EuGH: Schadenersatz nach Datenschutz-Vorfall auch bei befürchtetem Schaden

Kommt es zu einer Datenschutz-Panne und bestehen berechtigte Befürchtungen für den Eintritt von negativen Folgen bei den Betroffenen, kann dies einen Anspruch auf immateriellen Schadensersatz begründen.

Europäischer Gerichtshof, Urteil vom 20. Juni 2024, C-590/22

ifb-Logo
Redaktion
Stand:  30.7.2024
Lesezeit:  01:30 min
Teilen: 

Das ist passiert

Ein Ehepaar informierte seine Steuerberater aufgrund eines Umzugs über seine neue Adresse. Die Steuerkanzlei versendete die Steuererklärung jedoch an die alte Adresse, die dort von den neuen Anwohnern versehentlich geöffnet wurde. Dabei ließ sich nicht abschließend klären, ob und in welchem Umfang die Unterlagen gelesen wurden. Neben personenbezogenen Daten wie Name, Geburtstag oder Bankverbindungen kann eine Steuererklärung auch sensible Informationen wie beispielsweise zu einer möglichen Schwerbehinderung beinhalten. Daher sah sich das betroffene Ehepaar in seinen Rechten verletzt und forderte von der Steuerkanzlei Schadensersatz in Höhe von 15.000 Euro. Das zuständige Gericht wandte sich  

an den Europäischen Gerichtshof (EuGH) mit der Frage, ob die bloße Befürchtung, dass ein Schaden eingetreten sein könnte, für einen Schadensersatzanspruch ausreicht.

Das entschied das Gericht

Der EuGH bejahte diese Frage. Nach Ansicht des Gerichts sei für die Geltendmachung eines Anspruchs nach Art. 82 Abs. 1 Datenschutzgrundverordnung (DSGVO) kein tatsächlicher Missbrauch von Daten durch Dritte erforderlich. Vielmehr würde es genügen, wenn die Befürchtung über den Eintritt eines Schadens und dessen negative Folgen glaubhaft dargelegt werden könnten. Wichtig sei dabei, dass ein bloßer Verstoß gegen die DSGVO allein nicht für die Begründung eines Schadensersatzanspruches ausreiche. Bei der Berechnung des Schadensersatzhöhe sei außerdem zu beachten, dass Art. 82 Abs. 1 DSGVO keine Abschreckungsfunktion habe.  

Hintergrund und Bedeutung für die Praxis 

Einmal mehr hatte der EuGH eine Frage zur DSGVO im Zusammenhang mit Schadenersatzansprüchen zu beantworten – nicht die erste in den letzten Jahren. Mittlerweile wird ein klarerer Korridor deutlich: Ein bloßer Verstoß gegen die DSGVO begründet zwar noch nicht automatisch einen Schadensersatzanspruch. Gleichzeitig muss es, wie im obigen Fall, nicht zu einem konkreten Schadenseintritt gekommen sein. Stützt man sich jedoch auf mögliche Befürchtungen, so müssen diese jedoch zumindest nachgewiesen bzw. glaubhaft dargelegt werden können. (sts) 

Diese Artikel könnten Sie auch interessieren

was-bringt-die-dsgvo-fuer-betriebsraete | © AdobeStock | 151816353 | oatawa
Datenschutz
KI unterstützte Betriebsvereinbarung prüfen | © AdobeStock | beeboys
KI Digitale BR-Arbeit für BR Digitale BR-Arbeit für BRV Digitalisierung für BR Digitalisierung für BRV

Ist ChatGPT für die Erstellung einer Betriebsvereinbarung alltagstauglich?

In unserem Artikel „ChatGPT: Betriebsvereinbarung leicht gemacht?“ haben wir die KI eine Betriebsvereinbarung zum Thema Home-Office erstellen lassen. Aber können Sie als Betriebsrat den erstellten Texten wirklich trauen? Kann ChatGPT eine Hilfe bei der Betriebsratsarbeit sein? Wir haben unsere Kollegin Sonja gebeten, das Ergebnis einmal kritisch unter die Lupe zu nehmen.

Infonomics und Betriebsrat | © AdobeStock | Paulista
Datenschutz Digitalisierung für BR Digitalisierung für BRV

Seminarvorschlag