DSGVO: Kein immaterieller Schaden bei rein hypothetischem Missbrauch personenbezogener Daten

29.04.2024 | < 2 Minuten Lesezeit

Laut EuGH tritt ein immaterieller Schaden nicht schon dann ein, wenn personenbezogene Daten versehentlich einem Dritten zugänglich gemacht werden, sofern dieser keine Kenntnis davon genommen hat.

Der EuGH verschärfte in seinem Urteil vom 15.01.2024 (Rs. C-687/21) nochmals die Anforderungen an Schadensersatzansprüche bei Verstößen gegen die Datenschutz-Grundverordnung (DSGVO). Im Rahmen einer Schadensersatzklage nach Art. 82 DSGVO stellte er klar, dass die irrtümliche Weitergabe eines Dokuments mit personenbezogenen Daten durch einen Mitarbeiter des für die Verarbeitung Verantwortlichen an einen unbefugten Dritten für sich genommen nicht ausreicht, um davon auszugehen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht „geeignet" i. S. d. DSGVO waren.

Sofern der unbefugte Dritte die personenbezogenen Daten erwiesenermaßen nicht zur Kenntnis genommen habe, liege nicht schon deshalb ein „immaterieller Schaden" vor, weil zu befürchten sei, dass im Anschluss an die Weitergabe, die es ermöglichte, vor der Rückgabe des Dokuments eine Kopie von ihm anzufertigen, in der Zukunft eine Weiterverbreitung oder gar ein Missbrauch ihrer Daten stattfindet. Ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten könne nämlich nicht zu einer Entschädigung führen.