Der Saturn Fall: Die Grenzen des immateriellen Schadensersatzes im Datenschutzrecht

In einer richtungsweisenden Entscheidung hat der Europäische Gerichtshof (EuGH) die Anforderungen an Schadensersatzansprüche bei Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) präzisiert. Der Fall betraf einen Kunden des Elektrofachhändlers Saturn, dessen persönliche Daten durch einen Fehler kurzzeitig einem Dritten zugänglich waren. Das Urteil vom 15. Januar 2024 (Az. C-687/21) bringt Klarheit in die oft umstrittene Frage des immateriellen Schadens bei Datenschutzverletzungen.

Kein Schadensersatz ohne tatsächlichen Schaden

Der EuGH stellte klar, dass das bloße Risiko der missbräuchlichen Verwendung von Daten oder das "ungute Gefühl" hinsichtlich der Datensicherheit nicht ausreicht, um einen immateriellen Schaden im Sinne der DSGVO geltend zu machen. Ein Schadensersatzanspruch setzt demnach voraus, dass tatsächlich ein Schaden entstanden ist – ein rein hypothetisches Risiko genügt nicht.

Präzisierung der Beweislast

Diese Entscheidung konkretisiert die Beweislast bei Schadenersatzklagen im Datenschutzkontext. Kläger müssen nun nachweisen, dass ihre Daten nicht nur theoretisch, sondern tatsächlich missbraucht wurden oder zumindest die ernsthafte Möglichkeit eines solchen Missbrauchs besteht. Das Urteil wirkt somit einer Flut von Klagen entgegen, die auf der Grundlage bloßer Befürchtungen oder Unsicherheiten basieren.

Auswirkungen auf die Praxis

Das Urteil des EuGH dürfte für Unternehmen eine gewisse Entlastung darstellen. Es verhindert, dass Unternehmen aufgrund von Datenschutzverletzungen, die keinen nachweisbaren Schaden verursacht haben, mit Schadensersatzklagen überhäuft werden. Datenschutzrechtler und Vertreter der Wirtschaftskanzleien sehen in der Entscheidung eine pragmatische und rechtssicherheitsfördernde Weichenstellung, die insbesondere die Durchführung von Massenklagen erschwert.

Fazit

Die Entscheidung des EuGH stärkt die Position von Unternehmen im Umgang mit Datenschutzverletzungen, indem sie die Voraussetzungen für Schadensersatzansprüche verschärft. Zugleich mahnt das Urteil zur Vorsicht im Umgang mit personenbezogenen Daten und betont die Notwendigkeit eines verantwortungsvollen Datenschutzmanagements. Für Betroffene bedeutet dies, dass sie ihre Ansprüche im Fall einer Datenschutzverletzung präzise darlegen und begründen müssen, um erfolgreich Schadensersatz geltend zu machen.

‍