Das Urteil des Gerichtshofs der Europäischen Union vom 4. Oktober 2024 befasst sich mit der Frage des Schutzes personenbezogener Daten im Zusammenhang mit der rechtswidrigen Datenverarbeitung und dem Schadensersatz gemäß der Datenschutz-Grundverordnung (GDPR). Der Fall entstand auf Initiative eines lettischen Journalisten, dessen personenbezogene Daten ohne seine Zustimmung im Rahmen einer vom lettischen Zentrum zum Schutz der Verbraucherrechte organisierten Kampagne verwendet wurden. Diese Kampagne sollte das Bewusstsein der Verbraucher für die Risiken beim Kauf von Gebrauchtfahrzeugen verbessern, beinhaltete jedoch ein Video, in dem eine Figur zu sehen war, die sich als Kläger ausgab, was zu einer Verletzung seiner Datenschutzrechte führte.

Der Gerichtshof konzentrierte sich in seinem Urteil auf drei Kernpunkte. Die erste Frage war, ob der Verstoß gegen die GDPR selbst als ausreichender Schadensersatzgrund angesehen werden kann. In diesem Fall stellte das Gericht fest, dass für die Gewährung einer Entschädigung gemäß Artikel 82 Abs. 1 GDPR der Verstoß gegen die Verordnung allein nicht ausreicht, sondern der Kläger einen konkreten (im/materiellen) Schaden sowie ursächlichen Zusammenhang zwischen dem Verstoß und diesem Schaden nachweisen muss. Dadurch soll sichergestellt werden, dass der Schadensersatz dem tatsächlich entstandenen Schaden in vollem Umfang entspricht.

Eine weitere Frage war, ob eine Entschuldigung als angemessene Form der Entschädigung für immaterielle Schäden angesehen werden kann. Das Gericht entschied, dass eine Entschuldigung nur dann eine Form der Entschädigung sein kann, wenn sie einen vollständigen Ersatz des immateriellen Schadens ermöglicht. Sollte es nicht möglich sein, den Zustand vor Schadenseintritt wiederherzustellen, kann eine Entschuldigung eine geeignete Lösung sein.

Die dritte Frage befasste sich mit der Einstellung und Motivation des Datenverwalters[1] bei der Entscheidung über Form und Höhe der Entschädigung. Der Gerichtshof kam zu dem Schluss, dass das Recht auf Schadensersatz nach der GDPR nur eine kompensatorische Funktion hat und die Einstellung des Datenverantwortlichen zur Situation nicht berücksichtigt werden sollte. Die Höhe des Schadensersatzes darf daher nur der Höhe des tatsächlichen Schadens entsprechen und darf nicht die Schwere oder Umstände des Verstoßes berücksichtigen.

Dieses Urteil leistet einen wesentlichen Beitrag zur Auslegung der GDPR und betont, dass es im Falle einer Verletzung der Rechte auf Schutz personenbezogener Daten erforderlich ist, den entstandenen Schaden eindeutig nachzuweisen. Das Urteil überträgt an den Datenverantwortlichen mehr Verantwortung für den korrekten Umgang mit Daten, versucht aber auch zu unterstreichen, wie wichtig es ist, ein Gleichgewicht zwischen dem Schutz der Rechte des Einzelnen und einer realistischen Schadensbeurteilung zu finden. In der Praxis bedeutet dies, dass im Falle eines Missbrauchs der personenbezogenen Daten des Einzelnen dieser einen Anspruch auf Besserung hat, gleichzeitig aber nachweisen muss, dass ihm tatsächlich ein Schaden entstanden ist.

[1] Artikel 4, Pkt. 7 GDPR-Verordnung: „Eine natürliche oder juristische Person, eine Behörde, eine Agentur oder eine andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.“