EuGH: DSGVO Schadensanspruch erleichtert
Der Europäische Gerichtshof (EuGH) hat in einem grundlegenden Urteil entschieden, dass der Anspruch auf immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO nicht davon abhängt, dass der entstandene Schaden eine gewisse Erheblichkeit erreicht. Vielmehr sollen die nationalen Gerichte einen „vollständigen und wirksamen Schadenersatz für den erlittenen Schaden“ sicherstellen (Urt. v. 04.05.2023, Rs. C-300/21). Diese Entscheidung des EuGHs zur DSGVO ermöglicht den Betroffenen, die eigenen Rechte geltend zu machen und für Verletzungen wie Leaks und Datenlecks Schadensersatz zu erhalten.
Diese drei Vorlagefragen hat der EuGH zur DSGVO-Neuerung beantwortet:
- Reicht bereits die Verletzung der DSGVO, um Schadensersatz zuzusprechen, oder braucht es einen tatsächlichen Schaden?
Hierzu hat der EuGH klargestellt, dass nach dem Wortlaut der DSGVO ein tatsächlicher Schaden Voraussetzung für einen Schadensersatzanspruch ist. Zudem müsse ein Kausalzusammenhang zwischen Schaden und Verstoß bestehen. Damit widerspricht der EuGH der Auffassung des Bundesarbeitsgerichts (BAG), bereits der Verstoß gegen eine Vorschrift der DSGVO könne einen Anspruch auf Schadensersatz begründen (8 AZR 253/20 (A)). Eine entsprechende Vorlage des BAG liegt – neben vielen weiteren ähnlichen – ebenfalls beim EuGH.
- Muss für die Zuerkennung vom Schadensersatz eine Folge von zumindest einigem Gewicht vorliegen, die über bloßen Ärger hinausgeht?
Hierzu hat der EuGH geurteilt, der Schadenersatzanspruch sei nicht auf immaterielle Schäden beschränkt, die eine gewisse Erheblichkeit erreichen. Schließlich habe der Gesetzgeber den Begriff „Schaden“ weit verstanden.
Chancen für unsere Mandanten, einen hohen Schadensersatz zu erlangen, sind mit diesem EuGH-Urteil enorm gestiegen. In allen Fällen von Datenlecks liegt somit der Schaden bereits darin, dass die Daten in die Hände von unbefugten Dritten oder Kriminellen gelangt sind. Betroffene müssen daher nicht nachweisen, dass sie infolge von Datenlecks konkret Spam-Mails oder Phishing-Angriffen ausgesetzt waren, um Schadensersatz zu erhalten.
- Macht das Unionsrecht weitere Vorgaben für diesen Schadensersatzanspruch?
Schlussendlich stellt der EuGH fest, dass es weiterhin Sache der nationalen Gerichte sein wird, konkrete Kriterien für die Ermittlung des Umfangs des Schadenersatzes zu ermitteln. Hierzu betont der Gerichtshof allerdings explizit, dass die DSGVO eine „Ausgleichsfunktion“ hat und „vollständigen und wirksamen Schadenersatz für den erlittenen Schaden sicherstellen soll.“
Diese Entscheidung des EuGHs zur DSGVO ermöglicht es Betroffenen zukünftig, ohne Erheblichkeitsschwelle höhere Schadensersatzansprüche zu stellen.
Sie möchten von Ihrem Auskunftsrecht Gebrauch machen oder einen Anspruch auf Schadensersatz stellen? Als Fachanwälte für IT-Recht helfen wir Ihnen gerne dabei! Nehmen Sie dazu Kontakt zu uns auf – wir freuen uns auf Ihre Anfrage.
Neueste Kommentare