Geschrieben am 30.05.2023 von:
Die zunehmenden Hacker-Angriffe erhöhen die Anzahl an Datenpannen in den Unternehmen sowie im öffentlichen Sektor. Sind Daten dabei abhandengekommen, was oft schnell publik gemacht wird sowie aufgrund der erforderlichen Benachrichtigung bekanntgegeben wird, berufen sich Betroffene oft direkt auf einen sog. „Kontrollverlust“ in Bezug auf ihre Daten. Inwieweit darin ohne Weiteres tatsächlich ein immaterieller Schaden zu sehen ist, lässt sich pauschal nicht beantworten.
Mit seinem Urteil vom 04.05.2023 (C-300/21) hat der Europäische Gerichtshof jedoch für gewisse Klarheit im Datenchaos beigetragen. Nach seiner Ansicht gibt es keine Bagatellgrenze, so dass vom Schadensersatzanspruch aufgrund eines Datenschutzverstoßes nach Art. 82 Abs. 1 DS-GVO zunächst jeder Schaden umfasst ist, unabhängig von einem Erheblichkeitsgrad.
Die Entscheidung lässt mithin eine Welle berechtigter, aber auch unberechtigter Schadensersatzforderungen von Betroffenen vermuten. Denn im Streitfall kommt es gerade nicht nur auf die Frage an, ob negative Folgen eingetreten sind. Entscheidend ist vielmehr, ob diese Folgen überhaupt einen immateriellen Schaden darstellen sowie ob ein verarbeitungsbezogener Datenschutzverstoß seitens des Verantwortlichen gegeben ist, der auch kausal für die Entstehung eines Schadens gewesen sein muss.
Der EuGH betont in seinem Urteil selbst, dass der Betroffene nicht vom Nachweis befreit ist, dass die negativen Folgen einen immateriellen Schaden im Sinne von Art. 82 DS-GVO darstellen.
Auch im Übrigen trägt nach der Rechtsprechung der Betroffene die volle Darlegungslast für alle oben genannten anspruchsbegründenden Tatsachen.
Die ausgenutzte Datenlücke muss damit immer einer rechtlichen Prüfung unterzogen werden, um die Wahrscheinlichkeit bestehender oder drohender Schadensersatzansprüche fallbezogen zu beurteilen.