EuGH-Urteil vom 20.06.2024 bringt neue Klarheit zur Höhe des immateriellen Schadensersatzes
Was bedeutet Datenschutz eigentlich im echten Leben – und wie viel ist ein Datenleck wirklich wert? Diese Frage hat der Europäische Gerichtshof (EuGH) mit seinem Urteil vom 20.06.2024 (C-182/22 & C-189/22) ein Stück weit beantwortet. Verbraucherinnen und Verbraucher, deren personenbezogene Daten in die falschen Hände geraten sind, dürfen auf immateriellen Schadensersatz hoffen – auch dann, wenn kein finanzieller Schaden nachweisbar ist. Doch wie hoch darf dieser Ersatz ausfallen? Und wann genügt ein symbolischer Betrag?
Der Fall: Datenleck bei Scalable Capital
Ausgangspunkt war ein Vorfall bei dem Online-Broker Scalable Capital. Kunden legten dort Konten an, hinterließen Namen, Geburtsdaten, Adressen, E-Mail-Adressen und sogar digital gespeicherte Personalausweise – eine Datenschatztruhe für Kriminelle. Im Jahr 2020 wurden genau diese Daten von Unbekannten abgegriffen. Der Anbieter betonte zwar, dass keine betrügerische Nutzung bekannt sei. Doch für die betroffenen Kunden war der Vertrauensbruch bereits ein Schaden für sich. Sie zogen vor Gericht und forderten immateriellen Schadensersatz nach Art. 82 DSGVO – wegen des Verlusts der Kontrolle über ihre sensiblen Daten.
Der EuGH sagt: Kein Automatismus, aber auch keine Bagatellgrenze
Das Amtsgericht München legte die Sache dem EuGH vor – mit der entscheidenden Frage: Wie ist die Höhe des Schadensersatzes zu bestimmen, wenn es „nur“ um immaterielle Schäden geht? Die Antwort: Der EuGH stellt klar, dass der Ersatzanspruch rein ausgleichende Funktion hat. Er ist kein Strafersatz, keine Sanktion, kein „Schmerzensgeld light“. Das Ziel ist ausschließlich der faire Ausgleich für das erlittene Unrecht.
Dennoch: Der EuGH öffnet die Tür für jede Höhe von Schadensersatz, sofern sie im konkreten Fall gerechtfertigt ist. Das bedeutet auch: Ein symbolischer Betrag – etwa 100 Euro – kann genauso legitim sein wie deutlich höhere Summen, wenn der individuelle Schaden entsprechend schwer wiegt.
Mitgliedstaaten dürfen Kriterien festlegen – der EuGH setzt nur die Leitplanken
Die Entscheidung hat Folgen für die gesamte Rechtsprechung in der EU: Nationale Gerichte müssen sich bei der Bemessung der Höhe an den Regeln ihres eigenen Landes orientieren – allerdings im Rahmen der DSGVO. Der EuGH schreibt nicht vor, wann welcher Betrag angemessen ist, sondern erlaubt bewusst eine differenzierte, einzelfallabhängige Bewertung.
Entscheidend ist: Ein bloßer Verstoß gegen die DSGVO allein reicht nicht automatisch für einen Ersatzanspruch. Es muss ein tatsächlicher immaterieller Schaden entstanden sein – etwa in Form von Kontrollverlust, Unsicherheit, Angst oder Reputationsschäden.
Symbolik ist nicht verboten – aber auch kein Freifahrtschein für Minimalismus
Interessant ist die Aussage des Gerichts, dass auch ein Betrag mit „symbolischem Charakter“ zulässig sei. Das wird künftig wohl oft als Argument genutzt werden, um geringe Summen festzusetzen. Doch Verbraucher sollten sich davon nicht abschrecken lassen. Denn das Urteil betont ausdrücklich, dass immaterielle Schäden nicht minder schwer wiegen als materielle. Es kommt eben auf die individuellen Umstände an.
Warum dieses Urteil wichtig ist – gerade für Verbraucher
Viele Betroffene von Datenschutzpannen stehen bisher vor der frustrierenden Situation, dass sie keinen materiellen Schaden belegen können. Kreditkarte nicht missbraucht? Konto nicht geplündert? Dann kein Geld. Damit ist nun Schluss – zumindest teilweise. Das EuGH-Urteil gibt den nationalen Gerichten die Macht (und die Pflicht), auch seelische Belastungen und Kontrollverluste angemessen zu kompensieren.
Verbraucherfreundlich ist dabei vor allem: Es gibt keine „Bagatellgrenze“. Auch kleine Verletzungen der Privatsphäre können zu Ansprüchen führen – solange sie nachvollziehbar sind. Das könnte die Bereitschaft zur Geltendmachung von Datenschutzrechten deutlich stärken.
Tipps der Redaktion
- Sichern Sie Ihre Ansprüche frühzeitig: Wenn Sie Opfer eines Datenlecks wurden, dokumentieren Sie die Folgen genau – Unsicherheiten, Zeitaufwand, Kommunikationsprobleme, psychische Belastung.
- Symbolbeträge sind keine Deckelung: Auch wenn ein Gericht nur 100 Euro zuspricht, bedeutet das nicht, dass nicht auch höhere Summen möglich sind.
- Klage lohnt sich oft: Auch ohne nachweisbaren finanziellen Schaden kann sich eine Klage lohnen – besonders bei sensiblen Daten wie Gesundheitsinformationen oder Ausweisdokumenten.
- Rechtsberatung hilft: Die Frage, ob und in welcher Höhe Schadensersatz möglich ist, lässt sich oft nur mit juristischer Hilfe beantworten. Lassen Sie sich beraten!
 klärt die Voraussetzungen für Ansprüche bei Datenschutzverstößen. Verbraucher, deren personenbezogene Daten abgegriffen wurden, können auch ohne materiellen Schaden eine Entschädigung erhalten. Die Höhe ist nicht pauschal festgelegt und kann je nach Einzelfall auch symbolischen Charakter haben. Damit stärkt der Gerichtshof den individuellen Datenschutz, überlässt die genaue Berechnung jedoch den nationalen Gerichten. Das Urteil bringt Klarheit zur Abgrenzung von Ausgleich und Sanktion und schafft neue Perspektiven für Geschädigte bei Datenlecks in der digitalen Welt. Verbraucher sollten ihre Rechte kennen, immaterielle Schäden dokumentieren und bei Bedarf juristische Hilfe suchen, um gerecht entschädigt zu werden.){kind=link}