Wofür gibt es nach dem Datenschutz-Urteil des EuGH einen Schadensersatz?
Grundsätzlich steht jeder Person ein Schadensersatz nach der Datenschutz-Grundverordnung (DSGVO) zu, die aufgrund eines Datenschutz-Verstoßes einen Schaden erlitten hat. Dazu hat der EuGH betont, dass es keine „Erheblichkeitsschwelle“ geben darf. Das heißt, unabhängig davon, wie schlimm der Schaden ist, muss es eine Entschädigung geben. Soweit so klar – jetzt wird es ein bisschen kniffliger. Der erlittene Schaden kann entweder materiell oder immateriell sein. Hier eine kurze Erklärung an Beispielen, was das bedeutet:
Materieller Schaden am Beispiel SCHUFA
Die SCHUFA berechnet Ihre Bonität anhand eines Scores. Die Berechnung basiert auf Daten, die die SCHUFA über sie sammelt. Bei der Sammlung und Verarbeitung Ihrer Daten verstößt die SCHUFA teilweise gegen die DSGVO – etwa, wenn Sie Informationen über Sie hortet und in den Score einfließen lässt, die sie gar nicht haben dürfte. Auch die Erstellung des Scores selbst steht im Verdacht, rechtswidrig zu sein. Wird Ihr SCHUFA-Score daraufhin schlechter, erhalten Sie vielleicht teurere Konditionen bei Kreditverträgen oder sogar eine Absage. Dieser Schaden, den Sie direkt in Ihrem Portemonnaie merken, nennt sich materiell.
Prüfen Sie jetzt kostenlos Ihren Schadensersatz gegen die SCHUFA!
Immaterieller Schaden am Beispiel von Datenlecks
Beim immateriellen Schadensersatz spricht man häufig auch von Schmerzensgeld. Es bedeutet im Grunde, dass man den Schaden nicht wirklich greifen kann. Gemeint ist im Datenschutz-Kontext konkret, dass man z.B. die Kontrolle über seine Daten verliert. So ist es u.a. allen Betroffenen beim Facebook-Datenleck ergangen. Denn das Unternehmen hat die Daten seiner Kunden nicht DSGVO-konform gesichert, Hacker haben die Daten von Millionen Nutzern abgegriffen und in den Weiten des Internets verstreut. Hier ist ein immaterieller Schaden entstanden.
Prüfen Sie jetzt kostenlos Ihren Schadensersatz gegen Facebook
Wie hoch kann der Schadensersatz ausfallen?
Die Höhe des Schadensersatzes ist natürlich stark vom Einzelfall und dem erlittenen Schaden abhängig. In vergangenen Urteilen deutscher Gerichte wurden zwischen 100 und 5.000 Euro Entschädigung zugesprochen. So gab es beispielsweise 1.000 Euro für einen rechtswidrigen SCHUFA-Eintrag oder eine unzureichende SCHUFA-Auskunft und 2.500 Euro für Identitätsdiebstahl in Zusammenhang mit dem Zugriff auf Kundendaten. Für die Betroffenheit vom Facebook-Datenleck werden in der Regel 1.000 Euro gefordert.
Der EuGH stärkt die Rechte Betroffener und den Datenschutz mit diesem Urteil ungemein und erleichtert die Durchsetzung von Schadensersatz. Wer durch einen Datenschutzverstoß die Kontrolle über seine Daten verliert oder vielleicht sogar finanziell benachteiligt wird, kann sich dafür entschädigen lassen – egal, wie groß oder klein der Schaden sein mag.
André Felgentreu
Rechtsanwalt & Experte im Datenschutzrecht
Worum ging es in dem Datenschutz-Verfahren vor dem EuGH?
Ab dem Jahr 2017 sammelte die Österreichische Post Informationen über die politischen Affinitäten der österreichischen Bevölkerung. Mithilfe eines Algorithmus, der verschiedene soziale und demografische Merkmale berücksichtigte, definierte sie „Zielgruppenadressen“. Die so generierten Daten wurden an verschiedene Organisationen verkauft, um ihnen den zielgerichteten Versand von Werbung zu ermöglichen. In diesem Rahmen leitete die Österreichische Post eine hohe Affinität des Klägers zu einer bestimmten österreichischen politischen Partei ab.
Diese Informationen wurden nicht an Dritte übermittelt, aber der Kläger fühlte sich dadurch beleidigt, dass ihm eine Affinität zu der fraglichen Partei zugeschrieben wurde. Die Speicherung von Daten zu seinen mutmaßlichen politischen Meinungen durch die Österreichische Post habe bei ihm großes Ärgernis und einen Vertrauensverlust sowie ein Gefühl der Bloßstellung ausgelöst. Da das zuständige Gericht in Österreich keinen Schaden feststellen konnte, legte es dem EuGH die Frage vor, ob allein der Verstoß gegen die DSGVO – der hier vorlag – ausreicht, um einen Schadensersatzanspruch zu begründen.
Die Richter in Luxemburg stellten fest, dass der Verstoß allein keinen Schadensersatzanspruch begründet. Vielmehr muss der Verstoß kausal zu einem Schaden geführt haben. Zusätzlich hat der EuGH aber ausgeführt, dass der Schaden keinen bestimmten Grad an Erheblichkeit haben muss (siehe oben) und dass es im Falle eines Schadens einen „vollständigen und wirksamen Schadensersatz“ geben muss. Mit anderen Worten: die nationalen Gerichte sollen großzügig bei der Verteilung der Entschädigungen sein.