EuGH bestätigt: DSGVO-Verstoß löst nicht automatisch Anspruch auf immateriellen Schadensersatz aus
Mit Urteil vom 14. Juni 2024 (Az.: C-300/21) hat der Europäische Gerichtshof (EuGH) klargestellt, dass ein bloßer Verstoß gegen die Bestimmungen der Datenschutz-Grundverordnung (DSGVO) nicht ohne Weiteres zu einem Anspruch auf Schadensersatz führt. Vielmehr müssen Betroffene einen tatsächlichen materiellen oder immateriellen Schaden erfahren und diesen im Streitfall auch darlegen und nachweisen. Das Urteil gibt Unternehmen und datenverarbeitenden Stellen eine rechtlich verbindliche Orientierung bei der Bewältigung datenschutzrechtlicher Haftungsrisiken und beeinflusst zudem maßgeblich die Rechtsprechung nationaler Gerichte im Zusammenhang mit Datenschutzverstößen.
Hintergrund des Vorlageverfahrens
Das Verfahren hatte seinen Ursprung in Österreich. Ein Kläger nahm einen Online-Plattformbetreiber wegen angeblicher Verstöße gegen die DSGVO auf immateriellen Schadensersatz in Anspruch. Er stützte sich dabei allein auf den Umstand, dass seine personenbezogenen Daten angeblich unrechtmäßig verarbeitet worden seien, ohne einen daraus resultierenden konkreten Nachteil – etwa ein erlittenes Unwohlsein oder eine Beeinträchtigung – zu konkretisieren. Das über den Fall entscheidende Landesgericht Wien legte dem EuGH mehrere Fragen zur Auslegung von Art. 82 DSGVO vor und ersuchte insbesondere um eine Klärung, ob bereits der reine Verstoß gegen Datenschutzvorschriften für einen Schadensersatzanspruch ausreicht.
Rechtliche Würdigung durch den EuGH
Voraussetzungen des Schadensersatzanspruchs nach Art. 82 DSGVO
Der EuGH führte aus, dass die DSGVO eine differenzierte Regelung für den Ersatz von Schäden vorsieht. Art. 82 DSGVO begründet zwar eine Haftung bei Verstößen gegen Datenschutzvorschriften, setzt für einen Ersatzanspruch jedoch notwendig drei Voraussetzungen voraus:
- einen Verstoß gegen die DSGVO,
- einen daraus entstandenen Schaden sowie
- einen Kausalzusammenhang zwischen Verstoß und Schaden.
Der Gerichtshof betont damit, dass nicht jedes abweichende Verhalten von den Vorgaben der DSGVO unmittelbar haftungsbegründend ist. Ein Anspruch auf Ersatz setzt vielmehr voraus, dass tatsächlich ein materieller oder immaterieller Nachteil eingetreten ist.
Kein Automatismus zugunsten der betroffenen Person
Mit dieser Entscheidung lehnt der EuGH eine strikte „No Fault Liability“ ab. Die bloße Feststellung eines datenschutzrechtlichen Verstoßes – etwa eine nicht ordnungsgemäß erklärte Einwilligung oder eine versäumte Informationspflicht – genügt nicht für die Erstattung von Geldbeträgen wegen immateriellen Schadens. Betroffene müssen vielmehr konkret darlegen, inwiefern sie durch den Verstoß tatsächlich und individuell einen Schaden erlitten haben. Dies erfordert regelmäßig eine genaue Schilderung der erlittenen Beeinträchtigung, wie etwa das Auftreten von Ängsten, Stress oder Beeinträchtigungen des sozialen Umfelds, und nicht nur abstrakte oder allgemeine Benachteiligungen.
Keine Erheblichkeitsschwelle bei immateriellem Schaden
Der EuGH stellt zudem klar, dass an das Vorliegen eines Schadens keine Schwelle geknüpft werden dürfe, wonach nur „erhebliche“ immaterielle Schäden ausgleichsfähig seien. Auch geringfügige Beeinträchtigungen können somit einen Anspruch begründen, sofern diese tatsächlich durch den DSGVO-Verstoß verursacht wurden und im Verfahren greifbar gemacht werden können. Die Anforderungen an den Nachweis des immateriellen Schadens bleiben jedoch bestehen.
Auswirkungen auf die nationale und internationale Rechtspraxis
Stärkung des Grundsatzes individueller Verantwortlichkeit
Die Entscheidung des EuGH verdeutlicht, dass Unternehmen und datenverarbeitende Stellen weiterhin hohe Anforderungen im Bereich des Datenschutzes erfüllen müssen. Gleichzeitig schafft das Urteil aber auch Rechtssicherheit und verhindert eine unbegrenzte Ausweitung von Haftungsrisiken bei rein technischer oder formeller Missachtung der DSGVO, solange kein konkreter Schaden dargelegt ist.
Für die praktische Anwendung bedeutet dies, dass bloße Fehler im Umgang mit personenbezogenen Daten – etwa bei der Auskunftserteilung oder der Dokumentation – nicht automatisch zu finanziellen Forderungen der Betroffenen führen. Erst wenn konkrete, individuelle Nachteile dargetan und nachgewiesen werden, entsteht ein Anspruch auf Ersatz.
Bedeutung für Unternehmen und Datenschutzverantwortliche
Vor dem Hintergrund der jüngsten EuGH-Entscheidung empfiehlt es sich, mit erhöhter Aufmerksamkeit auf die Dokumentation von Datenverarbeitungsprozessen und mögliche Risiken zu achten. Für datenverarbeitende Stellen entstehen durch das Urteil keine geringeren Anforderungen hinsichtlich Prävention, Sensibilität und Dokumentationspflichten – wohl aber eine größere Klarheit hinsichtlich der Tatbestandsvoraussetzungen eines etwaigen Ersatzanspruchs.
Fazit und Ausblick
Die Rechtsprechung des EuGH stellt einen wichtigen Meilenstein im Zusammenspiel von Datenschutz und Haftungsrecht dar. Sie sorgt für eine notwendige Differenzierung zwischen bloßem Rechtsverstoß und tatsächlicher Schadensverursachung. Damit werden sowohl die Position der Betroffenen als auch die Interessen von Unternehmen und datenverarbeitenden Stellen in einen ausgewogenen Ausgleich gebracht. Das Urteil des EuGH dürfte wegweisend für die aktuelle Rechtsprechung und die künftige Ausgestaltung des Schadenersatzrechts im Datenschutz sein.
Für weitergehende Fragen oder bei rechtlichen Unsicherheiten im datenschutzrechtlichen Kontext stehen Ihnen die Rechtsanwälte von MTR Legal Rechtsanwälte gerne als Ansprechpartner zur Verfügung.
