Der Europäische Gerichtshof (EuGH) hat im Oktober 2024 zwei Urteile gefällt, die den Schutz von personenbezogenen Daten betreffen. Hier die wichtigsten Punkte zusammengefasst:
1. Urteil (C-200/23): Schadensersatz bei Kontrollverlust:
In diesem Urteil entschied der EuGH, dass bereits der alleinige Verlust der Kontrolle über personenbezogene Daten – etwa durch ein Datenleck – ausreicht, um Schadensersatz zu verlangen, selbst wenn die Daten nicht missbraucht wurden. Betroffene müssen also keine weiteren negativen Folgen wie Betrug oder Identitätsdiebstahl nachweisen. Dieses Urteil basiert auf Erwägungsgrund 85 der Datenschutz-Grundverordnung (DSGVO), der den Kontrollverlust ausdrücklich als immateriellen Schaden anerkennt.
Wesentliche Punkte:
- Kein Missbrauch nötig: Der Kontrollverlust allein genügt, um einen Anspruch auf Schadensersatz nach der DSGVO zu begründen.
- Begründete Befürchtungen: Sorgen und Ängste vor einem möglichen Missbrauch der Daten können den Schadensersatz erhöhen, sind aber nicht zwingend erforderlich.
- Keine Erheblichkeitsschwelle: Der Schaden muss keine besondere Schwere erreichen, um entschädigt zu werden.
Warum ist das Urteil so wichtig?
In der Vergangenheit war es für Betroffene oft schwierig, Schadensersatz zu erhalten, da Gerichte oft den Nachweis verlangten, dass die Daten tatsächlich missbraucht wurden, etwa für Betrug oder Identitätsdiebstahl. Der EuGH hat nun klargestellt: Es reicht aus, dass personenbezogene Daten unrechtmäßig offengelegt wurden. Damit stärkt der Gerichtshof die Rechte von Betroffenen und erleichtert es, Ansprüche durchzusetzen – auch wenn der Missbrauch der Daten (noch) nicht eingetreten ist.
Besonders wichtig ist, dass der Schadensersatz nicht nur auf den Zeitraum des Kontrollverlusts beschränkt ist. Langfristige Auswirkungen, wie die Angst vor einem zukünftigen Missbrauch, müssen ebenfalls berücksichtigt und entschädigt werden.
Auswirkungen auf die Höhe des Schadensersatz:
Außerdem stellte der EuGH klar, dass immaterielle Schäden, wie der Verlust der Kontrolle über personenbezogene Daten, nicht weniger bedeutend sind als körperliche Schäden. Dies hat direkte Auswirkungen auf die Höhe des Schadensersatzes. Es kann zu höheren Entschädigungen führen, da Gerichte jetzt mehr Flexibilität bei der Bewertung solcher Fälle haben. Der EuGH weist zudem darauf hin, dass nationale Gerichte auf Methoden wie Schmerzensgeldtabellen zurückgreifen können, die normalerweise für körperliche Schäden verwendet werden, um eine angemessene Entschädigung festzusetzen.
2. Urteil (C-21/23): Unterlassungsansprüche neben Schadensersatz
Neben dem Schadensersatz hat der EuGH auch bestätigt, dass Betroffene das Recht haben, Unterlassungsansprüche gegen Unternehmen geltend zu machen, die gegen die DSGVO verstoßen haben. Das bedeutet: Betroffene können nicht nur eine Entschädigung für bereits entstandene Schäden fordern, sondern auch verlangen, dass das Unternehmen in Zukunft keine weiteren Datenschutzverstöße begeht.
Das Besondere an diesem Urteil: Unterlassungsansprüche können nicht nur auf Grundlage der DSGVO erhoben werden, sondern auch nach nationalem Recht. Das bedeutet, dass Betroffene auf verschiedenen Rechtswegen agieren können, um zu verhindern, dass Unternehmen in Zukunft erneut gegen Datenschutzbestimmungen verstoßen.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Datenschutzberatung, Auditing und internationalen Datentransfer (TIA). Machen Sie kurzfristig einen Termin aus: