Der Europäische Gerichtshof hat eine Grundsatzentscheidung getroffen: Wenn nicht vernünftig mit unseren Daten umgegangen wurde, haben wir im Rahmen der Datenschutzgrundverordnung (DSGVO) sehr häufig Anspruch auf Schadenersatz.
Vor fünf Jahren ist in Europa die Datenschutzgrundverordnung (DSGVO) in Kraft getreten. Ihr Ziel: Die Menschen in der EU sollten mehr Kontrolle über ihre Daten haben. Ob Teilnehmerliste im Sportverein, Videochat an der Uni oder die Internetseite des Unternehmens – die DSGVO regelt den Umgang mit Daten in der EU.
Doch trotz zehntausender Gerichtsverfahren blieb eine wichtige Frage bislang offen: Wann habe ich Anspruch auf Schadenersatz, wenn fahrlässig mit meinen Daten umgegangen wurde?
Der Europäische Gerichtshof (EuGH) hat diese Lücke jetzt geschlossen. Wir haben zwar nicht immer Anspruch auf Schadenersatz, aber häufiger als gedacht, erklärt Deutschlandfunk-Nova-Netzreporter Andreas Noll.
"Voraussetzung für den Schadenersatz: Es muss ein Schaden entstanden sein. Die Schwere spielt keine Rolle."
Um Schadenersatzansprüche anzumelden, muss ein Schaden entstanden sein. Beispiele könnten sein:
- Erhalt ungewollter Werbung
- Das versehentliche Versenden personenbezogener Daten in einer Excel-Datei
- Datenabflüsse bei Firmen aufgrund eines Datenlecks - wie etwa im Falle von Facebook, wo vor zwei Jahren in einem Hackerforum sensible Userdaten aufgetaucht waren
Schadenersatz auch für weniger schwere Fälle
Die Schwere der Fälle spielt keine Rolle. Man kann also auch für sogenannte Bagatellfälle Schadenersatz bekommen. Im konkreten Beispiel ging es um einen DSGVO-Verstoß durch die österreichische Post. Die hatte Daten über Menschen in Österreich gesammelt – Adressen, Alter etc. – und diesen Daten dann "politische Affinitäten" zugeordnet, also wer mutmaßlich eher progressiv oder konservativ wählt.
Der Schaden: Viele Menschen haben sich geärgert, dass sie ohne ihre Einwilligung auf so einer Liste erschienen sind. Das höchste österreichische Gericht wollte dann aber vom EuGH wissen, ob es nicht eine gewisse "Erheblichkeitsschwelle" geben müsste für den Schadenersatz – es ist ja kein finanzieller Schaden entstanden.
Der EuGH sagt: Nein, solche Schwellen brauchen wir nicht. Schon der Verlust der Kontrolle über personenbezogenen Daten ist ein Schaden nach der DSGVO, der kompensiert werden muss.
"Der EuGH sagt: Eine 'Erheblichkeitsschwelle' brauchen wir nicht. Schon der Verlust der Kontrolle über personenbezogenen Daten ist ein Schaden nach der DSGVO, der kompensiert werden muss."
Datenschutzaktivisten wie Max Schrems begrüßen die Entscheidung, weil sie aus ihrer Perspektive den Datenschutz stärkt. Die Versuche, die DSGVO umzuinterpretieren, damit kein Schadenersatz gezahlt werden müssen, seien nun gescheitert.
Auch der Kölner IT-Anwalt Christian Solmecke freut sich über das „bahnbrechende Urteil“. Er geht davon aus, dass in der Folge Schadensersatz gerade in Fällen von Datenleaks und Hackerangriffen viel leichter vor Gericht erstritten werden kann. Das hilft also auch seinem Unternehmen.
Trotzdem: Auch nach diesem Urteil bleiben noch viele praktische Fragen offen, gibt Christian Franz, Fachanwalt für Gewerblichen Rechtsschutz, in einem Blogbeitrag zu bedenken. Das Ringen zwischen den Parteien gehe weiter.
Zahl der Gerichtsverfahren steigt
Wie oft Menschen im Alltag wegen DSGVO-Verstößen tatsächlich vor Gericht gehen, ist schwer exakt zu beziffern, sagt Andreas Noll. Er geht aber europaweit pro Jahr von zehntausenden Prozessen aus. Und die Zahl steigt: 2020, also zwei Jahre nach der DSGVO-Einführung, wurden in der EU bereits Bußgelder in Höhe von gut 160 Millionen Euro verhängt.
In vielen Verfahren bewerten Gerichte die Schadenersatzansprüche auf ein paar hundert Euro: 300 Euro wurden einem Kläger 2021 in einem Verfahren etwa für den Erhalt ungewollter Werbung zugesprochen. In einigen Prozessen wurde den Klagenden auch Schadenersatz in Höhe von mehreren tausend Euro zugesprochen. Die Millionenbeträge, die man aus den USA kennt, sind da aber nochmal eine ganz andere Liga.