In zwei wichtigen Entscheidungen hat der EuGH die Voraussetzungen für den Schadensersatz nach Art. 82 DSGVO konkretisiert. Danach fallen sowohl immaterielle Schäden als auch subjektive Beeinträchtigungen in den Schutzbereich der Norm. Eine Bagatellgrenze existiert nicht.
1. Auch immaterielle Schäden fallen unter den DSGVO-Schaden:
In der ersten Entscheidung stellt der EuGH (Urt. v. 14.12.2023 - Az.: C‑340/21) klar, dass bereits die Befürchtung eines möglichen Missbrauchs personenbezogener Daten für sich genommen einen immateriellen Schaden darstellen kann.
In dem Urteil stellen die Richter fest:
"1. Im Fall der unbefugten Offenlegung von bzw. des unbefugten Zugangs zu personenbezogenen Daten können die Gerichte aus diesem Umstand allein nicht ableiten, dass die Schutzmaßnahmen, die der für die Datenverarbeitung Verantwortliche ergriffen hat, nicht geeignet waren. Die Gerichte müssen die Geeignetheit dieser Maßnahmen konkret beurteilen.
2. Der Verantwortliche trägt die Beweislast dafür, dass die getroffenen Schutzmaßnahmen geeignet waren.
3. Im Fall der unbefugten Offenlegung von bzw. des unbefugten Zugangs zu personenbezogenen Daten durch „Dritte“ (wie Cyberkriminelle) kann der Verantwortliche gegenüber den Personen, denen ein Schaden entstanden ist, ersatzpflichtig sein, es sei denn, er weist nach, dass er in keinerlei Hinsicht für den Schaden verantwortlich ist.
4. Allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, kann einen „immateriellen Schaden“ darstellen."
Hinsichtlich des DSGVO-Schadensbegriffes erläutern die Robenträger:
"Eine Auslegung von Art. 82 Abs. 1 DSGVO dahin, dass der Begriff „immaterieller Schaden“ im Sinne dieser Bestimmung keine Situationen umfasst, in denen sich eine betroffene Person nur auf ihre Befürchtung beruft, dass ihre Daten in Zukunft von Dritten missbräuchlich verwendet werden, wäre jedoch nicht mit der Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten in der Union vereinbar, die mit diesem Rechtsakt bezweckt wird.
Allerdings ist darauf hinzuweisen, dass eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie negative Folgen gehabt hat, nachweisen muss, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen (…).
Insbesondere muss das angerufene nationale Gericht, wenn sich eine Person, die auf dieser Grundlage Schadenersatz fordert, auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann.
Nach alledem ist auf die (…) Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, einen „immateriellen Schaden“ im Sinne dieser Bestimmung darstellen kann."
2. Auch rein subjektive Schäden fallen unter den DSGVO-Schaden:
In der zweiten Entscheidung erklärt der EuGH (Urt. v. 14.12.2023 - Az.: C‑456/22) deutlich, dass auch rein subjektive Schäden unter die Norm des Art. 82 DSGVO fallen können.
Der Sachverhalt war wie folgt:
"Am 19. Juni 2020 hatte die Gemeinde Ummendorf auf ihrer Internetseite ohne Einwilligung der Kläger des Ausgangsverfahrens die Tagesordnung einer Gemeinderatssitzung, in der mehrfach die Namen der Kläger genannt wurden, sowie ein am 10. März 2020 vom Verwaltungsgericht Sigmaringen (Deutschland) verkündetes Urteil veröffentlicht, in dessen Rubrum ebenfalls ihre Namen und Vornamen sowie ihre Anschrift genannt waren. Diese Unterlagen waren bis zum 22. Juni 2020 auf der Homepage dieser Gemeinde verfügbar.
