Ein rein hypothetisches Risiko der missbräuchlichen Verwendung von Daten rechtfertigt keinen Schadensersatz nach Art. 82 DSGVO (EuGH, Urt. v. 25.01.2024 - Az.: C-687/21).
Geklagt hatte ein Kunde der Elektronikfachmarktkette Saturn. Ein Gerät inklusive der Kauf- und Finanzierungsunterlagen war an einen falschen Kunden ausgehändigt worden. In den Dokumenten waren mehrere wichtige personenbezogene Daten (u.a. Anschrift, Arbeitgeber und Einkünfte) aufgelistet. Der Fehler wurde schnell bemerkt und korrigiert, sodass dem Kläger nur eine halbe Stunde später bereits seine Ware erhielt.
Der Kläger war der Ansicht, dass ihm aufgrund des Vorfalls ein DSGVO-Schadensersatz zustünde.
Dieser Ansicht hat der EuGH eine klare Absage erteilt.
Ein rein hypothetisches Risiko der missbräuchlichen Verwendung genüge nicht, um den Anwendungsbereich von Art. 82 DSGVO zu eröffnen.
Zuerst erwähnt das Gerichts seine erst jüngst getroffenen Entscheidungen aus Dezember 2023 noch einmal:
"Der Gerichtshof hat entschieden, dass sich nicht nur aus dem Wortlaut von Art. 82 Abs. 1 DSGVO im Licht ihrer Erwägungsgründe 85 und 146, wonach der Begriff „immaterieller Schaden“ im Sinne von Art. 82 Abs. 1 weit zu verstehen ist, sondern auch aus dem mit der DSGVO verfolgten Ziel der Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten ergibt, dass die durch einen Verstoß gegen die DSGVO ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, für sich genommen einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 darstellen kann (vgl. in diesem Sinne Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, Rn. 79 bis 86).
Überdies hat der Gerichtshof, ebenfalls gestützt auf Erwägungen zu Wortlaut, Systematik sowie Sinn und Zweck, festgestellt, dass die betroffene Person durch den kurzzeitigen Verlust der Kontrolle über personenbezogene Daten einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO erleiden kann, der einen Schadensersatzanspruch begründet, sofern diese Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat, wobei der bloße Verstoß gegen die Bestimmungen der DSGVO nicht ausreicht, um auf dieser Grundlage einen Schadensersatzanspruch zu begründen (vgl. in diesem Sinne Urteil vom 14. Dezember 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, Rn. 18 bis 23)."
Dann überträgt er diese Grundsätze auf den vorliegenden Fall:
"Desgleichen ist im vorliegenden Fall festzustellen, dass es sowohl mit dem Wortlaut von Art. 82 Abs. 1 DSGVO als auch mit dem Schutzziel dieser Verordnung im Einklang steht, dass der Begriff „immaterieller Schaden“ eine Situation umfasst, in der die betroffene Person die begründete Befürchtung hegt – was zu prüfen Sache des angerufenen nationalen Gerichts ist –, dass einige ihrer personenbezogenen Daten künftig von Dritten weiterverbreitet oder missbräuchlich verwendet werden, weil ein Dokument, das diese Daten enthält, an einen unbefugten Dritten weitergegeben wurde, der in der Lage war, vor der Rückgabe des Dokuments Kopien von ihm anzufertigen.
Gleichwohl obliegt es demjenigen, der eine auf Art. 82 DSGVO gestützte Schadensersatzklage erhebt, das Vorliegen eines solchen Schadens nachzuweisen. Insbesondere kann ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten nicht zu einer Entschädigung führen. Dies ist der Fall, wenn kein Dritter die fraglichen personenbezogenen Daten zur Kenntnis genommen hat.
Daher ist auf die fünfte Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass in einem Fall, in dem ein Dokument, das personenbezogene Daten enthält, an einen unbefugten Dritten weitergegeben wurde, der diese Daten erwiesenermaßen nicht zur Kenntnis genommen hat, nicht schon deshalb ein „immaterieller Schaden“ im Sinne dieser Bestimmung vorliegt, weil die betroffene Person befürchtet, dass im Anschluss an die Weitergabe, die es ermöglichte, vor der Rückgabe des Dokuments eine Kopie von ihm anzufertigen, in der Zukunft eine Weiterverbreitung oder gar ein Missbrauch ihrer Daten stattfindet."