Keine Erheblichkeitsschwelle für immateriellen Schadenersatz iSd Art 82 DSGVO – rein hypothetisches Risiko eines Datenmissbrauchs reicht nicht aus (C-687/21)

Die DSGVO sieht nach Art 82 für jede betroffene Person, der aufgrund eines DSGVO-Verstoßes ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadenersatz gegen den Verantwortlichen oder Auftragsverarbeiter vor. Zur Geltendmachung eines solchen Schadenersatzanspruchs muss kumulativ ein „Schaden“, ein Verstoß gegen die DSGVO sowie ein Kausalzusammenhang zwischen dem Schaden und Verstoß vorliegen.

Da Art 82 DSGVO nicht auf innerstaatliches Recht der Mitgliedstaaten verweist, sind die Begriffe „materieller Schaden“, „immaterieller Schaden“ und „Schadenersatz“ unionsautonom und daher in allen Mitgliedstaaten einheitlich sowie unionsrechtlich auszulegen.

Mit  der Frage, ob ein bestimmter Grad an Erheblichkeit des Schadens vorliegen muss, damit eine betroffene Person infolge eines erlittenen DSGVO-Verstoßes immateriellen Schadenersatz verlangen kann, hat sich der Europäische Gerichtshof (EuGH) bereits am 4. Mai 2023 im wegweisenden Urteil zum Fall „Österreichische Post AG“ (C-300/21) erstmalig auseinandergesetzt. Darin wurde klargestellt, dass der Ersatz eines immateriellen Schadens nicht von einem bestimmten Erheblichkeitsgrad abhängig gemacht werden darf.[1] Die Kohärenz der mit der DSGVO eingeführten Regelung soll nämlich nicht beeinträchtigt werden durch die graduelle Abstufung einer solchen Schwelle, die je nach Beurteilung durch die angerufenen nationalen Gerichte wohl unterschiedlich hoch ausfallen könnte.[2] Dies würde dem zentralen Ziel der DSGVO zuwiderlaufen, nämlich innerhalb der Union ein gleichmäßiges und hohes Schutzniveau zu gewährleisten und zu diesem Zweck für eine unionsweit gleichmäßige und einheitliche Anwendung der Vorschriften zum Schutz der Grundrechte und Grundfreiheiten dieser Personen bei der Verarbeitung personenbezogener Daten zu sorgen.[3]

Im Urteil vom 14. Dezember 2023 (C-340/21), dessen Ausgangspunkt ein erfolgter Cyberangriff auf eine dem bulgarischen Finanzminister unterstellte Behörde war, wodurch infolgedessen personenbezogene Daten von mehr als sechs Millionen natürlichen Personen im Internet veröffentlicht wurden, hielt der EuGH daran fest, dass es für die Geltendmachung von immateriellem Schadenersatz gem Art 82 keine Erheblichkeitsschwelle gibt.[4] Befürchtet die betroffene Person aufgrund eines erlittenen DSGVO-Verstoßes, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, kann dies bereits einen „immateriellen Schaden“ darstellen.[5] Allerdings muss dabei das angerufene nationale Gericht prüfen, „ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann.“[6] Es muss sich sohin um eine begründete Befürchtung handeln, wobei stets auf die jeweiligen Umstände abzustellen und daher einzelfallbezogen zu urteilen ist.

Augenscheinlich für Verwunderung sorgte allerdings das Urteil vom 25. Jänner 2024 (C-687/21), in dem entschieden wurde, dass die Befürchtung über einen Datenmissbrauch durch einen unbefugten Dritten, dem personenbezogene Daten der betroffenen Person ausgehändigt wurden, nicht ausreicht, um immateriellen Schadenersatz geltend zu machen.[7] Begründet wurde mit diesem Urteil allerdings keine Erheblichkeitsschwelle, denn in Anbetracht der zuvor angeführten Judikatur hat der EuGH lediglich konsequent an seinen Beurteilungskriterien festgehalten.

Im konkreten Fall hat nämlich ein Mitarbeiter des Verantwortlichen irrtümlich einem Dritten neben einem Kaufgegenstand auch die dazugehörigen Vertragsunterlagen ausgehändigt, welche personenbezogene Daten der richtigen Vertragspartei bzw betroffenen Person enthielten. Dieser Irrtum wurde rasch aufgeklärt und die betroffene Person bekam ihre Vertragsunterlagen samt Kaufgegenstand innerhalb einer halben Stunde wieder zurück. Die betroffene Person machte daraufhin immateriellen Schadenersatz beim jeweils zuständigen Gericht geltend, da sie eine zukünftige Weiterverarbeitung oder gar Datenmissbrauch befürchtete, zumal der Dritte im Zeitraum zwischen der unbefugten Weitergabe und der Rückgabe die Möglichkeit hatte, eine Kopie der Daten anzufertigen.

Der EuGH verneinte allerdings das Vorliegen eines immateriellen Schadens, was einerseits an den besonderen Umständen und andererseits an der fehlenden begründeten Befürchtung lag.

Die besonderen Umstände fußten auf der raschen Aufklärung des Irrtums, wodurch die betroffene Person binnen einer halben Stunde wieder im Besitz ihrer Vertragsunterlagen bzw personenbezogenen Daten im physischen Format war.

Aufgrund dieser Umstände und der kurzen Zeitspanne nahm der EuGH an, dass der unbefugte Dritte die personenbezogenen Daten der betroffenen Person „erwiesenermaßen nicht zur Kenntnis genommen hat“,[8] wodurch es sohin an einer begründeten Befürchtung über einen zu erwartenden Datenmissbrauch fehlt. Dahingehend reicht ein „rein hypothetisches Risiko der missbräuchlichen Verwendung“[9] durch einen unbefugten Dritten nicht aus, um von einem immateriellen Schaden auszugehen.

Zusammenfassend kann sohin festgehalten werden, dass es nach wie vor keine Erheblichkeitsschwelle zur Geltendmachung von immateriellem Schadenersatz iSd Art 82 DSGVO gibt. Damit ein immaterieller Schaden jedoch geltend gemacht werden kann, bedarf es einer begründeten Befürchtung seitens der betroffenen Person, wobei stets auf die jeweiligen besonderen Umstände abzustellen ist.

[1] EuGH C-300/21, UI gegen Österreichisches Post AG,  ECLI:EU:C:2023:370, Rn 43 ff.

[2] EuGH C-300/21, UI gegen Österreichisches Post AG,  ECLI:EU:C:2023:370, Rn 49.

[3] ErwGr 10 DSGVO.

[4] EuGH C-340/21, VB gegen Natsionalna agentsia za prihodite, ECLI:EU:C:2023:986, Rn 78.

[5] EuGH C-340/21, VB gegen Natsionalna agentsia za prihodite, ECLI:EU:C:2023:986, Rn 86.

[6] EuGH C-340/21, VB gegen Natsionalna agentsia za prihodite, ECLI:EU:C:2023:986, Rn 83.

[7] EuGH C-687/21, BL gegen MediaMarktSaturn Hagen-Iserlohn GmbH, vormals Saturn Electro-Handelsgesellschaft mbH Hagen, ECLI:EU:C:2024:72, Rn 62 ff.

[8] EuGH C-687/21, BL gegen MediaMarktSaturn Hagen-Iserlohn GmbH, vormals Saturn Electro-Handelsgesellschaft mbH Hagen, ECLI:EU:C:2024:72, Rn 69.

[9] EuGH C-687/21, BL gegen MediaMarktSaturn Hagen-Iserlohn GmbH, vormals Saturn Electro-Handelsgesellschaft mbH Hagen, ECLI:EU:C:2024:72, Rn 68.