EuGH: Kein Schadensersatz ohne Schaden

Kein Schadensersatz ohne Schaden

Datenschutz-Grundverordnung

23. Mai 2023 – Beitrag von Hannes Schwessinger

EuGH-Urteil: Der bloße Datenschutzverstoß begründet noch keinen Schadensersatz nach Art. 82 Abs. 1 DSGVO.

Bereits am 13. Dezember 2022 berichteten wir von einem Urteil des LAG Berlin-Brandenburg. Es bestätigte unsere Ansicht, der bloße Datenschutz-Verstoß könne nicht die Darlegung eines Schadens ersetzen und so zu einem Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO führen. Über Jahre war dies ein Streitthema in der Rechtsprechung, das auch uns in zwei Berufungsverfahren beschäftigte. Nun bringt ein EuGH-Urteil vom 4. Mai 2023 (Az. C-300/21) Klarheit:

Der Schadensersatzanspruch nach Art. 82 DSGVO sei an drei Voraussetzungen geknüpft:

  • Verstoß gegen die DSGVO
  • Darlegung eines erlittenen Schadens
  • Kausalität zwischen Schaden und Verstoß

Eine andere Auslegung des Art. 82 Abs. 1 DSGVO widerspräche dem klaren Wortlaut der Norm. Für die Verhängung von Bußgeldern reiche hingegen der bloße Verstoß gegen die DSGVO aus.

Zudem entschied der Gerichtshof, der Anspruch auf Schadensersatz beschränke sich nicht auf erhebliche Schäden. Denn die DSGVO kenne keine „Erheblichkeitsschwelle“. Vielmehr habe der Unionsgesetzgeber ein weites Verständnis vom Schaden gewählt.  

Offen bleibt jedoch auch nach der Entscheidung die Frage, welche Ansprüche an die Darlegung des Schadens zu stellen sind und welche Kriterien für die Schadenshöhe gelten? Hier sind nun die nationalen Gerichte aufgerufen, entsprechende Kriterien festzulegen.