Schadensersatzpflicht bei falscher Adressierung personenbezogener Daten
Werden personenbezogene Daten an eine falsche Adresse geschickt, können Schadensersatzansprüche wegen eines DSGVO-Verstoßes drohen. Dabei soll die Befürchtung genügen, dass die sensiblen Daten in die Hände Dritter gelangt sein könnten.
Jede Person, der wegen eines Verstoßes gegen die Datenschutzvorgaben der DSGVO ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadensersatz, Art. 82 Abs. 1 DSGVO. Zur Auslegung dieser Vorschrift wurde der EuGH mit der Frage angerufen, ob für einen Anspruch aus Art. 82 Abs. 1 DSGVO auch noch ein immaterieller Schaden von einigem Gewicht geltend zu machen und wie dieser zu beziffern sei. Weiter sollte der EuGH darüber befinden, ob es genüge, wenn die Anspruchsteller nur befürchteten, dass ihre personenbezogenen Daten in fremde Hände gelangt seien, dies aber nicht beweisen könnten.
Gemäß Urteil des EuGH vom 20.06.2024 (Rs. C-590/22) genügt ein nur befürchteter Verstoß für die Geltendmachung eines immateriellen Schadens. Erforderlich sei lediglich der ordnungsgemäße Nachweis dieser Befürchtung einschließlich deren negativen Folgen. Der EuGH betonte dabei, dass es weder auf die Schwere des Schadens noch darauf ankomme, dass der Schadensersatz keinen Sanktions- oder Abschreckungscharakter habe.
Hinweis: Zur Höhe des immateriellen Schadensersatzes durch DSGVO-Verstöße sind zahlreiche Fragen offen. Mit Urteil vom selben Tag (Rs. C-182/22 und C-198/22) betonte der EuGH, dass der Schadensersatzanspruch ausschließlich eine Ausgleichsfunktion erfülle und nicht der Abschreckung diene. Dabei müssten der Grad der Schwere und ein etwaiger Vorsatz bei der Bemessung der Höhe des Schadensersatzanspruchs nicht berücksichtigt werden.