Nach einem Datenleak: Gebührt für die bloße Angst, personenbezogene Daten könnten missbräuchlich verwendet werden, schon Schadenersatz?
CHRISTIAN BERGAUER: Für eine Schadenersatzpflicht nach der Datenschutzgrundverordnung muss bei der betroffenen Person ein Schaden entstehen, der durch einen Verstoß gegen die DSGVO kausal hervorgerufen wurde. Jeder tatsächliche Schaden im Vermögen oder der Gefühlswelt kommt dafür infrage, so geringfügig er auch sein mag. Eine Bagatellgrenze gibt es nicht.
Der/Die Klagende muss dabei den Schaden, den Verstoß gegen die DSGVO und den Ursächlichkeitszusammenhang zwischen Verstoß und Schaden nachweisen. Ein Verschulden des Verantwortlichen wiederum wird nach der DSGVO schlicht vermutet. Der Verantwortliche muss somit im Sinne einer Beweislastumkehr zugunsten der geschädigten Person nachweisen, dass ihm die Handlung, die den Schaden verursacht hat, nicht zurechenbar ist.
Der EuGH stellte nun in einem Urteil (C-687/21) klar, dass ein Schaden aber noch nicht in der bloßen, unbegründeten Befürchtung der betroffenen Person besteht, ihre Daten könnten von Dritten missbräuchlich verwendet werden.
Die Schwelle für einen Schaden liegt nicht sehr hoch: So hat der OGH (6 Ob 56/21k, 6 Ob 206/23x) unlängst bereits ein „massives Genervtsein“ als immateriellen Schaden anerkannt. Dieser Unmut war dadurch entstanden, dass der Kläger aufgrund des nicht vollständig erfüllten Auskunftsbegehrens eines Verantwortlichen über längere Zeit keine Kontrolle über seine Daten hatte. Die Höhe des Schadenersatzes war für den OGH mit 500 Euro angemessen, was den Kläger wohl (massiv) gefreut haben dürfte.
Christian Bergauer ist assoziierter Professor am Institut für Rechtswissenschaftliche Grundlagen und Organisator der Grazer Datenschutz-Gespräche.
