Der EuGH hat in einem aktuellen Urteil diverse Weichenstellungen vorgegeben im Zusammenhang mit einem Schadensersatzverlangen eines Verbrauchers gegen eine Trading Plattform wegen Verstoßes gegen die Datenschutz- Grundverordnung (DSGVO).
Hintergrund war ein Datenleck bei dem online Broker Scalable Capital, der seinen Sitz in München hat.
Der EuGH hat sich in einem deutschen Fall mit vielen Fragen des AG München befasst, aber keine klare Antwort gegeben, wann ein Datendiebstahl immateriellen Schadensersatz nach der DSGVO begründet.
Rechtfertigt die latente Gefahr bereits Schadensersatz nach der DSGVO, auch ohne nachgewiesenen Identitätsdiebstahl? Der EuGH blieb zurückhaltend: Betroffene können nicht allzu viel erwarten, (Az. C-182/22 u. C-189/22).
Das AG stellte zahlreiche Fragen: Liegt ohne Beweise für Datenmissbrauch ein immaterieller Schaden vor? Welche Höhe ist angemessen? Und welche Funktion erfüllt der immaterielle Schadensersatz? Der EuGH stellte klar, dass dieser nur der Kompensation eines tatsächlich erlittenen Schadens dient, nicht als Strafe. Geldbußen und Sanktionen sind in Art. 83 und 84 DSGVO bereits abschließend geregelt.
Das AG München wird den Schaden wohl geringer bemessen, da kein Sanktionszuschlag berechnet werden darf. Der EuGH bestätigte, dass ein geringer Schadensersatzbetrag zulässig ist, solange er den Schaden vollständig ausgleicht. Zur Bestimmung des „erlittenen Schadens“ äußerte sich der EuGH nicht, das bleibt den nationalen Gerichten überlassen.
Der EuGH stellte auch klar, dass die DSGVO den Grad des Verschuldens nicht berücksichtigen muss. Zudem stellte er fest, dass ein durch Datenschutzverletzung verursachter Schaden nicht weniger schwerwiegend ist als eine Körperverletzung.
Welche Fälle einen immateriellen Schaden darstellen, bleibt auch nach sechs Jahren DSGVO unklar. Der EuGH hat zwar einzelne Fragen beantwortet, aber nicht geklärt, welche Tatsachen Betroffene vortragen müssen, um einen immateriellen Schaden darzulegen. Die Entscheidung ändert daran wenig.