DSGVO: Kein immaterieller Schaden bei rein hypothetischem Missbrauch personenbezogener Daten

Der EuGH ver­schärfte in sei­nem Ur­teil vom 15.01.2024 (Rs. C-687/21) noch­mals die An­for­de­run­gen an Scha­dens­er­satz­an­sprüche bei Verstößen ge­gen die Da­ten­schutz-Grund­ver­ord­nung (DS­GVO). Im Rah­men ei­ner Scha­dens­er­satz­klage nach Art. 82 DS­GVO stellte er klar, dass die irrtümli­che Wei­ter­gabe ei­nes Do­ku­ments mit per­so­nen­be­zo­ge­nen Da­ten durch einen Mit­ar­bei­ter des für die Ver­ar­bei­tung Ver­ant­wort­li­chen an einen un­be­fug­ten Drit­ten für sich ge­nom­men nicht aus­reicht, um da­von aus­zu­ge­hen, dass die tech­ni­schen und or­ga­ni­sa­to­ri­schen Maßnah­men, die der für die be­tref­fende Ver­ar­bei­tung Ver­ant­wort­li­che ge­trof­fen hat, nicht „ge­eig­net“ i. S. d. DS­GVO wa­ren.

So­fern der un­be­fugte Dritte die per­so­nen­be­zo­ge­nen Da­ten er­wie­se­nermaßen nicht zur Kennt­nis ge­nom­men habe, liege nicht schon des­halb ein „im­ma­te­ri­el­ler Scha­den“ vor, weil zu befürch­ten sei, dass im An­schluss an die Wei­ter­gabe, die es ermöglichte, vor der Rück­gabe des Do­ku­ments eine Ko­pie von ihm an­zu­fer­ti­gen, in der Zu­kunft eine Wei­ter­ver­brei­tung oder gar ein Miss­brauch ih­rer Da­ten statt­fin­det. Ein rein hy­po­the­ti­sches Ri­siko der missbräuch­li­chen Ver­wen­dung durch einen un­be­fug­ten Drit­ten könne nämlich nicht zu ei­ner Ent­schädi­gung führen.