Der EuGH hat am 25.01.2024 in der Rechtssache C‑687/21 ein Urteil zur Thematik „Wann bekommt man einen Schadenersatz bei einer Datenschutzverletzung?“ gefällt.
Vereinfacht ausgedrückt: Es gibt nur dann einen Schadenersatz, wenn es einen nachweisbaren materiellen oder immateriellen Schaden gibt.
Dadurch dürfte Klarheit entstehen.
Was ist passiert?
Kurz gesagt: Ein Unternehmen hat ein Dokument mit personenbezogenen Daten an einen unbefugten Dritten weitergegeben.
Der Kläger wollte daraufhin einen Schadenersatz haben.
Der EuGH lehnte das ab mit der Begründung, dass es nicht reicht, dass man einen zukünftigen Schaden befürchtet.
Im Urteil sind die Entscheidungsgründe des Gerichts gut dargelegt und mit den entsprechenden Artikeln der Datenschutz-Grundverordnung (DSGVO) unterlegt.
Aus dem Urteil
- Die Art. 5, 24, 32 und 82 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind zusammen betrachtet dahin auszulegen,
dass im Rahmen einer auf Art. 82 gestützten Schadensersatzklage der Umstand, dass Mitarbeiter des für die Verarbeitung Verantwortlichen irrtümlich ein Dokument mit personenbezogenen Daten an einen unbefugten Dritten weitergegeben haben, für sich genommen nicht ausreicht, um davon auszugehen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht „geeignet“ im Sinne der Art. 24 und 32 waren. - Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen,
dass der in dieser Bestimmung vorgesehene Schadensersatzanspruch, insbesondere im Fall eines immateriellen Schadens, eine Ausgleichsfunktion hat, da eine auf sie gestützte Entschädigung in Geld es ermöglichen soll, den konkret aufgrund des Verstoßes gegen die Verordnung 2016/679 erlittenen Schaden vollständig auszugleichen, und keine Straffunktion erfüllt. - Art. 82 der Verordnung 2016/679 ist dahin auszulegen,
dass er nicht verlangt, dass die Schwere des von dem für die Verarbeitung Verantwortlichen begangenen Verstoßes für die Zwecke des Ersatzes eines Schadens auf der Grundlage dieser Bestimmung berücksichtigt wird. - Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen,
dass die Person, die aufgrund dieser Bestimmung Schadensersatz verlangt, nicht nur den Verstoß gegen Bestimmungen der Verordnung 2016/679 nachweisen muss, sondern auch, dass ihr dadurch ein materieller oder immaterieller Schaden entstanden ist. - Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen,
dass in einem Fall, in dem ein Dokument, das personenbezogene Daten enthält, an einen unbefugten Dritten weitergegeben wurde, der diese Daten erwiesenermaßen nicht zur Kenntnis genommen hat, nicht schon deshalb ein „immaterieller Schaden“ im Sinne dieser Bestimmung vorliegt, weil die betroffene Person befürchtet, dass im Anschluss an die Weitergabe, die es ermöglichte, vor der Rückgabe des Dokuments eine Kopie von ihm anzufertigen, in der Zukunft eine Weiterverbreitung oder gar ein Missbrauch ihrer Daten stattfindet.
Links
- EuGH, Urteil vom 25. Januar 2024 – C‑687/21- Link
Sie benötigen Hilfe beim Datenschutz in Ihrem Unternehmen? Wir beraten pragmatisch ohne Firelfanz und stellen den Datenschutzbeauftragten im Raum Frankfurt am Main, Offenbach am Main, Wiesbaden, Darmstadt, Mainz, Rhein-Main, Rhein-Main-Neckar, Hessen, Bayern, Rheinland-Pfalz, Baden-Württemberg, RheinMain oder in ganz Deutschland. Nehmen Sie einfach Kontakt mit uns auf. Hinweis Die Informationen auf unserer Webseite dienen ausschließlich zu Informationszwecken. Bei der Darbringung der Informationen achten wir darauf, dass diese genau und aktuell sind. Aber beachten Sie, die Inhalte stellen keine Datenschutzberatung da. Bei Datenschutzfragen ist jeweils der Einzelfall zu betrachten. Bitte haben Sie Verständnis, dass wir jegliche Haftung für Inhalte Dritter, die über unsere Website aufgerufen werden können, ablehnen. |