 C 640/88, 16.08.1989 – fehlerhafte Dauerwellenbehandlung, Haare mussten abgeschnitten werden, 1.500 EUR.
• AG Mannheim, 3 C 154/08 11.07.2008 - unrechtmäßige Veröffentlichung eines Bildes der Klägerin, 3500 EUR.
• OLG München, 10 U 4543/13 schwere Schulterprellung, 6.000,00 EUR.

Wichtig:

Der EuGH stellte im zweiten Urteil vom 4.10.2024 – Rs C-21/23 fest, dass betroffene Personen neben  Ansprüchen auf Schadensersatz/Schmerzensgeld, Auskunft und Feststellung des Verstoßes auch einen Anspruch auf Unterlassung gegenüber der datenverarbeitenden Stelle geltend machen.

Zwar ging es in diesem Verfahren um wettbewerbsrechtliche Ansprüche, jedoch müssen diese Grundsätze auch auf Einzel-Personen übertragbar sein, weil ansonsten betroffene Personen keinen ausreichenden Rechtsschutz erhalten und somit erheblich schlechter gestellt wären. Dies folgt aus dem Schluss des Art. 82 DSGVO, da die Betroffenen dann nur einen Anspruch auf Schadensersatz geltend machen könnten.

LOIBL LAW – die Rechtskanzlei, Ihre Experten im Datenschutzrecht!

WIR beraten Sie, ob als betroffene Verbraucher/Betroffener eines Datenschutzverstoßes, Unternehmen oder Behörden und insbesondere Verantwortliche der Datenverarbeitung in allen Fragen und Angelegenheiten des Datenschutzrecht und der DSGVO.

Wir beraten Sie bundesweit. Sie erhalten bei uns eine kostenlose Ersteinschätzung zu Ihrem Anliegen.

WIR handeln schnell, unkompliziert und lösungsorientiert. Unser Ziel, Ihre Rechte Sichern und schützen!

Sie können sich jederzeit unverbindlich unter 0991/38306131, per E-Mail mail@loibl-law.de oder WhatsApp-Business unter 099138306131 oder über die weiteren Kontaktmöglichkeiten auf unserer Website www.loibl-law.de mit der Online-Chat-Funktion melden.

Weitere Infos und Antworten finden Sie auf unserer Website.

Ihr Team von LOIBL LAW!