EuGH: Schmerzensgeld nach Datenpanne auch ohne materiellen Schaden möglich

Der Europäische Gerichtshof (EuGH) hat am Donnerstag seine Rechtsprechung zum Ausgleich von Schäden auf Basis der Datenschutz-Grundverordnung (DSGVO) erneut präzisiert. Ein Arbeitssuchender hat demnach bei einem Datenschutzverstoß des potenziellen Arbeitgebers prinzipiell Anspruch auf Schadenersatz und Schmerzensgeld, auch wenn er keinen materiellen Schaden nachweisen kann. Ausgelöste negative Gefühle können ausreichen.

Hintergrund des Falls: Ein Bewerber, der sich bei der Berliner Quirin-Privatbank Online-Karrierenetzwerk beworben hatte, erhielt eine unerwartete Benachrichtigung. Auslöser: Eine Mitarbeiterin des Finanzinstituts hatte über den Messenger-Dienst des Netzwerks eine vertrauliche Nachricht an den Jobsuchenden an eine dritte Person geschickt, die der Bewerber kannte. Die Nachricht enthielt vertrauliche Informationen über die Gehaltsverhandlungen des Bewerbers, insbesondere die Ablehnung seiner Gehaltsvorstellungen und ein neues Gehaltsangebot. Sie war eigentlich nicht für Außenstehende bestimmt.

Der Dritte, ein ehemaliger Kollege des Bewerbers, leitete die Nachricht an ihn weiter, um herauszufinden, ob er auf Jobsuche war. Daraufhin reichte der Arbeitssuchende Klage gegen die Quirin-Bank ein. Er forderte von ihr, die Verarbeitung seiner Bewerbungsdaten einzustellen, um weitere unbefugte Offenlegungen zu verhindern. Zudem verlangte er Schadensersatz für den immateriellen Schaden, den er erlitten hatte.

Dieser Schaden entstand ihm zufolge, weil er sich Sorgen machte, dass die vertraulichen Informationen von der dritten Person aus der Branche an frühere oder potenzielle Arbeitgeber weitergegeben werden könnten. Der Bewerber befürchtete zudem einen Wettbewerbsnachteil und fühlte sich durch die Offenlegung seiner gescheiterten Gehaltsverhandlungen gedemütigt. Der Bundesgerichtshof (BGH) verwies den Fall an den EuGH zur Klärung von Fragen zur DSGVO.

Gefühlter Kontrollverlust gilt

Die Luxemburger Richter haben mit ihrem am Donnerstag verkündeten Urteil in der Rechtssache C-655/23 nun entschieden: Negative Gefühle wie Sorge, Ärger oder der Eindruck des Kontrollverlusts über die eigenen Daten können einen immateriellen Schaden darstellen. Eine finanzielle Entschädigung ist möglich, wenn der Kläger nachweisen kann, dass er diese negativen Gefühle tatsächlich empfunden hat.

Bei der Höhe der Entschädigung darf laut dem EuGH nicht berücksichtigt werden, wie schwerwiegend das Verschulden der Bank war. Auch eine leichtfertige Fahrlässigkeit reicht also aus. Zudem darf dem Beschluss zufolge das Schmerzensgeld nicht gekürzt oder ersetzt werden, nur weil der Kläger eine gerichtliche Anordnung erwirkt hat, dass die Bank den Verstoß künftig unterlassen muss.

DSGVO-Schadenersatzklagen dürften zunehmen

Weiter stellte der Gerichtshof fest: Es gibt im EU-Recht keinen speziellen Rechtsanspruch darauf, eine Wiederholung des Datenlecks gerichtlich zu unterbinden, falls der Kläger nicht die Löschung seiner Daten fordert. Dennoch können Mitgliedstaaten wie Deutschland solche Unterlassungsklagen in ihrem nationalen Recht vorsehen. Die ausdrückliche Verneinung eines europäischen datenschutzrechtlichen Unterlassungsanspruchs überrascht den Wirtschaftsprofessor Alexander Golland, da der EuGH einen solchen in mehreren Google-Urteilen 2014 und 2019 noch bejaht habe.

Bislang war nicht ganz klar, ob ein reiner immaterieller Schaden ohne konkrete finanzielle oder körperliche Nachteile für eine Klage ausreicht. Der EuGH hat nun hervorgehoben, dass genau diese Art von Benachteiligung einen Anspruch auf Entschädigung begründen kann. Das Urteil senkt so weiter die Hürde für Betroffene, Schadensersatzansprüche durchzusetzen. Es reicht der Nachweis, dass der Verstoß größere Sorgen oder Ärger ausgelöst hat.

Zuvor urteilte der EuGH etwa schon 2023: Allein der Umstand, dass nach einem Cyberangriff auf Unternehmen oder Behörden eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, ihre personenbezogenen Daten könnten durch Dritte missbräuchlich verwendet werden, stellt einen immateriellen Schaden dar. Bereits zuvor bestätigte der Gerichtshof, dass die DSGVO keine Erheblichkeitsschwelle für Schadenersatz vorgibt und breite Ansprüche möglich sind. 2024 arbeitete der EuGH heraus: Ein Datenschutzverstoß ist grundsätzlich nicht weniger schwerwiegend als eine Körperverletzung.

(mki)