Schadenersatz und Entschuldigung für immateriellen Schaden
Das Urteil C-507/23 knüpft an die Diskussion um den immateriellen Schaden nach Art. 82 DSGVO an. Der EuGH macht deutlich, dass eine DSGVO-Verletzung allein nicht reicht, um Ersatz zu verlangen. Es braucht einen konkreten Schaden und den Nachweis, dass dieser durch den Verstoß verursacht wurde. Das gilt für materielle und für immaterielle Schäden. Für immaterielle Schäden gilt keine Erheblichkeitsschwelle. Auch kleinere Beeinträchtigungen zählen, wenn sie nachvollziehbar dargelegt werden.
Eine wichtige Aussage ist, dass eine Entschuldigung ein zulässiger Ersatz für immaterielle Schäden sein kann. Sie muss aber geeignet sein, den gesamten Schaden auszugleichen. Das heißt: Wenn eine Entschuldigung die Belastung vollständig kompensiert, ist sie ausreichend. Wenn nicht, braucht es eine finanzielle Entschädigung.
Der Gerichtshof stellt auch klar, dass die Haltung oder die Absicht des Verantwortlichen keine Rolle spielt. Ob der Verstoß fahrlässig oder in guter Absicht geschah, mindert den Ersatz nicht. Art. 82 DSGVO hat ausschließlich eine Ausgleichsfunktion. Strafende Elemente sind dem Bereich der Bußgelder nach Art. 83 vorbehalten.
Im lettischen Verfahren, das diesem Urteil zugrunde lag, hatte eine Behörde ohne Zustimmung ein Video veröffentlicht, in dem eine Person imitiert wurde. Die Gerichte ordneten eine Entschuldigung und eine kleine Entschädigung an, weil sie den Verstoß nicht als schwerwiegend einstuften. Der EuGH betont nun, dass eine solche Bewertung nur zulässig ist, wenn der Ausgleich tatsächlich vollständig erreicht wird. Ein Ersatz unterhalb des tatsächlichen Schadens ist unzulässig.
Für die Praxis bedeutet das: Unternehmen müssen nachweisen können, dass eine Verarbeitung rechtmäßig ist. Sie müssen bei Vorfällen prüfen, ob ein immaterieller Schaden vorliegt, und wie er vollständig ausgeglichen wird. Eine Entschuldigung kann reichen, wenn sie den Schaden tatsächlich neutralisiert. In vielen Fällen wird aber eine finanzielle Kompensation notwendig sein.
Handlungsempfehlungen: Geschäftsführungen sollten Mittel für schnelle Reaktionen und Ausgleichsleistungen bereitstellen. Datenschutz- und Compliance-Teams sollten Verfahren zur Prüfung immaterieller Schäden und zu deren Dokumentation aufbauen. Marketing muss sicherstellen, dass keine Inhalte veröffentlicht werden, in denen Personen ohne Einwilligung vorkommen. Personalabteilungen sollten Mitarbeitende zu Bildrechten, Einwilligungen und Betroffenenrechten schulen. Rechtsabteilungen benötigen Vorlagen für Entschuldigungen, Kriterien für finanzielle Ausgleiche und eine Übersicht über die einschlägige Rechtsprechung.
Sind Sie sicher, ob Ihr Unternehmen oder Behörde im Hinblick auf Datenschutz und Datensicherheit optimal aufgestellt ist?
Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
Dieser Absatz enthält Affiliatelinks/Werbelinks