IHK24

Kein Schadensersatz bei kurzem Datenleak

Der Europäische Gerichtshof (EuGH) hat seine Rechtsprechung zum Schadensersatz auf Grundlage der DatenschutzGrundverordnung (DSGVO) verschärft.
Eine kurze Preisgabe persönlicher Informationen an den falschen Adressaten ist für einen Schadensersatz nicht ausreichend. In dem konkreten Fall kaufte ein Kunde bei einer großen Elektronikfachmarktkette ein Haushaltsgerät. Das Gerät inklusive Vertragsunterlagen, aus denen sich Name, Anschrift, Arbeitgeber und Einkünfte des Käufers ergaben, wurde versehentlich einem anderen Kunden ausgehändigt, der sich unbemerkt vorgedrängelt hatte. Ein Mitarbeiter der Kette reagierte schnell, sodass eine halbe Stunde später der Kunde sein Gerät samt Unterlagen zurückhatte. Der Käufer machte gegenüber der Kette Schadensersatz basierend auf der DSGVO geltend und rügte einen Kontrollverlust über seine Daten, den er aufgrund der irrtümlichen Weitergabe der Daten durch den Mitarbeiter der Kette erlitten habe. Da seinem Anspruch nicht entsprochen wurde, reichte er Klage beim Amtsgericht Hagen (AG) ein. Das AG legte in Folge dem EuGH Anfragen bezüglich der Auslegung der DSGVO vor. Der EuGH hat mit seinem Urteil klargestellt, dass es im Rahmen der Schadensersatzklage nicht ausreiche, wenn Mitarbeiter eines Unternehmens ein Dokument mit personenbezogenen Daten irrtümlich an einen unbefugten Dritten weitergeben und dieser keine Kenntnis davon nähme. Der Kläger müsse nachweisen, dass ihm ein Schaden entstanden sei. Ein Schaden liege nicht schon deshalb vor, weil der Kläger befürchte, dass im Anschluss an die Weitergabe der personenbezogenen Daten, in der Zukunft eine Weiterverarbeitung oder gar ein Missbrauch seiner Daten stattfinden würde (EuGH, Urt. v. 15.01.2024, Az. C-687/21).