Ein immaterieller Schaden gemäß DSGVO ist gar nicht so leicht nachzuweisen, oder doch? Theoretisch ist das schwierig, doch praktisch hat der Europäische Gerichtshof (EuGH) in seiner aktuellen Entscheidung vom 04. Mai 2023 für Klarheit gesorgt, und zwar im Sinne der Betroffenen. Dadurch wird das Ziel der DSGVO, Betroffene wirksam vor einer rechtswidrigen Verarbeitung zu schützen, nochmals verdeutlicht.
Urteil des EuGH umfasst drei Aspekte
Artikel 82 der DSGVO regelt, dass Betroffene, denen ein immaterieller oder materieller Schaden durch einen DSGVO-Verstoß entstanden ist, Anspruch auf Schadensersatz haben. Die Fragen, wann ein immaterieller Schaden entsteht und inwieweit dieser nachgewiesen werden muss und kann, wurden bisher nicht eindeutig beantwortet. Deshalb hat der EuGH sich dieses Themas angenommen und dadurch die Grundlage für zukünftige Entscheidungen von nationalen Gerichten geschaffen. Das Urteil umfasst drei Aspekte:
- Um immateriellen Schadensersatz geltend machen zu können, muss ein Schaden im Zusammenhang mit einem DSGVO-Verstoß entstanden sein.
- Es muss ein Zusammenhang zwischen Schaden und Verstoß erkennbar sein.
- Der Kontrollverlust ist bereits ein Schaden. Sind also personenbezogene Daten in die Hände von Hackern geraten, liegt ein Schaden vor – es muss keine besondere Schwere des immateriellen Schadens nachgewiesen werden.
Durch diese weite Definition des Schadensbegriffs werden die Rechte Betroffener erheblich gestärkt. Unternehmen, die Opfer von Cyberkriminellen geworden sind, müssen also zukünftig mit immateriellen Schadensersatzforderungen von betroffenen Personen rechnen. Konkrete wirtschaftliche Schäden sind ein materieller Schaden, der gesondert geltend gemacht werden können. Unternehmen sollten also ihre IT-Sicherheit dringend verbessern, um einen solchen Schaden möglichst zu vermeiden.
Nationale Gerichte entscheiden im jeweiligen Fall
Der EuGH kann immer nur eine rechtliche Grundlage schaffen und eine Orientierung geben. Die konkrete Höhe des immateriellen Schadensersatzes werden nationale Gerichte im Einzelfall bestimmen. Gibt es also Nachweise darüber, dass ein Schaden entstanden ist, der über den reinen Kontrollverlust hinausgeht, sollten diese auch vorgebracht werden.
Sichern Sie sich jetzt ab
Das Urteil des EuGH ist ein deutliches Warnsignal an Unternehmen, personenbezogene Daten rechtskonform und sorgfältig zu verarbeiten. Haben Sie Fragen im Zusammenhang mit der Verarbeitung personenbezogener Daten in Ihrem Unternehmen? Dann nehmen Sie Kontakt zu uns auf – das Team von HUBIT Datenschutz berät und unterstützt Sie professionell und zuverlässig.