BERUFSRECHTLICHE RECHTSPRECHUNG EUROPA *LEITSATZ DER REDAKTION (ORIENTIERUNGSSATZ) SCHADENSERSATZ NACH DSGVO-VERLETZUNG AUCH BEI BEFÜRCHTETEM SCHADEN Art. 82 I der Verordnung (EU) 2016/679 1. Art. 82 I der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates v. 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der RL 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass ein Verstoß gegen diese Verordnung für sich genommen nicht ausreicht, um einen Anspruch auf Schadenersatz nach dieser Bestimmung zu begründen. Die betroffene Person muss auch das Vorliegen eines durch diesen Verstoß verursachten Schadens nachweisen, ohne dass dieser Schaden jedoch einen gewissen Schweregrad erreichen müsste. 2. Art. 82 I der Verordnung 2016/679 ist dahin auszulegen, dass die Befürchtung einer Person, dass ihre personenbezogenen Daten aufgrund eines Verstoßes gegen diese Verordnung an Dritte weitergegeben wurden, ohne dass nachgewiesen werden kann, dass dies tatsächlich der Fall war, ausreicht, um einen Schadenersatzanspruch zu begründen, sofern diese Befürchtung samt ihrer negativen Folgen ordnungsgemäß nachgewiesen ist. 3. Art. 82 I der Verordnung 2016/679 ist dahin auszulegen, dass bei der Bemessung des Betrags des auf diese Bestimmung gestützten Anspruchs auf Schadenersatz zum einen die in Art. 83 dieser Verordnung vorgesehenen Kriterien für die Festsetzung des Betrags von Geldbußen nicht entsprechend anzuwenden sind und zum anderen diesem Anspruch auf Schadenersatz keine Abschreckungsfunktion beizumessen ist. 4. Art. 82 I der Verordnung 2016/679 ist dahin auszulegen, dass bei der Bemessung des Betrags des auf diese Bestimmung gestützten Anspruchs auf Schadenersatz zugleich verwirklichte Verstöße gegen nationale Vorschriften, die sich auf den Schutz personenbezogener Daten beziehen, aber nicht bezwecken, die Bestimmungen dieser Verordnung zu präzisieren, nicht zu berücksichtigen sind. EuGH, Urt. v. 20.6.2024 – C-590/22 Volltext unter www.brak-mitteilungen.de HINWEISE DER REDAKTION: In dem Vorabentscheidungsersuchen des AG Wesel hat der EuGH mit seiner Entscheidung v. 20.6.2024 (Az. C-590/22) seine bisherige Rechtsprechung zum Anspruch auf Schadensersatz nach Art. 82 I DSGVO sowie seinen einzelnen Voraussetzungen fortgesetzt und damit erneut die Stärkung von Verbraucherrechten unterstrichen: Im Ausgangsverfahren geht es um einen geltend gemachten Schaden, welcher dadurch entstanden sein soll, dass Steuererklärungen, die personenbezogene Daten enthielten, ohne Einwilligung fehlerhaft an die Adresse eines Dritten verschickt wurden. Die Entscheidung des Gerichtshofs betont hier zum einen, dass ein bloßer Verstoß gegen die DSGVO nicht zur Begründung eines immateriellen Schadensersatzanspruchs genüge, sondern es eines klar nachweisbaren Schadens bedürfe. Zugleich reiche hier die Befürchtung eines solchen Schadens aus – eines tatsächlichen Datenmissbrauchs durch Dritte bedürfe es nicht. Im selbigen Tonus entschied der EuGH am gleichen Tag auch in einem zweiten Vorabentscheidungsverfahren zu den verbundenen Rechtssachen C-182/22 und C-189/22, denen gleichfalls ein Schadensersatzanspruch nach Art. 82 DSGVO zugrunde lag. Auch hier unterstrich der EuGH, dass der Ersatz eines – im hiesigen Fall durch den Diebstahl personenbezogener Daten – verursachten immateriellen Schadens nicht auf solche Fälle beschränkt werden darf, die zu einem nachgewiesenen tatsächlichen Schaden geführt haben, vorliegend zu einem tatsächlichen Identitätsdiebstahl oder -betrug. EUROPA BERUFSRECHTLICHE RECHTSPRECHUNG BRAK-MITTEILUNGEN 4/2024 225
RkJQdWJsaXNoZXIy ODUyNDI0