Image

Wann rechtfertigt Datenklau immateriellen Schadensersatz? (EuGH)

Der EuGH entschied, dass immaterieller Schadensersatz bei Datenklau nur zur Schadenskompensation dient und keinen Strafzweck verfolgt, und dass die genaue Höhe im Ermessen der nationalen Gerichte liegt. Eine klare Antwort darauf, welche Nachweise Betroffene für einen immateriellen Schaden bei Datenschutzverstößen vorbringen müssen, wurde jedoch nicht gegeben.

  • advomare
  • 24.07.2024
  • Zuletzt aktualisiert am: 24.07.2024

Rechtfertigt ein Datenklau immateriellen Schadensersatz? Mit dieser Frage war der EuGH nach Vorlage des AG München beschäftigt. Eine richtig klare Antwort, was Betroffene konkret vorgetragen müssen, sind die Richter:innen allerdings schuldig geblieben (Az. C-182/22 und C-189/22) .

Zum Fall: Nutzer:innen klagten gegen den Betreiber einer Trading-Plattform. Die App war 2020 von einem Hacker-Angriff betroffen, wodurch personenbezogene Informationen und Angaben über Wertpapier-Depots zehntausender User:innen gestohlen wurden.

In der App müssen User:innen Name, Geburtsdatum, Anschrift, Mailadresse sowie eine digitale Kopie des Personalausweises hinterlegen. Zudem müssen für die Eröffnung hohe Geldsummen als Kapital eingezahlt werden.

Betroffene fordern vom Betreiber der App nun Schadensersatz wegen des Datenklaus, denn mit den gestohlenen Informationen könnte hoher Schaden angerichtet werden, z. B. durch Identitätsdiebstahl.

Das AG München legte im Zuge des Verfahrens dem EuGH Fragen vor: Gibt es auch ohne Beweise für betrügerischen Missbrauch der gestohlenen Daten einen immateriellen Schaden? Falls ja, welche Höhe ist dann angemessen? Wie sind Datenschutzverstöße im Vergleich zu Körperverletzungen zu bewerten? Welche Funktion erfüllt der immaterielle Schadensersatz?

In Bezug auf letztere Frage stellte der EuGH fest, dass immaterieller Schadensersatz ausschließlich dazu dient, den erlittenen Schaden auszugleichen und keine Genugtuungsfunktion oder einen Strafzweck verfolgt.

Denn in der DS-GVO seien bereits Bestimmungen zu Geldbußen und Sanktionen geregelt, anhand derer der Datenschutzbeauftragte Strafen erteilen kann. Das bedeutet wiederum, dass der Schadensersatz geringer bemessen werden kann. Ein nationales Gericht ist nach Ansicht des EuGH dazu befähigt, auch kleine, aber symbolische Werte als Schadensersatz festzusetzen, sofern solche symbolischen Werte den Schaden in vollem Umfang kompensieren.

Zur genauen Berechnung gibt der EuGH keine Auskunft. Diese liege im Ermessen der nationalen Gerichte.

Auf die Frage nach potenziellen betrügerischen Datenmissbrauchs und ob ein solcher erst vorliegt, wenn es konkrete Anhaltspunkte dafür gibt oder der Kontrollverlust und die reine Möglichkeit schon ausreiche, dass es passieren könnte, gibt der EuGH keine eindeutige Antwort: Identitätsdiebstahl liege nur dann vor, „wenn ein Dritter die Identität einer Person, die von einem Diebstahl personenbezogener Daten betroffen ist, tatsächlich angenommen hat“. Gleichzeitig sei aber ein Nachweis, dass der Datenklau zum Identitätsdiebstahl geführt hat, kein Erfordernis.

Das bedeutet, die Rechtsprechung gibt immer noch keine eindeutige Richtung, in welchen Fällen immaterieller Schaden bei einem Datenschutzverstoß entsteht. Es ist immer noch nicht festgelegt, was die Betroffenen für den Anspruch konkret vorlegen müssen.

(Bild: Sawyer0 – stock.adobe.com)

Ähnliche Beiträge