Der Europäische Gerichtshof (EuGH) hat durch sein Urteil vom 15.01.2024 (Az.: C-687/21) u.a. entschieden, dass eine Verletzung der Datenschutz-Grundverordnung (DSGVO), welche ein lediglich rein hypothetisches Risiko der missbräuchlichen Verwendung von Daten durch einen unbefugten Dritten beinhaltet, welcher nachweislich diese Daten nicht zur Kenntnis genommen hat, nicht zu einer Entschädigung führen kann.

Im streitgegenständlichen Fall lag dem EuGH ein Rechtsstreit zwischen dem Kunden eines Saturnmarktes (inzwischen Media Markt Saturn) und dem entsprechenden Unternehmen in Hagen aus Deutschland vor. Der Kläger begab sich als Kunde in die Geschäftsräume von Saturn und erwarb dort ein Elektrohaushaltsgerät, welches irrtümlich samt Kauf- und Kreditvertrag von einem Saturn Mitarbeiter an einen Dritten, der sich unbemerkt vorgedrängelt hatte, ausgehändigt wurde. Der Irrtum wurde von einem Mitarbeiter rasch bemerkt, welcher dafür sorgte, dass der Kunde das Gerät samt Unterlagen etwa eine halbe Stunde nach dem Vorfall, zurückerhielt.

Der Kläger erhob beim Amtsgericht Hagen (Deutschland) Klage auf Ersatz des immateriellen Schadens, den er aufgrund des Irrtums der Angestellten von Saturn und des daraus resultierenden Risikos des Verlusts der Kontrolle über seine personenbezogenen Daten erlitten habe; dabei stützte er sich u. a. auf die Bestimmungen der DSGVO.
Das AG Hagen legte dem EuGH den Fall vor, da bzgl. der Auslegung der DSGVO Unklarheiten bestanden.
Der EuGH entschied u.a., dass der Kläger nicht nur die Verletzung der DSGVO, sondern auch den dadurch entstandenen materiellen oder immateriellen Schaden, nachzuweisen hat. Sollte ein Dokument, das personenbezogene Daten enthält, an einen unbefugten Dritten weitergegeben worden sein, der diese Daten erwiesenermaßen nicht zur Kenntnis genommen hat, liegt nach Auffassung des EuGH nicht schon deshalb ein „immaterieller Schaden“ im Sinne der DSGVO vor, weil die betroffene Person befürchtet, dass im Anschluss an die Weitergabe, die es ermöglichte, vor der Rückgabe des Dokuments eine Kopie von ihm anzufertigen, in der Zukunft eine Weiterverbreitung oder gar ein Missbrauch der Daten stattfinden könnte. Dieses rein hypothetische Risiko einer missbräuchlichen Verwendung durch einen unbefugten Dritten kann also nicht zu einer Entschädigung führen, wenn kein Dritter die fraglichen personenbezogenen Daten zur Kenntnis genommen hat.

Die Verletzung des Schutzes personenbezogener Daten kann – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für betroffene natürliche Personen nach sich ziehen, z.B. den Verlust der Kontrolle über personenbezogenen Daten oder Einschränkung von Rechten, Diskriminierung, Identitätsdiebstahl oder ‑betrug, finanzielle Verluste, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile.

Die vorliegende Entscheidung des EuGH trägt zur Rechtssicherheit in Situationen bei, in welchen ein datenschutzrechtlicher Missbrauch lediglich ein hypothetisches Risiko darstellt, wenn erwiesen ist, dass kein unbefugter Dritter die streitgegenständlichen Daten zur Kenntnis genommen hat.

Die Rechtsanwältinnen und Rechtsanwälte unserer auf Insolvenzrecht spezialisierten Kanzlei stehen Ihnen gerne jederzeit in allen rechtlichen Fragen zur Seite.