Die Kläger des Ausgangsverfahrens sind der Auffassung, dass diese Veröffentlichung ein Verstoß gegen die DSGVO sei und dass die Gemeinde Ummendorf vorsätzlich gehandelt habe, da die Namen der anderen Beteiligten des Verfahrens, in dem das genannte Urteil ergangen sei, geschwärzt worden seien. Daher nehmen sie die Gemeinde nach Art. 82 Abs. 1 DSGVO auf Ersatz des ihnen angeblich entstandenen immateriellen Schadens in Anspruch. Ihrer Ansicht nach stellt die unzulässige Offenlegung personenbezogener Daten einer natürlichen Person einen „Schaden“ im Sinne dieser Bestimmung dar, ohne dass eine „Bagatellgrenze“ geltend gemacht werden könne, die der Systematik der DSGVO widerspräche und der abschreckenden Wirkung dieser Bestimmung abträglich wäre.
Die Gemeinde Ummendorf dagegen hält bei einem Ersatz „immaterieller Schäden“ im Sinne von Art. 82 Abs. 1 DSGVO den Nachweis spürbarer Nachteile und eine objektiv nachvollziehbare Beeinträchtigung persönlichkeitsbezogener Belange für erforderlich. für erforderlich."
Dieser Fall kam nun zum EuGH und der urteilte, dass den Klägern durchaus in diesen Fällen ein Schadensersatzanspruch zustehen könne.
Das Erfordernis einer objektiven Erheblichkeitsschwelle dürfe nicht verlangt werden:
“Somit kann nicht angenommen werden, dass über diese drei (…) genannten Voraussetzungen hinaus für die Haftung nach Art. 82 Abs. 1 DSGVO weitere Voraussetzungen aufgestellt werden dürfen, etwa die, dass der Nachteil spürbar oder die Beeinträchtigung objektiv sein muss. Folglich verlangt Art. 82 Abs. 1 DSGVO nicht, dass nach einem erwiesenen Verstoß gegen Bestimmungen dieser Verordnung der von der betroffenen Person geltend gemachte „immaterielle Schaden“ eine „Bagatellgrenze“ überschreiten muss, damit dieser Schaden ersatzfähig ist.
Die Robenträger begründen diese weite Auslegung mit der breiten Schutzwirkung der DSGVO:
"Zudem steht eine solche Auslegung mit einem der Ziele der DSGVO im Einklang, namentlich demjenigen, innerhalb der Union ein gleichmäßiges und hohes Niveau des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten zu gewährleisten. Würde der Ersatz des Schadens von einer Erheblichkeitsschwelle abhängig gemacht, könnte dies nämlich die Kohärenz der mit der DSGVO eingeführten Regelung beeinträchtigen, da die graduelle Abstufung einer solchen Begrenzung, von der die Möglichkeit, Schadenersatz zu erhalten, abhinge, je nach Beurteilung durch die angerufenen Gerichte unterschiedlich hoch ausfallen könnte (…).
Eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie nachteilige Folgen gehabt hat, muss jedoch den Nachweis erbringen, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen (…). Der bloße Verstoß gegen die Bestimmungen dieser Verordnung reicht nämlich nicht aus, um einen Schadenersatzanspruch zu begründen (…).
Unter diesen Umständen steht zwar nichts dem entgegen, dass die Veröffentlichung personenbezogener Daten im Internet und der daraus resultierende kurzzeitige Verlust der Hoheit über diese Daten den betroffenen Personen einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO zufügen können, der zum Schadenersatz berechtigt, doch müssen diese Personen den Nachweis erbringen, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten haben.
Nach alledem ist auf die Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass er einer nationalen Rechtsvorschrift oder ‑praxis entgegensteht, die für einen durch einen Verstoß gegen diese Verordnung verursachten immateriellen Schaden eine „Bagatellgrenze“ vorsieht. Die betroffene Person muss den Nachweis erbringen, dass die Folgen dieses Verstoßes, die sie erlitten zu haben behauptet, ursächlich für einen Schaden waren, der sich von der bloßen Verletzung der Bestimmungen dieser Verordnung unterscheidet."