München, 25.06.2024. Mit Urteil vom 20. Juni 2024 hat der Europäische Gerichtshof die Rechte der Opfer von Datenlecks gestärkt. Der EuGH machte deutlich, dass Schadenersatzansprüche schon bestehen, wenn die Opfer einen Missbrauch ihrer Daten befürchten. Dass tatsächlich ein solcher Missbrauch stattgefunden hat, müssen sie nicht nachweisen. In den Verfahren vor dem EuGH ging es auch um Schadenersatzansprüche aufgrund des Datenlecks beim Online-Broker Scalable Capital. CLLB Rechtsanwälte hatte für zwei Opfer des Datenlecks Schadenersatzansprüche geltend gemacht.
CLLB Rechtsanwälte hatte für seine Mandanten am Amtsgericht München auf Schadenersatz geklagt. Das AG München schaltete den EuGH ein und legte ihm einige Fragen zur Vorabentscheidung vor. „Die Chancen unserer Mandanten auf Schadenersatz sind nach dem EuGH-Urteil weiter gestiegen“, sagt Rechtsanwalt István Cocron, CLLB Rechtsanwälte.
In den Verfahren ging es um die Schadenersatzansprüche zweier Verbraucher, die Opfer des Datenlecks bei Scalable Capital sind. Durch das Datenleck gelangten die Hacker in den Besitz personenbezogener Daten wie Name, Adresse, Geburtsdatum, E-Mail-Adresse oder Ausweiskopie. „Unsere Mandanten haben natürlich die Befürchtung, dass ihre Daten nun missbraucht werden. Auch wenn bislang noch kein materieller Schaden eingetreten ist, so ist ihren doch ein immaterieller Schaden entstanden. Daher haben wir Anspruch auf immateriellen Schadenersatz wegen Verstoßes gegen die DSGVO geltend gemacht“, so Rechtsanwalt Cocron.
In einem weiteren Verfahren vor dem EuGH ging es um die Ansprüche zweier Mandanten einer Steuerkanzlei, die deren Steuererklärungen irrtümlich an unbefugte Dritte geschickt hatte.
Der EuGH machte nun deutlich, dass gemäß Art. 82 Abs. 1 DSGVO Schadenersatzansprüche schon dann begründet sind, wenn die betroffene Person durch einen Datenschutzverstoß befürchtet, dass ihre personenbezogenen Daten an Dritte weitergegeben wurden, ohne dass nachgewiesen werden muss, dass dies tatsächlich der Fall ist. „Die Betroffenen müssen nicht nachweisen, dass es tatsächlich zum Missbrauch ihrer Daten gekommen ist“, so Rechtsanwalt Cocron.
Weiter führte der EuGH aus, dass eine Verletzung des Schutzes personenbezogener Daten nicht weniger schwerwiegend ist als eine Körperverletzung. Zudem müsse der Schadenersatz den entstandenen Schaden vollkommen ausgleichen. Dabei sei für die Höhe des Schadenersatzes nicht die Schwere des Verstoßes entscheidend, sondern nur der erlittene Schaden der Betroffenen, machte der EuGH weiter deutlich. „Für die Rechtsprechung deutscher Gerichte dürfte dies bedeuten, dass sie den Schadenersatz nicht zu knapp bemessen sollen“, so Rechtsanwalt Cocron. Zudem bestehen Schadenersatzansprüche nach der Rechtsprechung des EuGH auch schon bei einem geringfügigen Schaden.
Von dem Datenleck bei Scalable Capital waren mehr als 30.000 Kunden betroffen. Sie dürften nach der EuGH-Entscheidung gute Chancen auf Schadenersatz haben. „Das dürfte auch für die Opfer anderer Datenlecks wie z.B. bei Facebook gelten“, so Rechtsanwalt Cocron.