EuGH-Urteil zu Schadensersatz und Identitätsdiebstahl
#apd-Journal
EuGH vom 20. Juni 2024 (C-182/22 und C-189/22)
Das Urteil des EuGH vom 20. Juni 2024 (C-182/22 und C-189/22) bezieht sich auf Schadensersatzansprüche gemäß Artikel 82 DSGVO im Zusammenhang mit Identitätsdiebstahl und stellt die folgenden zentralen Punkte klar:
- Keine Berücksichtigung des Verschuldensgrades
- Anspruch auf geringen Schadensersatz bei geringem Schaden
- Gleichsetzung von Datenschutzverletzungen und Körperverletzungen.
- Definition von Identitätsdiebstahl
- Ausgleichsfunktion des Schadensersatzes .
a
Keine Berücksichtigung der Schwere des Verstoßes:
Die Schwere des Verstoßes und die etwaige Vorsätzlichkeit des Verantwortlichen werden bei der Bemessung des Schadensersatzes nicht berücksichtigt. Nationale Gerichte können auch geringfügigen Schadensersatz zusprechen, sofern dieser den entstandenen Schaden in vollem Umfang ausgleicht (Rn. 46). Es gibt keine Bagatellgrenze, die überschritten werden muss, um einen Schadensersatzanspruch zu begründen.
Datenschutzverletzung ihrer „Natur nach“ nicht weniger schwerwiegend ist als eine Körperverletzung.
Der EuGH hat klargestellt, dass ein durch eine Verletzung des Schutzes personenbezogener Daten verursachter Schaden seiner Natur nach nicht weniger schwerwiegend ist als eine Körperverletzung. Dies bedeutet, dass immaterielle Schäden durch Datenschutzverstöße ernst genommen und entsprechend entschädigt werden müssen (Rn. 56).
Haftung auch bei Nicht-Nachweis des Identitäts-Diebstahls
Unternehmen haften auch für immaterielle Schäden, die durch Datenschutzverstöße entstehen, selbst wenn kein Identitätsdiebstahl nachgewiesen wurde. Der EuGH hat klargestellt, dass der Ersatz eines durch den Diebstahl personenbezogener Daten verursachten immateriellen Schadens nicht auf Fälle beschränkt werden kann, in denen nachgewiesen wird, dass der Diebstahl zu einem Identitätsdiebstahl oder -betrug geführt hat (Leitsatz Nr. 5). Voraussetzung ist jedoch, dass ein Verstoß gegen die DS-GVO vorliegt, der betroffenen Person ein Schaden entstanden ist und ein Kausalzusammenhang zwischen dem Verstoß und dem Schaden besteht.
Wann handelt es sich um einen Identitätsdiebstahl?
Der Begriff “Identitätsdiebstahl” erfüllt einen Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DS-GVO nur dann, wenn ein Dritter die Identität einer Person, die von einem Diebstahl personenbezogener Daten betroffen ist, tatsächlich angenommen hat (Rn. 57). Der Ersatz eines durch den Diebstahl personenbezogener Daten verursachten immateriellen Schadens kann jedoch nicht auf die Fälle beschränkt werden, in denen nachgewiesen wird, dass ein solcher Diebstahl von Daten anschließend zu einem Identitätsdiebstahl oder -betrug geführt hat.
Somit stellte der EuGH klar, dass die bloße Gefahr dass ein Dritter die Identität nach einem Datendiebstahl annimmt für einen (immateriellen) Schadensersatz nicht ausreichend ist.
Schadensersatz hat ausschließlich eine Ausgleichsfunktion
Der EuGH hat weiterhin entschieden, dass Art. 82 Abs. 1 DS-GVO nicht verlangt, dass der Grad der Schwere und die etwaige Vorsätzlichkeit des Verstoßes gegen die DS-GVO bei der Bemessung des Schadensersatzes berücksichtigt werden (Rn. 30). Der Schadensersatzanspruch nach dieser Bestimmung hat ausschließlich eine Ausgleichsfunktion und keine Straf- oder Abschreckungsfunktion. Das bedeutet, dass die Schwere des Verstoßes und das Verschulden des Verantwortlichen für die Höhe des Schadensersatzes unerheblich sind. Der Schadensersatz soll lediglich den konkret erlittenen Schaden in vollem Umfang ausgleichen.
Zusammenfassend: Haftungsausweitung als Risiko
Das Urteil begründet insgesamt eine Haftungsausweitung für Unternehmen im Bereich des Datenschutzes:
- Unternehmen haften auch für immaterielle Schäden, die durch Datenschutzverstöße entstehen, selbst wenn kein Identitätsdiebstahl nachgewiesen wurde. Das bedeutet, dass auch weniger schwerwiegende, aber nachvollziehbare Schäden kompensationspflichtig werden . Diese Auslegung erhöht das Risiko von Schadensersatzansprüchen, da Betroffene nicht mehr zwingend den Nachweis eines großen Schadens (wie finanziellen Verlusts) erbringen müssen.
- Auch bei geringfügigen Schäden kann ein Schadensersatz zugesprochen werden, sofern er den Schaden ausgleicht. Das erleichtert die Durchsetzung von Ansprüchen für Betroffene und könnte zu einer Zunahme von Klagen führen, insbesondere durch Sammelklagen oder durch spezialisierte Kanzleien .
- Unternehmen müssen sicherstellen, dass Datenschutzmaßnahmen nicht nur technisch, sondern auch organisatorisch äußerst robust sind. Fehler von Mitarbeitern oder Nachlässigkeit könnten schnell zu Schadensersatzforderungen führen
- Die fehlende Begrenzung oder Erheblichkeitsschwelle kann dazu führen, dass selbst subjektive, immaterielle Schäden zu Zahlungsverpflichtungen führen. Das erschwert die Risikoabschätzung und erfordert präzisere interne Kontrollen.
Recent Comments