Beitrag teilen

Link in die Zwischenablage kopieren

Link kopieren
Suchfunktion schließen
Recht und Steuern > Urteil der Woche

Datenpanne: Ungutes Gefühl allein berechtigt noch nicht zum Schadensersatz

Dass seine persönlichen Daten kurz in unbefugte Hände gelangt waren, besorgte einen Fachmarktkunden so sehr, dass er auf Schadensersatz klagte. Der EuGH stellte klar:Ersatz gibt es nur, wenn tatsächlich ein Schaden entstanden ist.

Alleine die Weitergabe von Daten reicht nicht, um Schadensersatz geltend zu machen. Es muss nachgewiesen werden, dass tatsächlich ein Schaden entstand, wenn der Dritte die Daten nicht zur Kenntnis nimmt. Bild©Shutterstock

Der Fall

In der Warenausgabe eines Elektronikfachmarkts händigte ein Mitarbeiter versehentlich Kauf- und Kreditvertragsunterlagen zu einem Haushaltsgerät – darin enthalten Name, Anschrift, Einkünfte usw. – dem falschen Kunden aus. Der Irrtum fiel so schnell auf, dass die Unterlagen bereits eine halbe Stunde später an den „richtigen“ Kunden übergeben wurden. 

Dieser Kunde verklagte gleichwohl den Elektronikfachmarkt auf Schadensersatz. Zur Begründung führte er an, durch den Irrtum des Mitarbeiters und das daraus resultierende Risiko des Verlusts der Kontrolle über seine personenbezogenen Daten, habe er einen immateriellen Schaden erlitten.

Das Amtsgericht Hagen legte dem Europäischen Gerichtshof eine Reihe von Fragen vor, wie die die EU-Datenschutz-Grundverordnung (DSGVO) in solchen Fällen auszulegen sei.

Das Urteil 

Der EuGH stellt in seiner Entscheidung klar, dass allein die Tatsache, dass ein Mitarbeiter der Warenausgabe ein Dokument mit personenbezogenen Daten an einen Dritten weitergegeben habe, nicht ausreicht, um davon auszugehen, dass die Maßnahmen zum Datenschutz unzureichend sind. 

Weiter wiesen die Richter darauf hin, dass ein Schadensersatzanspruch nach der DSGVO dazu gedacht ist, den konkret erlittenen materiellen oder immateriellen Schaden durch den Datenschutzverstoß auszugleichen. Dazu muss jedoch derjenige, der Schadensersatz verlangt, nicht nur den Verstoß gegen Datenschutzbestimmungen nachweisen, sondern auch, dass ihm dadurch tatsächlich ein Schaden entstanden ist.

Wird – wie bei dem Haushaltsgerätekauf passiert – ein Dokument mit persönlichen Daten an einen unbefugten Dritten weitergegeben, nimmt der aber diese Daten erwiesenermaßen nicht zur Kenntnis hat, liegt nicht schon deshalb ein „immaterieller Schaden“  vor, weil die betroffene Person befürchtet, dass ihre Daten trotzdem missbraucht werden könnten.

Das sagt die Expertin

„Mit dem Urteil stellt der EuGH erfreulicherweise klar, dass die bloße Befürchtung, es könnte womöglich zu einem Missbrauch mit den Daten kommen, keinen Anspruch auf Schadensersatz begründet“, sagt Franziska Ladiges, Partnerin im Bereich IT und Datenschutz bei der Kanzlei SKW Schwarz. Wenn personenbezogene Daten einem Dritten in die Hände fallen, entsteht der Schaden erst, wenn die Dritte die Daten auch zur Kenntnis nimmt.

Unternehmen können insofern nach dem Urteil aufatmen – „ein ungutes Gefühl eines Kunden bei einer Datenschutzpanne macht sie nicht sogleich schadensersatzpflichtig“, beruhigt die Anwältin.


EuGH, Urteil vom 28.01.2024 –  C-687/21

Ähnliche Artikel