EuGH-Urteil zur DSGVO: Kurzer "Datenleak" reicht nicht für Schadenersatz
In einem Elektromarkt gelangen bei der Warenausgabe kurzfristig teils sensible Daten in falsche Hände. Der EuGH hält das für nicht besonders schwerwiegend.
(Bild: ec.europa.eu)
Der Europäische Gerichtshof (EuGH) hat am Donnerstag seine fortlaufende Rechtsprechung zum Schadensersatz auf Grundlage Datenschutz-Grundverordnung (DSGVO) weiter ausgeführt. Eine kurze Preisgabe persönlicher Informationen an den falschen Adressaten bleibt demnach unterhalb der Schwelle, bei der ein Betroffener Anspruch auf einen finanziellen Ausgleich hat.
Geklagt hatte in dem Fall ein Kunde der Elektronikfachmarktkette Saturn. Dortigen Mitarbeitern passierte ein Malheur: Bei der Warenausgabe war das von dem Kläger bestellte Elektrohaushaltsgerät einschließlich der Kauf- und Kreditvertragsunterlagen irrtümlich einem anderen Kunden ausgehändigt worden. In den Papieren waren unter anderem der Name, die Anschrift, der Arbeitgeber und die Einkünfte des Betroffenen aufgeführt. Etwa eine halbe Stunde später wurden Gerät und die Unterlagen dann dem Kläger ausgehändigt.
Irrtümliche Weitergabe von Daten
Das Amtsgericht Hagen, bei dem die Auseinandersetzung anhängig ist, wandte sich dazu mit mehreren Fragen an den EuGH. Dieser hat mit seinem Urteil in der Rechtssache C-687/21 jetzt klargestellt: Im Rahmen einer auf Artikel 82 DSGVO gestützten Schadensersatzklage reicht es nicht aus, dass Mitarbeiter eines Unternehmens ein Dokument mit personenbezogenen Daten irrtümlich an einen unbefugten Dritten weitergeben. Das bedeute nicht automatisch, dass die technischen und organisatorischen Maßnahmen, die das Unternehmen zum Schutz der Daten getroffen hat, nicht "geeignet" im Sinne der Verordnung waren.
Die Luxemburger Richter verweisen darauf, dass der unbefugte zweite Kunde die personenbezogenen Daten des Klägers erwiesenermaßen nicht einmal zur Kenntnis genommen habe. Der Betroffene könne daher nicht schon nur aufgrund der kurzfristigen Sorge, dass im Anschluss an die Weitergabe in Zukunft eine Weiterverbreitung oder gar ein Missbrauch der Informationen hätte stattfinden können, einen immateriellen Schaden nachweisen.
Bereits im Dezember hatte der EuGH in einem anderen Fall zwar entschieden, dass die Angst vor Datenmissbrauch nach einem Cyberangriff Schadenersatz begründen kann. Eine Ausgleichszahlung komme etwa in Frage, wenn Cyberkriminelle nach dem unbefugten Zugang persönliche Informationen etwa im Darknet veröffentlichten. Die Richter hoben zugleich aber hervor, dass der Betroffene seine Furcht tatsächlich erlitten haben und dies auch belegen können müsse.
Schaden muss nachgewiesen werden
Ähnlich sieht die Sache der Bundesgerichtshof (BGH) in einem jetzt veröffentlichten Beschluss vom 12. Dezember (Az.: VI ZR 277/22), den die Karlsruher Richter zwei Tage vor dem EuGH-Urteil zu Folgen eines Cyberangriffs fassten. Demnach stehe trotz noch offener Fragen inzwischen fest, dass der Betroffene, der Ersatz des immateriellen Schadens verlangt, jedenfalls geltend machen und gegebenenfalls nachweisen müsse, "dass der Verstoß gegen die DSGVO negative Folgen für ihn gehabt hat". Dies habe die Klägerin nicht beziehungsweise zu spät gemacht, begründet der BGH die Zurückweisung einer Anhörungsrüge gegenüber dem Berufungsgericht. Die Karlsruher Richter legten damit "die Hürden für die Geltendmachung eines immateriellen Schadens" wieder etwas höher, meint Sebastian Laoutoumai von der Kanzlei Löffel Abrar.
(vbr)
