EuGH konkretisiert Kriterien für Datenschutzvergehen
EuGH konkretisiert Kriterien
für Datenschutzvergehen
Urteil zur irrtümlichen Weitergabe persönlicher Daten
swa Frankfurt
Der Europäische Gerichtshof (EuGH) hat in einem Urteil zu Datenschutzvergehen mehr Klarheit mit Blick auf mögliche immaterielle Schäden geschaffen. Der Fall betrifft die Elektronik-Fachmarktkette Media Markt Saturn. Bei der Warenausgabe war das von einem Kunden bestellte Haushaltsgerät einschließlich Kauf- und Kreditvertragsunterlagen mit Angabe von Name, Anschrift, Arbeitgeber und Einkünften irrtümlich einem anderen Kunden ausgehändigt worden. Der Kläger hatte seine Daten nach Angaben des Gerichts nach etwa einer halben Stunde zurückerhalten.
Wegen des Vorfalls verklagte der betroffene Kunde den Einzelhändler auf Ersatz des immateriellen Schadens, den er aufgrund des Irrtums der Angestellten erlitten habe. Dabei stützte sich der Kläger auf die EU-Datenschutz-Grundverordnung (DSGVO). Das angerufene Amtsgericht Hagen legte dem EuGH dann eine Reihe von Fragen zur Auslegung der DSGVO vor.
In seinem Urteil legt der EuGH die Schadenersatzregeln der DSGVO aus Sicht von Juristen "zurückhaltend" aus. Der Kläger muss dem EuGH zufolge nachweisen, dass Dritte tatsächlich von den personenbezogenen Daten Kenntnis erlangt haben, erläutert Felix Glocker, Rechtsanwalt der Kanzlei CMS Deutschland, die Entscheidung. "Wenn ein Missbrauch von personenbezogenen Daten nur ein hypothetisches Risiko ist, entsteht ausdrücklich kein Schaden. Dies betrifft viele Fälle in der Praxis, da sich ein tatsächlicher Missbrauch in der Regel nicht nachweisen lässt. Damit konkretisiert der EuGH seine Kriterien für den DSGVO-Schadensersatz und schafft mehr Rechtssicherheit", meint der CMS-Anwalt.
Keine Klagewelle
Aus Sicht von Unternehmen sei "die pragmatische Entscheidung" zu begrüßen. "Neben dem Klagerisiko kann aber der Reputationsschaden bei einem unachtsamen Umgang mit Kundendaten groß sein", warnt Glocker. Der Anwalt rechnet weiterhin nicht mit einer Klagewelle auf Basis der DSGVO. Deutsche Gerichte hätten bisher "maximal nur geringe Schadenersatzsummen zugesprochen".