Kein Schadensersatz bei Datenklau?
Immaterieller Schaden nach der DSGVO
Das AG München legte dem EuGH einige Fragen zum immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO zur Entscheidung vor. Konkret stellt sich das AG die Frage, ob bereits ein nachgewiesenes Datenleck ausreicht, um einen solchen Schadensersatz zu begründen, oder ob darüber hinaus auch ein Missbrauch der Daten nachgewiesen werden muss.
Sachverhalt
In dem Verfahren geht es nicht um Kinkerlitzchen: nach einem Hacker-Angriff auf den Betreiber einer Trading-Plattform wurden personenbezogene Daten „geklaut“. Dabei handelt es sich neben Angaben über Name und Anschrift auch um eine Kopie des jeweiligen Personalausweises. Ein Zugriff auf diese Daten konnte nachgewiesen werden, ein darüber hinausgehender Missbrauch der Daten jedoch nicht.
Funktion des immateriellen Schadens
Der EuGH stellte nun fest, dass dem immateriellen Schaden nach der DSGVO keine Straffunktion zukomme. Es solle lediglich der entstandene Schaden ausgeglichen werden, eine darüber hinausgehende Strafe dürfe der Schadensersatz nicht umfassen.
Wie der Schaden jedoch konkret zu berechnen ist, geht aus der Entscheidung nicht hervor.
Fazit
Zum Abschluss stellt der EuGH klar, dass der jeweilige Schadensersatz auch sehr gering ausfallen könne, wenn dadurch der entstandene Schaden ausgeglichen wird.
Auch nach dieser Entscheidung herrscht also weiter Unklarheit bei den Gerichten, welche Anforderungen für einen immateriellen Schadensersatz erfüllt sein müssen.