Scalable Capital Trading-App: Schadensersatz für Diebstahl der hinterlegten persönlichen Daten?

Der EuGH hat am 20.6.2024 sein Urteil in den verbundenen Rechtssachen C-182/22 und C-189/22 (Scalable Capital) zu immateriellem Schadensersatz nach der Datenschutz-Grundverordnung verkündet.

Das AG München hat den EuGH zu immateriellem Schadensersatz nach der Datenschutz-Grundverordnung befragt. Das AG hat über die Klagen von zwei Anlegern gegen die Scalable Capital GmbH zu entscheiden. Die beiden Anleger verlangen Ersatz des immateriellen Schadens, der ihnen durch den Diebstahl ihrer in einer von Scalable Capital betriebenen Trading-App hinterlegten persönlichen Daten durch unbekannte Dritte entstanden sein soll. Von dem Datenverlust sind laut dem AG mehrere zehntausend Personen betroffen.

Der EuGH antwortet − unter Verweis auf seine frühere Rechtsprechung dem AG München wie folgt:

1.      Art. 82 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

          ist dahin auszulegen, dass

der in dieser Bestimmung vorgesehene Schadenersatzanspruch ausschließlich eine Ausgleichsfunktion erfüllt, da eine auf diese Bestimmung gestützte Entschädigung in Geld es ermöglichen soll, den erlittenen Schaden in vollem Umfang auszugleichen.

2.      Art. 82 Abs. 1 der Verordnung 2016/679

          ist dahin auszulegen, dass

er nicht verlangt, dass der Grad der Schwere und die etwaige Vorsätzlichkeit des von dem für die Verarbeitung Verantwortlichen begangenen Verstoßes gegen diese Verordnung für die Zwecke des Ersatzes eines Schadens auf der Grundlage dieser Bestimmung berücksichtigt werden.

3.      Art. 82 Abs. 1 der Verordnung 2016/679

          ist dahin auszulegen, dass

im Rahmen der Festlegung der Höhe des aufgrund des Anspruchs auf Ersatz eines immateriellen Schadens geschuldeten Schadenersatzes davon auszugehen ist, dass ein solcher durch eine Verletzung des Schutzes personenbezogener Daten verursachter Schaden seiner Natur nach nicht weniger schwerwiegend ist als eine Körperverletzung.

4.      Art. 82 Abs. 1 der Verordnung 2016/679

          ist dahin auszulegen, dass

wenn ein Schaden gegeben ist, ein nationales Gericht bei fehlender Schwere des Schadens diesen ausgleichen kann, indem es der betroffenen Person einen geringfügigen Schadenersatz zuspricht, sofern dieser Schadenersatz geeignet ist, den entstandenen Schaden in vollem Umfang auszugleichen.

5.      Art. 82 Abs. 1 der Verordnung 2016/679 ist im Licht der Erwägungsgründe 75 und 85 dieser Verordnung

          dahin auszulegen, dass

der Begriff „Identitätsdiebstahl“ nur dann erfüllt ist und einen Anspruch auf Ersatz des immateriellen Schadens nach dieser Bestimmung begründet, wenn ein Dritter die Identität einer Person, die von einem Diebstahl personenbezogener Daten betroffen ist, tatsächlich angenommen hat. Jedoch kann der Ersatz eines durch den Diebstahl personenbezogener Daten verursachten immateriellen Schadens nach der genannten Vorschrift nicht auf die Fälle beschränkt werden, in denen nachgewiesen wird, dass ein solcher Diebstahl von Daten anschließend zu einem Identitätsdiebstahl oder -betrug geführt hat.

Mehr zum Thema:

Beratermodul Datenschutzrecht:
Das weitgreifende Komplettangebot zum deutschen und europäischen Datenschutzrecht deckt die DSGVO, das TTDSG und das BDSG ab. Enthält zahlreiche integrierte Formulare zur direkten Bearbeitung. Mit Top-Inhalten aus dem C.F. Müller Verlag. Bearbeiten Sie zahlreiche bewährte Formulare mit LAWLIFT! 4 Wochen gratis nutzen!