Der Europäische Gerichtshof hat heute in zwei wichtigen Fragen des Datenschutzes richtungsweisende Urteile gefällt. Die eine Entscheidung betrifft den Anspruch auf Schadensersatz nach Art. 82 Abs. 1 der Datenschutz-Grundverordnung (DSGVO) für Betroffene von Datenschutzverletzungen. In der Vergangenheit hatten die Gerichte, die über solche Fälle zu entscheiden hatten, die Auffassung vertreten, dass es in diesen Verfahren eine „Erheblichkeitsschwelle“ geben könnte, die dazu führt, dass geringfügige Schäden nicht ersatzfähig sind. Der EuGH ist jedoch der Auffassung, dass auch ein geringfügiger Schaden ersetzt werden kann. In einem zweiten Urteil werden die Auskunftsrechte von Betroffenen gestärkt, die prüfen wollen, ob ihnen ein Anspruch auf Schadensersatz zusteht.

In Bezug auf die erste Frage ist der EuGH der Auffassung, dass das Überschreiten einer Erheblichkeitsschwelle nicht Voraussetzung ist, sondern dass alle eingetretenen Schäden vom Rechtsverletzer ersetzt werden müssen. Dass auch bei geringfügigen Eigentumsverletzungen, wie zum Beispiel Lackschäden nach einem Autounfall, jeder Schaden des Eigentümers und des Unfallopfers in vollem Umfang zu ersetzen ist, ist seit jeher anerkannt. Nur weil der Schaden für Außenstehende nicht immer sofort erkennbar ist, macht das Datenschutzrecht hier keine Ausnahme.

Es obliegt den einzelnen Mitgliedstaaten, sicherzustellen, dass ein vollständiger und wirksamer Schadensersatz erfolgt, um die Höhe des Schadens zu berechnen. Insbesondere die Rechtsprechung in den Mitgliedstaaten muss dafür Sorge tragen, dass die Durchsetzung des europäischen Datenschutzrechts effektiv wird. Gerade Deutschland mit seiner starken Tradition des Zuspruchs von Schmerzensgeld, zum Beispiel im Reisesektor für entgangene Urlaubsfreuden, dürfte hier auch in Zukunft eine wichtige Rolle als Gerichtsstandort einnehmen.

Und so zeigt sich Thomas Bindl, Geschäftsführer und Gründer der Europäischen Gesellschaft für Datenschutz (EuGD), erfreut über das Urteil: „Wir erleben eine Zeitenwende. Verletzer, die bisher meinten, sie könnten sich zurücklehnen und Betroffenen den Nachweis eines besonders hohen Schadens abverlangen, um einen zuvor bei vielen Betroffenen eingetretenen Schaden (Streuschaden) punktuell abzugelten, müssen sich künftig auf eine veränderte Raumtemperatur einstellen, denn jeder Schaden ist ersatzfähig.“

Bindl sieht hierin eine Stärkung der Verbraucher:innenrechte: „Das trägt hoffentlich dazu bei, dass Unternehmen den Datenschutz ernst nehmen und für etwaige Verstöße geradestehen. Gerade nach schuldhaft verursachten Datenlecks gab es hier in der Vergangenheit wenig Verständnis für die Schäden der Betroffenen, was sich nun ändern sollte. Wir werden diese Rechte für viele Tausend Betroffene in Fällen gegen Scalable Capital, Facebook oder Deezer geltend machen.“

Die EuGD hat in der Vergangenheit schon für verschiedene Betroffene von DSGVO-Verstößen juristische Maßnahmen ergriffen und steht aktuell in einem Prozess in München gegen Scalable Capital. Das Besondere bei diesem Fall ist, dass der Kläger mit seinen Daten erpresst wurde. Er hatte eine Mail mit dem Scan seines Ausweises erhalten. Das Urteil hierzu wird Ende Mai erwartet – und das EuGH-Urteil könnte da zeitlich gut passen, um den Kläger in seiner Position zu bestärken. Denn in der Verhandlung, die diese Woche stattfand, wurde zwar bereit seitens des Gerichts ein Verstoß seitens Scalable Capital bejaht, strittig ist aber die Höhe des Schadens. 

Mit zahlreichen Fällen zu genau diesen drei Datenlecks ist auch Rechtanwalt Christian Solmecke unterwegs. Auch Solmecke, der immer wieder Mandant:innen in ähnlichen Fällen vertritt, kommentiert das Urteil entsprechend zufrieden: „Der 4. Mai 2023 ist ein guter Tag für alle Betroffenen, deren Daten geleakt beziehungsweise gehackt wurden oder deren Rechte aus der Datenschutzgrundverordnung (DSGVO) aus anderen Gründen verletzt wurden.“

Das Urteil sei erfreulich, insbesondere aufgrund der Entscheidung, dass der Anspruch auf immateriellen Schadensersatz nicht davon abhänge, dass der entstandene Schaden eine gewisse Erheblichkeit erreicht. Vielmehr sollen die nationalen Gerichte einen „vollständigen und wirksamen Schadensersatz für den erlittenen Schaden“ selbst  sicherstellen. Auch er glaubt, dass die Entscheidung es Betroffenen erleichtert, eigene Rechte aus der DSGVO geltend zu machen und für erlittene Nachteile entschädigt zu werden.

Im zweiten Urteil ging es um das Recht auf Auskunft, wie es Art. 15 DSGVO vorsieht. Dem Kläger wurde in diesem Fall eine vollständige Kopie seiner Daten verweigert. In seinem Urteil hat der EuGH nun entschieden, dass das Recht, eine Kopie zu erhalten, bedeutet, dass die betroffene Person eine originalgetreue und verständliche Reproduktion all dieser Daten bekommen soll. Dies schließt Kopien von Dokumenten oder Auszüge aus Datenbanken mit ein.

Denn nur so können Betroffene ja beurteilen, wie umfassend ein Datenschutzverstoß sich auf sie auswirkt und welche Daten möglicherweise in Umlauf sein können. Entsprechend sieht das auch EuGD-Gründer Bindl: „Nur wenn Verbraucher wissen, welche Daten von ihnen erhoben und verarbeitet werden, haben sie die Möglichkeit, bewusste Entscheidungen über ihre Daten zu treffen. Dass das Recht auf Auskunft und Kopie sämtliche Daten der betroffenen Person umfasst, ist dabei zwingend notwendig, und wir freuen uns, dass der EuGH dies so anerkennt.“

Klar ist, dass mit diesen beiden Entscheidungen das Risiko für Unternehmen, gegen die DSGVO zu verstoßen und damit in eine Klagewelle verärgerter Kund:innen zu laufen, deutlich zugenommen hat. Das dürfte sich auf entsprechende Haftpflichtversicherungspolicen für Unternehmen auswirken. Eindeutig stehen die Urteile aber in Einklang mit dem Grundgedanken der DSGVO, die Verbraucher:innen bestmöglich vor Datenschutzverletzungen zu schützen.