EuGH-Urteil Gibt es Anspruch auf Schadensersatz bei Datenklau?
Unter welchen Voraussetzungen können Betroffene Schadensersatz geltend machen, wenn ihre persönlichen Daten missbräuchlich verwendet wurden? Darüber hat heute der Europäische Gerichtshof erneut entschieden.
Hackerangriffe und Datendiebstahl haben in den vergangenen Jahren deutlich zugenommen. Nach Angaben des Bundesamtes für Sicherheit in der Informationstechnik sind viele Unternehmen nicht gut genug aufgestellt, um Cyberkriminellen die Stirn zu bieten. Immer wieder kommt es vor, dass Unternehmen die persönlichen Daten ihrer Kundinnen und Kunden zu wenig schützen.
Wenn Kriminelle Daten abfischen oder wenn sie an unbefugte Empfänger gelangen, können Betroffene grundsätzlich Schadensersatz verlangen. So regelt es die europäische Datenschutzgrundverordnung. Der Europäische Gerichtshof (EuGH) in Luxemburg hat heute in zwei Urteilen erneut Kriterien festgelegt, unter welchen Voraussetzungen Betroffene Schadensersatz beanspruchen können.
Klagen von Anlegern
In einem der beiden Fälle hatten zwei Anleger geklagt, die eine sogenannte Trading-App eines Münchner Vermögensverwalters genutzt hatten. Unbekannte Dritte hatten sich Zugriff auf ihre Daten verschafft. Daraufhin verklagten sie den Anbieter der App auf Schadensersatz vorm Amtsgericht München. Von einem Datenverlust sind laut Amtsgericht insgesamt mehrere Zehntausend Personen betroffen.
Da sich die Schadensersatzansprüche der beiden Anleger auf EU-Recht stützen und für dessen Auslegung der Europäische Gerichtshof zuständig ist, bat das Amtsgericht den EuGH, verschiedene Rechtsfragen zu klären - etwa worauf es ankommt, wenn ein nationales Gericht die Höhe des Schadenersatzes festlegen muss.
Falsch verschickte Steuererklärungen
Im anderen Fall hatte eine Steuerberatungskanzlei versehentlich Steuererklärungen von zwei Mandanten an falsche, nämlich an deren alte Adressen geschickt - obwohl beide die Kanzlei über die neue Adresse informiert hatten. Die Post wurde von den neuen Bewohnern der alten Adresse geöffnet. Die Mandanten verklagten daraufhin die Kanzlei vorm Amtsgericht Wesel auf Schadensersatz, da diese gegen die EU-Datenschutzgrundverordnung verstoßen habe.
Das Amtsgericht konnte nicht klären, ob sich die neuen Bewohner die Steuerunterlagen samt Daten auch angeschaut hatten. Es wollte vom EuGH deshalb unter anderem wissen, ob es für einen Schadensersatzanspruch schon ausreicht, wenn befürchtet werden muss, dass Daten von unbefugten Personen zur Kenntnis genommen werden.
EuGH: Schadensersatz schon bei Missbrauchsgefahr
Der EuGH hat entschieden, dass es bei einem begründeten Anspruch lediglich darauf ankommt, den entstandenen Schaden auszugleichen. Nur dieser Ausgleich müsse bei Festlegung der Höhe berücksichtigt werden. Schon in früheren Entscheidungen hatte der EuGH zur Bemessung der Höhe geurteilt, dass es nicht Sinn und Zweck des Schadensersatzes sei, eine abschreckende Wirkung für künftige Verstöße zu entfalten. Im jüngsten Urteil formuliert der EuGH eine gewisse Faustformel: Je geringfügiger der Schaden ist, desto weniger kann ein Betroffener an Geld beanspruchen.
Was die Position von Betroffenen stärkt: Nach den Urteilen des EuGH ist es nicht notwendig, dass es tatsächlich zu einem Missbrauch der Daten gekommen ist, etwa wenn Kriminelle mit Bankdaten Konten leergeräumt haben. Schon die begründete Befürchtung, dass es zu einem Missbrauch der Daten kommen könnte, kann zu einem Anspruch auf Schadensersatz führen. Dies hat der EuGH nun erneut bekräftigt. Nach Maßgabe dieser Kriterien aus Luxemburg müssen die Amtsgerichte München und Wesel nun über die geltend gemachten Schadensersatzansprüche der Kläger entscheiden.
Höhe der zugesprochenen Summen relativ gering
Seit Inkrafttreten der Datenschutzgrundverordnung hat es allein in Deutschland bereits eine Vielzahl von Gerichtsentscheidungen zum Thema Schadensersatz gegeben. Aus den Entscheidungen lässt sich deutlich ablesen, dass sich die Höhe der gerichtlich festgelegten Schadensersatzsummen deutlich in Grenzen hält. "In den meisten Fällen liegen sie mittlerweile im dreistelligen Bereich, also bei einigen Hundert Euro", so Reemt Matthiesen, Rechtsanwalt bei der Kanzlei CMS Hasche Sigle und Experte für Datenschutzrecht. In deutlich weniger Fällen würden deutsche Gerichte Klägern vierstellige Summen zusprechen.
Um einiges höher sind dagegen die Bußgelder, die die Aufsichtsbehörden gegen Unternehmen verhängen, um Verstöße gegen die EU-Datenschutzgrundverordnung zu sanktionieren. Nach Angaben von Rechtsanwalt Matthiesen ist es keine Seltenheit, dass die Bußgeldsummen im fünfstelligen Bereich oder höher liegen.
Aktenzeichen: C-590/22, C-182-22, C-189-22