Voraussetzungen für immateriellen Schadensersatz und dessen Bemessung nach der DSGVO

Der EuGH hat am 20.6.2024 sein Urteil in der Rechtssache C-590/22 PS (Fehlerhafte Anschrift) zu den Voraussetzungen für immateriellen Schadensersatz und dessen Berechnung nach der Datenschutz-Grundverordnung verkündet. Es ging um einen Schaden, der dadurch entstanden sein soll, dass Steuererklärungen, die personenbezogene Daten enthielten, ohne Einwilligung aufgrund eines Fehlers an Dritte weitergegeben wurden.

Das AG Wesel hat den EuGH zu den Voraussetzungen für immateriellen Schadensersatz und dessen Bemessung nach der Datenschutz-Grundverordnung befragt.

Es hat über eine Klage von zwei ehemaligen Mandanten einer Steuerberatungsgesellschaft gegen eben diese Gesellschaft (sowie deren Gesellschafter) auf immateriellen Schadenersatz nach der Datenschutz-Grundverordnung zu entscheiden. Die Mandanten verlangen 15.000 € als Wiedergutmachung des Schadens, der ihnen dadurch entstanden sein soll, dass ihre Steuererklärung, die personenbezogene Daten enthielt, ohne ihre Einwilligung aufgrund eines Fehlers der Gesellschaft an Dritte weitergegeben wurde. Die Steuerberatungsgesellschaft hatte ihr Schreiben an die Mandanten irrtümlich an deren vormalige Anschrift geschickt, wo es von den neuen Bewohnern geöffnet wurde. Ob diese die darin befindlichen Unterlagen tatsächlich zur Kenntnis genommen haben, konnte nicht geklärt werden.

Der EuGH antwortet dem AG Wesel: 

1.      Art. 82 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

ist dahin auszulegen, dass

ein Verstoß gegen diese Verordnung für sich genommen nicht ausreicht, um einen Anspruch auf Schadenersatz nach dieser Bestimmung zu begründen. Die betroffene Person muss auch das Vorliegen eines durch diesen Verstoß verursachten Schadens nachweisen, ohne dass dieser Schaden jedoch einen gewissen Schweregrad erreichen müsste.

2.      Art. 82 Abs. 1 der Verordnung 2016/679

ist dahin auszulegen, dass

die Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen diese Verordnung an Dritte weitergegeben wurden, ohne dass nachgewiesen werden kann, dass dies tatsächlich der Fall war, ausreicht, um einen Schadenersatzanspruch zu begründen, sofern diese Befürchtung samt ihrer negativen Folgen ordnungsgemäß nachgewiesen ist.

3.      Art. 82 Abs. 1 der Verordnung 2016/679

ist dahin auszulegen, dass

bei der Bemessung des Betrags des auf diese Bestimmung gestützten Anspruchs auf Schadenersatz zum einen die in Art. 83 dieser Verordnung vorgesehenen Kriterien für die Festsetzung des Betrags von Geldbußen nicht entsprechend anzuwenden sind und zum anderen diesem Anspruch auf Schadenersatz keine Abschreckungsfunktion beizumessen ist.

4.      Art. 82 Abs. 1 der Verordnung 2016/679

ist dahin auszulegen, dass

bei der Bemessung des Betrags des auf diese Bestimmung gestützten Anspruchs auf Schadenersatz zugleich verwirklichte Verstöße gegen nationale Vorschriften, die sich auf den Schutz personenbezogener Daten beziehen, aber nicht bezwecken, die Bestimmungen dieser Verordnung zu präzisieren, nicht zu berücksichtigen sind.

Mehr zum Thema:

Beratermodul ITRB - IT-Recht und Datenschutz:
Der IT-Rechtsberater (ITRB) informiert praxisgerecht und anwendungsbezogen über alle aktuellen Entwicklungen in IT-Recht und Datenschutz. Inklusive Selbststudium nach § 15 FAO. Wann immer es zeitlich passt: Für Fachanwälte bietet dieses Modul Beiträge zum Selbststudium mit Lernerfolgskontrolle und Fortbildungszertifikat. 4 Wochen gratis nutzen!