Der Europäische Gerichtshof hat in einer aktuellen Entscheidung die Anforderungen für Schadensersatzansprüche bei Datenschutzverletzungen weiter konkretisiert. In den verbundenen Fällen ging es um die Frage, ob Betroffene bei einem Diebstahl ihrer Daten durch Hacker ohne konkreten Nachweis eines Identitätsmissbrauchs Anspruch auf Entschädigung haben. 

Hintergrund

Die beiden Münchner Verfahren betrafen Nutzer einer Handelsplattform, deren personenbezogene Daten durch einen Hackerangriff entwendet wurden. Die Betroffenen klagten gegen die Trading-Plattform auf Schadensersatz. Dabei konnte zwar ein Kontrollverlust über die Daten nachgewiesen werden. Es konnte jedoch nicht nachgewiesen werden, dass die entwendeten Daten auch tatsächlich missbraucht wurden. Somit war ein Vermögensschaden ausgeschlossen. Im Anschluss war also noch zu klären, ob den Betroffenen ein Schadensersatzanspruch gem. Art. 82 Abs. 1 DSGVO aufgrund eines immateriellen Schadens zusteht.

Urteil des EuGH

Der EuGH stellte in seinem Urteil (Urt. v. 20.06.2024, Az. C-182/22 u. C189/22) klar, dass ein Schadensersatzanspruch nach Artikel 82 DSGVO nicht automatisch bei jeder Datenschutzverletzung besteht. Vielmehr muss ein tatsächlicher Schaden vorliegen, um eine Entschädigung zu rechtfertigen. Dabei betont der EuGH, dass Art. 82 DSGVO keine Genugtuungs- oder Straffunktion zukommt. Dies ergebe sich aus einem Umkehrschluss: Art. 83 und Art. 84 DSGVO sind abschließende Regelungen über Geldbußen und Sanktionen. Durch sie wird der Abschreckungs- und Straffunktion genüge getan. Der Schadensersatzanspruch soll hingegen, wie sich auch schon aus dem Wortlaut ergibt, lediglich eine Ausgleichfunktion haben.

Den Begriff „Identitätsdiebstahl“ legte der EuGH wie folgt aus: Ein Identitätsdiebstahl liegt erst dann vor, wenn die illegal gewonnenen Daten von einem Dritten verwendet würden, um die Identität der betroffenen Person vorzutäuschen. Für den Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO ist es jedoch gerade nicht erforderlich, dass der Diebstahl von personenbezogenen Daten anschließend zu einem nachweislichen Identitätsdiebstahl oder -betrug geführt hat.

Fazit

Die Entscheidung des EuGH bringt Klarheit in die Auslegung des Artikel 82 DSGVO und betont die Notwendigkeit eines tatsächlichen Schadens für Schadensersatzansprüche. Dies stellt sicher, dass Entschädigungen nicht inflationär zugesprochen werden und die DSGVO nicht als reines Sanktionsinstrument missbraucht wird. Datenschutzverletzungen müssen dennoch ernst genommen werden, und Unternehmen sollten weiterhin hohe Sicherheitsstandards einhalten, um solche Vorfälle zu vermeiden.

 

Foto von Towfiqu barbhuiya auf Unsplash

 

Weitere Beiträge:

EuGH stärkt weiter die Betroffenenrechte

EuGH-Urteil: Datenpanne bei Saturn

EuGH-Urteil zum immateriellen Schadensersatz der DSGVO