Wann müssen Unternehmen wie Facebook oder Deezer immateriellen Schadensersatz dafür leisten, dass sie leichtfertig mit unseren personenbezogenen Daten umgegangen sind und damit gegen die DSGVO verstoßen haben? Diese Frage hat der EuGH nun beantwortet und damit die Rechte Betroffener u.a. von Hacks und Leaks auf immateriellen Schadensersatz enorm gestärkt: Der Schaden durch einen DSGVO-Verstoß muss keine „Erheblichkeitsschwelle“ überschreiten. Rechtsanwalt Christian Solmecke von der Kanzlei WBS.LEGAL erläutert die erfreuliche Entscheidung:

RA Christian Solmecke: „Der 4. Mai 2023 ist ein guter Tag für alle Betroffenen, deren Daten geleakt bzw. gehackt wurden oder deren Rechte aus der Datenschutzgrundverordnung (DSGVO) aus anderen Gründen verletzt wurden! Denn der Europäische Gerichtshof (EuGH) hat in einem sehr erfreulichen Urteil entschieden, dass der Anspruch auf immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO nicht davon abhängt, dass der entstandene Schaden eine gewisse Erheblichkeit erreicht. Vielmehr sollen die nationalen Gerichte einen „vollständigen und wirksamen Schadenersatz für den erlittenen Schaden“ sicherstellen (Urt. v. 04.05.2023, Rs. C-300/21). Diese Entscheidung erleichtert für Betroffene die Möglichkeit enorm, die eigenen Rechte aus der DSGVO geltend zu machen und für erlittene Nachteile entschädigt zu werden!“

Soforthilfe vom Anwalt

Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.

Wir sind bekannt aus

EuGH stärkt Rechte Betroffener aus der DSGVO

Der EuGH hat die drei in dem österreichischen Verfahren gestellten Fragen folgendermaßen beantwortet: 

  1. Reicht bereits die Verletzung der DSGVO, um Schadensersatz zuzusprechen, oder braucht es einen tatsächlichen Schaden?

Hierzu hat der EuGH klargestellt, dass nach dem Wortlaut der DSGVO ein tatsächlicher Schaden Voraussetzung für einen Schadensersatzanspruch ist. Zudem müsse ein Kausalzusammenhang zwischen Schaden und Verstoß bestehen. Damit widerspricht der EuGH der Auffassung des Bundesarbeitsgerichts (BAG), bereits der Verstoß gegen eine Vorschrift der DSGVO könne einen Anspruch auf Schadensersatz begründen (8 AZR 253/20 (A)). Eine entsprechende Vorlage des BAG liegt – neben vielen weiteren ähnlichen – ebenfalls beim EuGH.

  1. Muss für die Zuerkennung vom Schadensersatz eine Folge von zumindest einigem Gewicht vorliegen, die über bloßen Ärger hinausgeht?

Hierzu hat der EuGH geurteilt, der Schadenersatzanspruch sei nicht auf immaterielle Schäden beschränkt, die eine gewisse Erheblichkeit erreichen. Schließlich habe der Gesetzgeber den Begriff „Schaden“ weit verstanden.

RA Christian Solmecke: „Die Antwort des EuGH auf diese Frage ist bahnbrechend und wird die Geltendmachung von Schadensersatz gerade in Fällen von Datenleaks und Hackerangriffen sehr erleichtern. Das ist ganz konkret auch sehr bedeutend für die zahlreichen Klagen zum Facebook-Datenleck und zum Deezer-Datenleck, in denen wir bereits weit über zehntausend Mandanten vertreten und für sie 1000 Euro immateriellen Schadensersatz erstreiten wollen. In beiden Fällen werfen wir den Unternehmen vor, die Daten der Nutzer nicht DSGVO-konform gesichert zu haben, sodass Hacker ein leichtes Spiel hatten, sie zu missbrauchen.

Die Chancen für unsere Mandanten, hier einen hohen Schadensersatz zu erlangen, sind mit diesem EuGH-Urteil enorm gestiegen! Denn in der Begründung zur DSGVO – genauer gesagt in Erwägungsgrund 85 – steht explizit, dass bereits „der Verlust der Kontrolle über personenbezogenen Daten“ ein Schaden nach der DSGVO ist. In allen Fällen von Datenlecks liegt somit der Schaden bereits darin, dass die Daten in die Hände von Kriminellen gelangt sind. Betroffene müssen daher nicht nachweisen, dass sie infolge von Datenlecks konkret Spam-Mails oder Phishing-Angriffen ausgesetzt waren, um Schadensersatz zu erhalten.

Wenn sie das allerdings – wie in vielen unserer Fälle – tatsächlich nachweisen können, so wird dies zu einem höheren immateriellen Schadensersatz führen. In den Deezer-Fällen wird auch der in Erwägungsgrund 85 erwähnte „Verlust der Pseudonymisierung“ den Schadensersatz in die Höhe treiben. Außerdem können durch solche Angriffe sogar konkrete wirtschaftliche Schäden entstehen, die noch einmal gesondert als materieller Schadensersatz geltend gemacht werden können.“

  • Macht das Unionsrecht weitere Vorgaben für diesen Schadensersatzanspruch?

Schlussendlich stellt der EuGH fest, dass es weiterhin Sache der nationalen Gerichte sein wird, konkrete Kriterien für die Ermittlung des Umfangs des Schadenersatzes zu ermitteln. Hierzu betont der Gerichtshof allerdings explizit, dass die DSGVO eine „Ausgleichsfunktion“ hat und „vollständigen und wirksamen Schadenersatz für den erlittenen Schaden sicherstellen soll.“

RA Christian Solmecke: „Mit anderen Worten ist das ein deutlicher Hinweis an die nationalen Gerichte, nicht zu „knauserig“ mit Schadensersatz zu sein!“

EuGH-Urteil im Einklang mit Grundgedanken der DSGVO

RA Christian Solmecke: „Glücklicherweise ist der EuGH in seiner Entscheidung den Schlussanträgen des Generalanwalts nicht vollumfänglich gefolgt. Dieser hatte noch – wie der Österreichische Oberste Gerichtshof – die Auffassung vertreten, dass es eine Erheblichkeitsschwelle brauche, um immateriellen Schadensersatz zu begründen. Der bloße Ärger eines Betroffenen solle nicht ausreichen. Die Auffassung des Generalanwalts entsprach wohl eher dem rein wirtschaftlichen Gedanken, die Risiken für Unternehmen zu minimieren, wenn diese gegen die DSGVO verstoßen.

Das dem widersprechende EuGH-Urteil steht hingegen im Einklang mit dem Sinn der DSGVO, die Rechte Betroffener umfassend und wirksam vor rechtswidrigen Verarbeitungen zu schützen. Außerdem dient der immaterielle Schadensersatz auch als Abschreckung vor Rechtsverletzungen. Der EuGH hat mit seinem heutigen Urteil einen wesentlichen Beitrag geleistet, das hohe Schutzniveau der DSGVO auch in der Praxis durchzusetzen!“

Ausführliche Hintergrundinformationen zum Fall aus Österreich und den Schlussanträgen des Generalanwalts finden Sie hier.  

Informationen zu unseren Klagen in Sachen Facebook-Datenleck finden Sie hier.

Informationen zu unseren Klagen in Sachen Deezer-Datenleck finden Sie hier.

ahe