Die DSGVO schützt personenbezogene Daten und gibt Betroffenen das Recht auf Schadenersatz bei Verstößen. Doch das BAG hat – ebenso wie der EuGH - im Urteil vom 20. Juni 2024 (BAG 8 AZR 124/23) klargestellt, dass allein die Sorge vor einem möglichen Datenmissbrauch nicht ausreicht, um einen Schadenersatzanspruch nach DSGVO zu rechtfertigen. Diese Entscheidungen präzisieren die Anforderungen an den immateriellen Schaden nach Art. 82 Abs. 1 DSGVO und schaffen wichtige Klarheit für Unternehmen und Betroffene.
Voraussetzungen für immaterielle Schäden und Schadenersatzansprüche nach der DSGVO
Nach Art. 82 Abs. 1 DSGVO besteht ein Anspruch auf Schadenersatz bei Verstößen gegen die DSGVO, wenn dadurch ein materieller oder immaterieller Schaden entsteht. Die aktuelle und auch europäische Rechtsprechung zeigt jedoch eine klare Linie: Ein rein hypothetischer Schaden reicht nicht aus. Der EuGH und das BAG betonen, dass für die Entstehung eines immateriellen Schadens mehr als nur die Befürchtung eines Missbrauchs der Daten gegeben sein muss.
Fakten
- Immaterielle Schäden: Es reicht nicht aus, allgemeine Ängste oder Spannungen vor einem Missbrauch zu äußern.
- Kausalzusammenhang: Ein konkreter Schaden muss als direkte Folge eines DSGVO-Verstoßes darlegbar sein.
- Rechtsprechung des BAG: Das BAG schloss sich in einem Urteil vom 20. Juni 2024 der Linie des EuGH an und schuf Präzedenzfälle, die konkrete Nachweise und Schäden für Schadenersatzansprüche verlangen.
EuGH-Urteile klären Kriterien für immateriellen Schaden und Schadenersatzhöhe
Der EuGH verdeutlicht in seinen Urteilen die Anforderungen an einen immateriellen Schaden und dessen Darlegung im Kontext der DSGVO. Besonders im Urteil vom 20. Juni 2024 stellte der Gerichtshof fest, dass hypothetische Risiken nicht genügen. Für einen Anspruch müssen tatsächliche, nachweisbare Beeinträchtigungen der Betroffenen vorliegen.
Abgrenzung von Schadensersatz und Bußgeldern
Der EuGH unterscheidet klar zwischen Schadenersatz, der erlittene Schäden von Betroffenen kompensieren soll, und Bußgeldern, die als Strafe für DSGVO-Verstöße verhängt werden können. Diese Unterscheidung stellt sicher, dass Unternehmen bei Verstößen nicht mehrfach zur Verantwortung gezogen werden. In diesem Kontext empfiehlt der EuGH, dass Unternehmen durch ein dokumentiertes Datenschutz-Compliance-System ihre Haftungsrisiken minimieren können.
Rechtliche Grundlagen zum Schadenersatz nach DSGVO und nationalen Urteilen
Die Regelungen zum Schadenersatz finden sich in Art. 82 Abs. 1 DSGVO. Diese sehen eine Haftung für materielle und immaterielle Schäden bei Verstößen gegen die DSGVO vor, allerdings nur, wenn ein nachweisbarer Schaden besteht. Die aktuelle Rechtsprechung verdeutlicht, dass allgemeine Befürchtungen nicht ausreichend sind, um eine Entschädigung zu erlangen.
- DSGVO-Regelungen: Art. 82 Abs. 1 DSGVO bildet die rechtliche Grundlage für den Schadenersatzanspruch.
- BAG-Urteil: Das BAG präzisiert, dass ein konkreter Schaden vorhanden sein muss; rein hypothetische Schäden erfüllen diesen Anspruch nicht.
Praktischer Tipp: Was Unternehmen bei der DSGVO-Compliance beachten sollten
Angesichts der strikten Anforderungen, die der EuGH und das BAG an Schadenersatzansprüche stellen, wird Unternehmen empfohlen, umfassende Datenschutzmaßnahmen zu ergreifen:
- Dokumentierte Datenschutz-Compliance: Regelmäßige Audits und dokumentierte Prozesse helfen, potenzielle Ansprüche abzuwehren.
- Transparente Kommunikation: Klare Datenschutzinformationen stärken das Vertrauen der Betroffenen und können Haftungsansprüche minimieren.
- Schulung der Mitarbeitenden: Datenschutzschulungen sorgen dafür, dass Mitarbeiter die DSGVO-Regelungen im Arbeitsalltag beachten.
Ein solides Datenschutz-Managementsystem kann als Entlastungsbeweis dienen und zeigt im Schadensfall, dass das Unternehmen alle erforderlichen Maßnahmen zur DSGVO-Compliance ergriffen hat.
Fazit
Die aktuellen Entscheidungen des BAG und des EuGH setzen hohe Anforderungen an den Nachweis immaterieller Schäden nach der DSGVO. Für Betroffene wird es somit schwieriger, Schadenersatz nur aufgrund hypothetischer Befürchtungen geltend zu machen. Unternehmen profitieren von mehr Rechtssicherheit, sofern sie über ein umfassendes Datenschutz-Managementsystem verfügen.
Symbolgrafik:© Stockwerk-Fotodesign - stock.adobe.com