Auch bei Datenverlust muss ein tatsächlicher Schaden nachgewiesen werden

Ist jeder Datendiebstahl mit einem immateriellen Schaden verbunden? 

Der Europäische Gerichtshof (EuGH) hat sich in den Verfahren C-182/22 und C-189/22 mit der Frage befasst, unter welchen Voraussetzungen Personen, deren personenbezogene Daten gestohlen wurden, einen Anspruch auf Ersatz des immateriellen Schadens haben. Dabei ging es insbesondere um die Frage, ob bereits der Verlust der Kontrolle über die Daten einen solchen Schaden begründet oder ob ein konkreter Missbrauch nachgewiesen werden muss. 

Welches sind nach dem EuGH die wesentlichen Gesichtspunkte eines immateriellen Schadens? 

Der EuGH hat klargestellt, dass der bloße Verlust der Kontrolle über personenbezogene Daten nicht automatisch einen Anspruch auf immateriellen Schadenersatz begründet. Vielmehr muss ein tatsächlicher Schaden nachgewiesen werden. 

Der immaterielle Schadenersatz dient in erster Linie dem Ausgleich eines tatsächlich erlittenen Schadens und nicht der Bestrafung des Verantwortlichen. Ein Identitätsdiebstahl liegt nur dann vor, wenn ein Dritter tatsächlich die Identität des Betroffenen annimmt. Es muss jedoch nicht nachgewiesen werden, dass dieser Missbrauch konkrete Folgen hatte. Das bedeutet, dass es keinen festen Katalog von Nachweisen gibt, die in jedem Fall erforderlich sind. Vielmehr wird es darauf ankommen, eine möglichst überzeugende Indizienkette zu schaffen, die darauf hindeutet, dass die gestohlenen Daten tatsächlich missbraucht wurden. Die Gerichte werden jeden Einzelfall prüfen und abwägen müssen.  

Die Höhe des Schadensersatzes liegt im Ermessen der nationalen Gerichte. Das Verschulden des Verantwortlichen spielt bei der Bemessung des Schadensersatzes keine Rolle. 

Was bedeutet die Entscheidung für die Betroffenen? 

Die Entscheidung des EuGH schränkt die Möglichkeiten für Betroffene von Datenschutzverletzungen ein. Betroffene von Datenschutzverletzungen werden es in Zukunft schwerer haben, immateriellen Schadensersatz zu erlangen. Die Rechtslage ist nach wie vor unklar. Welche konkreten Folgen eines Datendiebstahls müssen nachgewiesen werden, um einen immateriellen Schaden zu begründen? Wie hoch ist der immaterielle Schaden in einzelnen Fällen zu bemessen? 

Der EuGH macht mit dieser Entscheidung deutlich, dass der Schutz personenbezogener Daten in der EU ernst genommen wird. Die Durchsetzung von Ansprüchen kann jedoch weiterhin schwierig sein. 

Was bedeutet das für Unternehmen? 

Um Unternehmen wirksam vor Schadensersatzklagen zu schützen, ist eine proaktive Prävention unerlässlich. Durch die Implementierung eines robusten Risikomanagementsystems, regelmäßige Schulungen der Mitarbeiter, klare Vertragsgestaltung und eine umfassende Dokumentation können potenzielle Risiken minimiert werden. Zudem ist es ratsam, rechtzeitig auf Veränderungen in der Rechtslage zu reagieren und sich kontinuierlich über aktuelle Entwicklungen zu informieren. Wenn ein Datenschutzvorfall eingetreten ist, sollten alle möglichen Maßnahmen ergriffen werden, um den Eintritt eines Schadens so gering wie möglich zu halten.

Wir unterstützen Sie gerne bei der Umsetzung und Einhaltung der DSGVO, indem wir Ihre Prozesse analysieren, Datenschutzschulungen durchführen und Sie bei der Dokumentation begleiten.