DSGVO-Schadenersatz nach Art. 82 DSGVO: EuGH klärt immateriellen Schaden und Haftung (Urteil vom 11.04.2024, C-741/21)

Führt jeder Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) automatisch zu Schadenersatz?
Der Europäische Gerichtshof (EuGH) hat diese Frage mit Urteil vom 11. April 2024 (C-741/21) beantwortet.

Hintergrund des Urteils

Ein Rechtsanwalt widersprach der Nutzung seiner personenbezogenen Daten für Werbung. Trotzdem erhielt er mehrfach Werbeschreiben. Er verlangte Schadenersatz nach Art. 82 DSGVO, unter anderem wegen eines immateriellen Schadens(Verlust der Kontrolle über seine Daten).

Das zuständige Landgericht legte dem EuGH mehrere Grundsatzfragen zur Auslegung von Art. 82 DSGVO vor.

Wann besteht ein Anspruch auf Schadenersatz nach Art. 82 DSGVO?

Der EuGH stellt klar: Ein Anspruch auf Schadenersatz setzt immer drei Voraussetzungen voraus, die kumulativ vorliegen müssen:

  1. Einen Verstoß gegen die DSGVO

  2. Einen materiellen oder immateriellen Schaden

  3. Einen ursächlichen Zusammenhang zwischen Verstoß und Schaden

Wichtig: Ein DSGVO-Verstoß allein reicht nicht aus.

Immaterieller Schaden nach DSGVO: Keine Bagatellgrenze – aber Nachweis nötig

Der EuGH bestätigt:

  • Es gibt keine Erheblichkeitsschwelle für immaterielle Schäden.

  • Auch ein kurzzeitiger Kontrollverlust über personenbezogene Daten kann ein immaterieller Schaden sein.

Aber:

  • Der Schaden muss tatsächlich entstanden sein.

  • Die betroffene Person muss ihn konkret darlegen.

Eine bloße Rechtsverletzung ohne spürbare Auswirkung genügt nicht.

Haftung des Unternehmens bei Mitarbeiterfehlern

Unternehmen können sich nicht allein damit entlasten, dass ein Mitarbeiter gegen interne Weisungen verstoßen hat.

Der EuGH sagt:

  • Verantwortliche haften grundsätzlich für Datenschutzverstöße.

  • Eine Befreiung von der Haftung ist nur möglich, wenn das Unternehmen in keiner Weise für den Schaden verantwortlich ist.

„Ein Mitarbeiter war’s“ reicht dafür nicht aus.

Höhe des Schadenersatzes: Keine Orientierung an DSGVO-Bußgeldern

Der Schadenersatz nach Art. 82 DSGVO dient nicht der Bestrafung, sondern dem Ausgleich.

Deshalb gilt:

  • Die Bußgeld-Kriterien aus Art. 83 DSGVO (Schwere, Vorsatz, Umsatz) sind nicht anwendbar.

  • Maßgeblich ist allein der konkrete Schaden der betroffenen Person.

Mehrere DSGVO-Verstöße = automatisch mehr Schadenersatz?

Nein.
Auch bei mehreren gleichartigen Verstößen zählt nur der tatsächlich entstandene Schaden – nicht die Anzahl der Verstöße.

Fazit

  • Kein Schadenersatz ohne Schaden

  • Keine Bagatellgrenze, aber Nachweispflicht

  • Keine automatische Haftungsbefreiung bei Mitarbeiterfehlern

  • Schadenersatz ist Ausgleich, kein Strafgeld

    Spam-Check: Wie viele Augen hat ein Mensch?

    Ich akzeptiere die aktuellen Datenschutzbestimmungen. Hiermit stimmen sie zu, dass die brandt.legal sie telefonisch und/oder per E-Mail kontaktieren darf.

    brandt.legal

    Standort Berlin

    Friedrichstraße 95, 10117 Berlin
    Telefon: +49 (0)30 20 60 979 - 00
    Telefax: +49 (0)30 20 60 979 - 20
    Mail: info@brandt.legal

    Standort Mumbai, Indien

    c/o Singhania & Co, 102-103
    Jolly Maker Chamber II
    Nariman Point
    Mumbai 400 021

    Standort Beijing, China

    c/o Zhong Yin Law Firm
    ianwai SOHO Plaza, NO. 39
    Middle Road of EastThird Ring
    Chaoyang District
    Beijing 100022