Kein DSGVO-Schadensersatz bei hypothetischem Risiko

Mit Urteil vom 25. Januar 2024 hat der Europäische Gerichtshof (EuGH) eine wichtige Weichenstellung für die Auslegung von Art. 82 DSGVO vorgenommen (C‑687/21). Die zentrale Botschaft: Ein bloß hypothetisches Risiko, dass personenbezogene Daten missbräuchlich verwendet werden könnten, reicht für einen Schadensersatzanspruch nicht aus.

In einem vermeintlich alltäglichen Vorfall beim Elektronikhändler Saturn sah der Kläger seine Datenschutzrechte verletzt. Doch obwohl seine Daten unbefugt an Dritte gerieten, blieb es nach Auffassung des EuGH bei einem rechtlich irrelevanten Risiko. Dieses Urteil konkretisiert die Schwelle für immaterielle Schäden nach der DSGVO und bringt Klarheit für Betroffene wie für datenverarbeitende Unternehmen.

Der Sachverhalt: Wie kam es zur Klage?

Ein Kunde der Elektronikfachmarktkette Saturn hatte ein technisches Gerät gekauft, dessen Finanzierung über ein Drittunternehmen abgewickelt wurde. Im Rahmen dieses Finanzierungsprozesses fielen umfangreiche personenbezogene Daten an: Name, Anschrift, Arbeitgeber, Einkommen – also hochsensible Informationen, die besonders schutzbedürftig sind.

Nach Abschluss des Kaufs geschah ein Fehler:

Das gekaufte Gerät samt aller zugehörigen Unterlagen – inklusive der sensiblen Finanzierungsdaten – wurde irrtümlich an eine andere, unbefugte Person übergeben.

Dieser Fauxpas wurde vom Saturn-Personal rasch bemerkt: Rund 30 Minuten später erhielt der Kläger das Gerät und seine Dokumente zurück. Ob der andere Kunde in der Zwischenzeit Einsicht genommen oder Kopien gefertigt hatte, blieb unklar.

Die Reaktion des Klägers

Der Kläger fühlte sich durch den Vorfall erheblich in seinen Datenschutzrechten verletzt. Er machte einen immateriellen Schaden geltend und forderte Schadensersatz nach Art. 82 DSGVO.

Seine Argumentation:

• Die Daten hätten in die falschen Hände gelangen können.
• Es bestehe eine reale Gefahr, dass sie künftig missbräuchlich verwendet werden könnten.
• Allein die Angst vor möglichem Missbrauch sei ein immaterieller Schaden, der entschädigt werden müsse.

Damit war die zentrale Frage geboren, die letztlich der EuGH zu beantworten hatte:

Reicht ein bloßes Risiko der missbräuchlichen Verwendung personenbezogener Daten aus, um Schadensersatz nach Art. 82 DSGVO zu begründen?

Die Entscheidung des EuGH: Maßstab für immateriellen Schaden

Der EuGH hat diese Frage klar verneint. Der zentrale Leitsatz des Urteils lautet:

„Ein rein hypothetisches Risiko der missbräuchlichen Verwendung von Daten rechtfertigt keinen Schadensersatz nach Art. 82 DSGVO.“

Wichtige Grundsätze, die der EuGH heranzieht:

1. Art. 82 Abs. 1 DSGVO begründet einen Anspruch auf Ersatz von materiellem oder immateriellem Schaden, der unmittelbar durch einen Verstoß gegen die DSGVO entstanden ist.
2. Nicht jeder DSGVO-Verstoß begründet automatisch einen Schadenersatzanspruch. Vielmehr sind drei Voraussetzungen kumulativ erforderlich:
• DSGVO-Verstoß
• Eintritt eines tatsächlichen Schadens
• Kausalität zwischen Verstoß und Schaden
3. Beweislast: Es ist Sache des Klägers, den Nachweis eines tatsächlichen Schadens zu erbringen – sei er materiell oder immateriell.

Bezug zu früheren EuGH-Urteilen

In seiner Urteilsbegründung bezieht sich der EuGH auf zwei zentrale Entscheidungen aus Dezember 2023:

1. C-340/21 – Natsionalna agentsia za prihodite

• Hier urteilte der EuGH, dass eine begründete Befürchtung eines Datenmissbrauchs nach einem Hackerangriff ein immaterieller Schaden sein könne – wenn die Befürchtung auf konkreten Umständen beruht.

2. C-456/22 – Gemeinde Ummendorf

• Auch ein kurzzeitiger Verlust der Kontrolle über Daten kann zu einem Schaden führen, sofern ein tatsächlicher immaterieller Nachteil nachgewiesen wird.

➡️ Diese Urteile zeigen: Ein gewisser „psychischer Stress“ oder Kontrollverlust kann immateriellen Schaden darstellen – aber nur, wenn er greifbar und nachweisbar ist.

Übertragung auf den Saturn-Fall

Der EuGH überträgt diese Maßstäbe nun auf den Fall des Saturn-Kunden:

Der unbefugte Dritte habe die Daten erwiesenermaßen nicht zur Kenntnis genommen.

Es gebe keinen Hinweis, dass Kopien angefertigt oder die Daten missbraucht worden seien.

Daher gilt laut EuGH:

• Ein bloßes hypothetisches Risiko genügt nicht.
• Auch die bloße Sorge, dass ein Missbrauch künftig stattfinden könnte, begründet keinen Schadensersatz.
• Art. 82 DSGVO schützt nicht vor abstrakten Ängsten, sondern setzt konkrete Beeinträchtigungen voraus.

Entscheidend ist laut EuGH die „objektive Feststellung eines tatsächlichen Schadens“ – nicht subjektive Spekulation über mögliche zukünftige Entwicklungen.

Bedeutung für Betroffene und Unternehmen

Für Betroffene:

• Die Hürde für Schadensersatzklagen wird erheblich erhöht.
• Wer DSGVO-Schadensersatz geltend machen will, muss konkrete negative Auswirkungen nachweisen.
• Reine Befürchtungen oder Unwohlsein reichen nicht aus.

Für Unternehmen:

• Ein DSGVO-Verstoß ist nicht automatisch haftungsauslösend.
• Der Schadensersatzanspruch bleibt auf tatsächliche Schäden beschränkt – ein gewisser Schutz vor überzogenen Klagen.
• Dennoch bleibt sorgsamer Umgang mit personenbezogenen Daten essentiell, um Reputationsschäden und Risiken zu vermeiden.

Fazit: Hypothetisches Risiko ≠ realer Schaden

Mit der Entscheidung in der Rechtssache C-687/21 hat der EuGH eine wichtige Klarstellung zum Schadensersatzrecht unter der DSGVO getroffen:

• Nicht jede Datenschutzpanne führt automatisch zu Schadensersatz.
• Es braucht einen nachweisbaren, individuellen Schaden.
• Der EuGH schützt damit die Integrität des Schadensersatzsystems – und beugt Missbrauch durch spekulative Klagen vor.

Diese Entscheidung ist ein Signal für Klarheit, Verhältnismäßigkeit und rechtsstaatliche Ausgewogenheit im Spannungsfeld zwischen Datenschutz und Haftung.