EuGH: Kein Schadensersatz nach Art. 82 DSGVO bei rein hypothetischem Missbrauchsrisiko

von Lieb Rechtsanwälte

EuGH, Urteil vom 25.01.2024 – C-687/21

Der EuGH veröffentlichte vor ein paar Tagen das dritte Urteil innerhalb weniger Wochen (wir berichteten) zum datenschutzrechtlichen Schadenersatzanspruch bei immateriellen Schäden und zieht eine Grenze in seiner doch sehr weiten Rechtsprechung zu Art. 82 DSGVO.

Die Luxemburger Richter konstatieren in ihrer Entscheidung vom 25.01.2024 (Az. C-687/21), dass ein rein hypothetisches Risiko der missbräuchlichen Verwendung von Daten keinen Schadensersatzanspruch nach Art. 82 DSGVO rechtfertigt.

Dem Urteil liegt eine Klage eines Elektromarktkunden zu Grunde, welcher vor einem deutschen Amtsgericht Schadensersatz wegen eines immateriellen Schadens verlangte. Das Amtsgericht legte dem EuGH eine Reihe von Fragen vor, insbesondere solche zur Auslegung der DSGVO. Grundlage des Rechtsstreits war folgendes Ereignis: Ein Kunde (der spätere Kläger) kaufte im Geschäft eines Elektrofachhändlers ein Haushaltsgerät. Bei der Ausgabe der Ware wurde das Gerät versehentlich an einen anderen Kunden herausgegeben. Das Problem: Der andere Kunde erhielt nicht nur das Elektrogerät, sondern bekam auch diverse Unterlagen, welche die Daten des Klägers enthielten in die Hand gedrückt. Dieser Irrtum fiel einem Mitarbeiter des Marktes kurz darauf auf und etwa eine halbe Stunde später war der wahre Kunde in Besitz seines neuen Haushaltsgerätes sowie seiner Unterlagen. Der Dritte nahm die Daten des Klägers nicht zur Kenntnis. Der Kläger sah in diesem Vorfall einen Verstoß gegen das geltende Datenschutzrecht und sah einen Schaden in dem potenziellen Risiko, die Kontrolle über seine personenbezogenen Daten verloren zu haben.

In Einklang zu seiner bisherigen Rechtsprechung äußert der EuGH auch hier, dass die betroffene Person für die Annahme eines Schadens nicht nur den bloßen Verstoß gegen die DSGVO nachweisen müsse, sondern auch, dass ihr tatsächlich ein Schaden entstanden ist. Ein immaterieller Schaden liege aber nicht schon vor, so der EuGH, „wenn eine Person, deren personenbezogene Daten an einen unbefugten Dritten weitergegeben wurden, der diese aber erwiesenermaßen nicht zur Kenntnis genommen hat, dennoch befürchtet, dass die Daten kopiert wurden und in Zukunft weitergegeben oder gar missbraucht werden könnten.“

Mit anderen Worten: Die bloße Befürchtung des Verlusts der Datenhoheit, ja ein schlichtes Unwohlsein, reicht für die Begründung eines Anspruchs auf Entschädigung nach Art. 82 DSGVO nicht aus.

Zurück