Eine Steuererklärung enthält eine ganze Reihe persönlicher Informationen: Angaben zum Arbeitgeber, zur Religion, Gesundheit und Versicherungen sowie die Bankverbindung. Vorsicht im Umgang mit diesem Dokument gebietet damit nicht nur die allgemeine Sorgfalt, sondern auch die DS-GVO. Das gilt umso mehr nach einer Entscheidung des EuGH vom Donnerstag, wonach auch die bloße Befürchtung, dass sensible Daten in die Hände Dritter gelangt sein könnten, einen Anspruch auf Schadensersatz begründen kann (Urteil vom 20.06.2024 – Az. C-590/22 PS).
Nun könnte einen Steuerberater ein Versehen teuer zu stehen kommen: Ein Ehepaar hatte ihn beauftragt, ihre Steuererklärung zu erledigen. Dass die beiden zwischenzeitlich umgezogen waren, hatten sie seinem Büro zwar mitgeteilt, doch setzte eine Verkettung unglücklicher Umstände ein, als der Steuerberater die Dokumente aufgrund eines Datenbank-Fehlers zur alten Adresse seiner Mandanten schickte. Die neuen Bewohner des Hauses übersahen den abweichenden Namen auf dem Umschlag – der ihrem eigenen Nachnamen ähnelte – und öffneten den Brief. Wie viel von dem Brief die neuen Bewohner tatsächlich gelesen haben, ließ sich später nicht mehr ermitteln.
Ersatz immaterieller Schäden: AG Wesel ruft EuGH an
Dafür verlangt das Paar nun vor dem AG Wesel Schadensersatz von seinem Steuerberater wegen Verstößen gegen die DS-GVO. Einen Anspruch meinen Sie aus Art. 82 Abs. 1 DS-GVO zu haben, der einen Ersatz sowohl für materielle wie auch immaterielle Schäden vorsieht. In dem Fall bezifferte das Paar seinen – immateriellen – Schaden auf 15.000 Euro.
Zur Auslegung der Art. 82 und 83 DS-GVO zog das AG nun den EuGH zu Rate. Unter anderem wollte das Gericht wissen, ob für den Anspruch aus Art. 82 neben dem DS-GVO-Verstoß auch noch ein immaterieller Schaden von einigem Gewicht geltend zu machen und wie dieser zu beziffern sei. Außerdem fragte das AG, ob es genüge, wenn die Anspruchsteller nur befürchteten, dass ihre personenbezogenen Daten in fremde Hände gelangt seien, dies aber nicht beweisen könnten.
EuGH: Nur befürchteter Verstoß reicht für immateriellen Schaden
Das hat der EuGH mit Einschränkungen bestätigt. Art. 82 Abs. 1 DS-GVO sei dahin auszulegen, dass die Befürchtung einer Person, ihre personenbezogenen Daten seien an Dritte weitergegeben worden, ohne dass nachgewiesen werden könne, dass dies tatsächlich der Fall war, ausreiche, um einen Schadenersatzanspruch zu begründen. Dafür müsse lediglich diese Befürchtung, samt ihrer negativen Folgen, ordnungsgemäß nachgewiesen werden.
Die betroffene Person muss demnach nachweisen, dass sie einen immateriellen Schaden erlitten hat. Ein bloßer Verstoß gegen die DS-GVO reiche für sich genommen nicht aus, um einen Anspruch auf Schadenersatz zu begründen, so der EuGH. Dabei betonte er, dass es auf die Schwere des Schadens nicht ankomme und dass der Schadensersatz keinen Sanktions- oder Abschreckungscharakter habe.
In diesem Zusammenhang verweist der EuGH auch auf seine frühere Rechtsprechung zum immateriellen Schadensersatz wegen DS-GVO-Verstößen, insbesondere auf die Entscheidungen Österreichische Post (Urteil vom 04.05.2024, C-300/21) und Natsionalna agentsiaza prihodite (Urteil vom 14.12.2023, C-340/21). Das AG Wesel wird nun auf der Grundlage der EuGH-Antworten ein Urteil fällen.
Immaterieller Schadensersatz beschäftigt Gerichte in vielen Fällen
Beim Ersatz immaterieller Schäden durch DS-GVO-Verstöße sind noch einige Fragen offen. Sie betreffen eine Vielzahl von Fallkonstellationen. So hatte der EuGH am Donnerstag noch eine Vorlagefrage eines deutschen Amtsgerichts zum DS-GVO-Schadensersatz zu beantworten. Dabei ging es um die Trading-App Scalable Capital, deren Kunden Opfer eines Datendiebstahls geworden sind (Urteil vom 20.06.2024, C-182/22 und C-189/22). Die Vorlagefragen des AG München drehten sich hier vor allem darum, wie ein immaterieller Schaden nach der DS-GVO zu bemessen ist. Hier betonte der EuGH ebenfalls, dass der Schadenersatzanspruch ausschließlich eine Ausgleichsfunktion erfülle und nicht der Abschreckung diene. Der Grad der Schwere und ein etwaiger Vorsatz müssten bei der Höhe nicht berücksichtigt werden.
Erst kürzlich hatten zudem mehrere Landgerichte über einen Schadensersatzanspruch gegen Handy-Vertragsanbieter zu entscheiden, die DS-GVO-Verstöße im Zusammenhang mit Datenübermittlungen an die Schufa begangen hatten. Hier haben die meisten Gerichte einen Anspruch mangels bezifferbaren immateriellen Schadens abgelehnt, mit Ausnahme des LG Offenburg, das in einem nicht veröffentlichten Urteil vom 21.02.2024 (Az. 3 O 17/24) offenbar einem Kläger 5.000 Euro Schadensersatz zugesprochen hatte.