Art. 82 DSGVO: EuGH konkretisiert Auslegung und Anwendung

EuGH konkretisiert Auslegung und Anwendung von Art. 82 DSGVO

Der Europäische Gerichtshof (EuGH) hat in einer Reihe von Urteilen aus den Jahren 2023 und 2024 die Voraussetzungen für einen Schadensersatzanspruch nach Art. 82 der Datenschutz-Grundverordnung (DSGVO) wesentlich präzisiert. Die Entscheidungen schaffen mehr Rechtssicherheit bei der Auslegung dieser zentralen Vorschrift zum Datenschutz und haben weitreichende praktische Bedeutung für betroffene Personen, Unternehmen und Gerichte.

Zentral ist die Feststellung des EuGH, dass nicht jeder Verstoß gegen die DSGVO automatisch einen Schadensersatzanspruch begründet. Vielmehr muss ein konkreter materieller oder immaterieller Schaden vorliegen, der vom Betroffenen nachgewiesen werden kann. Dabei ist der Schadensbegriff weit auszulegen. Eine Erheblichkeitsschwelle besteht nicht – auch geringfügige oder nur kurzfristige Beeinträchtigungen können einen ersatzfähigen immateriellen Schaden darstellen.

• So entschied der EuGH im Urteil vom 4. Oktober 2024 (C-200/23), dass bereits ein zeitlich begrenzter Kontrollverlust über personenbezogene Daten, etwa durch deren Veröffentlichung im Handelsregister, einen immateriellen Schaden begründen kann. Voraussetzung ist jedoch, dass der Schaden individuell dargelegt und belegt wird.
• In einer weiteren Entscheidung vom selben Tag (C-507/23) stellte der Gerichtshof klar, dass der Schadensersatzanspruch eine rein ausgleichende Funktion hat. Eine Entschuldigung des Verantwortlichen kann nur dann genügen, wenn sie den entstandenen Schaden vollständig kompensiert. Strafende oder abschreckende Zwecke verfolgt Art. 82 DSGVO nicht.
• Auch das Urteil vom 20. Juni 2024 (C-182/22, C-189/22) befasst sich mit dem Begriff des Identitätsdiebstahls. Ein solcher liegt dem EuGH zufolge nur dann vor, wenn ein Dritter die Identität der betroffenen Person tatsächlich angenommen hat. Allerdings ist ein Ersatz immaterieller Schäden auch dann möglich, wenn kein nachweislicher Identitätsmissbrauch stattgefunden hat – etwa beim Verlust besonders sensibler Daten.
• Im Verfahren C-590/22 (ebenfalls vom 20. Juni 2024) entschied der EuGH, dass bereits die begründete Befürchtung eines Datenmissbrauchs ausreichen kann, um einen Schaden geltend zu machen – ein tatsächlicher Missbrauch muss nicht belegt sein. Der Nachweis muss jedoch auf den konkreten Einzelfall bezogen und nachvollziehbar sein.
• Besondere Bedeutung hat auch das Urteil vom 11. April 2024 (C-741/21), in dem der EuGH zur Haftungsbefreiung nach Art. 82 Abs. 3 DSGVO Stellung nahm. Der Verantwortliche kann sich nicht auf das Fehlverhalten unterstellter Personen berufen, um sich der Haftung zu entziehen. Vielmehr bleibt die Pflicht zur Kontrolle und Überwachung bestehen.
• Abschließend urteilte der EuGH am 25. Januar 2024 (C-687/21), dass ein rein hypothetisches Risiko – etwa die bloße Sorge um Datenmissbrauch ohne tatsächliche Kenntnisnahme durch Dritte – keinen Schadensersatz begründet. Die Gerichte müssen stets den konkreten Schaden und seine Kausalität zum Datenschutzverstoß prüfen.