Schadensersatz schon wegen eines „unguten Gefühls“?

➧ Am Anfang stand ein alltäglicher Kauf

Media Markt Saturn hat jeden Tag viele Kunden. Manchmal herrscht deshalb etwas Hektik. An der Warenausgabe sind öfter Aushilfskräfte tätig. Kein Wunder, dass dann auch mal etwas schief geht. Das widerfuhr einem Kunden, der ein Elektro-Haushaltsgerät erworben hatte.

Zunächst lief alles nach Plan. Ein Mitarbeiter von Media Markt Saturn erstellte einen Kauf- und Kreditvertrag. Dabei gab er eine Reihe von Daten des Kunden ein: Vornamen, Namen, Anschrift, Namen seines Arbeitgebers, Höhe seiner Einkünfte und seine Bankdaten. Der Mitarbeiter druckte die Vertragsunterlagen aus. Er und der Kunde unterzeichneten beide Verträge, den Kaufvertrag und den Kreditvertrag.

➧ Bei der Warenausgabe läuft etwas schief

Mit diesen Unterlagen ging der Kunde zur Warenausgabe. Dort übergab er sie einem anderen Mitarbeiter von Media Markt Saturn. Während dieser Mitarbeiter das Haushaltsgerät aus dem Lager holte, drängelte sich ein anderer Kunde vor. Der Mitarbeiter bemerkte das nicht. Deshalb händigte er das Gerät samt Unterlagen dem „falschen Kunden“ aus.

Der Irrtum fiel rasch auf. Ein Vorarbeiter kümmerte sich um die Angelegenheit. Bereits nach einer halben Stunde erhielt der „richtige Kunde“ seine Unterlagen wieder zurück.

Als Entschädigung bot ihm das Unternehmen an, das Gerät kostenlos in seine Wohnung zu liefern. Das ist dem Kunden jedoch als Entschädigung zu wenig. Er möchte einen zusätzlichen Ausgleich in Geld erhalten. Sein Argument: Es könnte ja sein, dass der „falsche Kunde“ die Unterlagen mit den personenbezogenen Daten heimlich kopiert hat.

➧ Der Kunde besteht auf Schadensersatz

Der „richtige Kunde“ und das Unternehmen konnten sich nicht einigen. Deshalb kam es zu einem Verfahren beim zuständigen Amtsgericht Hagen. Dieses Gericht muss nun darüber entscheiden, ob dem „richtigen Kunden“ Schadensersatz in Form von Schmerzensgeld zusteht.

Maßgebliche Rechtsgrundlage hierfür ist Art. 82 Datenschutz-Grundverordnung (DSGVO), der das Recht auf Schadensersatz regelt. Weil sich das Amtsgericht über die Auslegung dieser Vorschrift unsicher ist, hat es dem Europäischen Gerichtshof (EuGH) hierzu eine Reihe von Fragen vorgelegt.

➧ Was sind die Voraussetzungen für Schadensersatz?

Der EuGH weist darauf hin, dass ein Schadensersatzanspruch gemäß Art. 82 DSGVO nur dann gegeben ist, wenn drei Voraussetzungen erfüllt sind:

• Es muss zu einem Verstoß gegen die DSGVO gekommen sein.
• Es muss ein Schaden entstanden sein.
• Der Verstoß gegen die DSGVO muss die Ursache für den Schaden gewesen sein.

Alle drei Voraussetzungen müssen dabei nebeneinander erfüllt sein, also „kumulativ“ vorliegen. Fehlt auch nur eine der drei Voraussetzungen, ist ein Anspruch auf Schadensersatz ausgeschlossen.

➧ Welche organisatorischen Maßnahmen fordert die DSGVO?

Dass es im vorliegenden Fall zu einem Verstoß gegen die DSGVO („Datenpanne“) gekommen ist, liegt auf der Hand. Dies allein rechtfertigt nach Auffassung des EuGH jedoch nicht die Schlussfolgerung, dass die organisatorischen Maßnahmen von Media Markt Saturn unzureichend waren. Datenpannen sind in einem Einzelfall auch dann möglich, wenn die organisatorischen Maßnahmen an sich ausreichend waren.

Dies begründet der EuGH so: Die DSGVO verpflichtet den Verantwortlichen zwar dazu, das Risiko einer Datenschutzverletzung einzudämmen. Sie verpflichtet jedoch nicht dazu, jede denkbare Verletzung der DSGVO zu verhindern.

➧ Worauf kommt es im konkreten Fall an?

Die DSGVO verlangt „geeignete technische und organisatorische Maßnahmen“ (TOM). Das formuliert sie so in Art. 24 DSGVO und in Art. 32 DSGVO. Dies führt zu der Frage, wie es damit im konkreten Fall aussah. Waren die organisatorischen Maßnahmen von Media Markt Saturn ausreichend, um im Normalfall die Aushändigung von Unterlagen an einen „falschen Kunden“ zu verhindern?

Der EuGH äußert daran gewisse Zweifel. Er spricht davon, dass der konkrete Vorfall möglicherweise auf organisatorische Mängel hinweist.

➧ Wer trägt die Beweislast bezüglich der TOM?

Das ist der Punkt, an dem die Beweislast ins Spiel kommt. Sie regelt, wer was beweisen muss. Konkret: Muss im vorliegenden Fall das Unternehmen beweisen, dass seine Maßnahmen ausreichend waren? Oder muss im Gegenteil der Kunde beweisen, dass diese Maßnahmen unzureichend waren?

Die Antwort des EuGH ist eindeutig: Der für die Verarbeitung Verantwortliche trägt die Beweislast dafür, dass die von ihm getroffenen Maßnahmen geeignet waren. Gelingt dem Unternehmen dieser Nachweis, ist Schadensersatz ausgeschlossen. Misslingt ihm dieser Nachweis jedoch, kommt Schadensersatz in Betracht.

➧ Wann ist ein Schaden entstanden?

Dafür ist es allerdings notwendig, dass auch die zweite Voraussetzung für einen Schadensersatzanspruch vorliegt. Es muss überhaupt ein Schaden entstanden sein. Das ist im vorliegenden Fall unsicher. Der EuGH unterscheidet insoweit mehrere Aspekte:

• Schon die Befürchtung, dass andere Personen (sogenannte „Dritte“) Daten missbräuchlich verwendet haben oder missbräuchlich verwenden werden, kann vom Prinzip her durchaus einen Schaden darstellen.
• Es handelt sich dabei dann um einen „immateriellen Schaden“. Dies ist ein Schaden, der sich nicht unmittelbar in Geld messen lässt. Klassisches Beispiel: Jemand wird bei einem Verkehrsunfall verletzt und hat erhebliche Schmerzen. Diese Schmerzen sind ein immaterieller Schaden.
• Den Gegensatz dazu bildet der „materielle Schaden“. Das ist ein Schaden, der sich unmittelbar in Geld ausdrücken lässt. Klassisches Beispiel: Ein Autofahrer beschädigt einen Gartenzaun. Die Kosten für die Reparatur des Zauns sind ein materieller Schaden.
• Das „rein hypothetische Risiko“, dass andere Personen Daten missbräuchlich verwendet haben oder missbräuchlich verwendet werden, ist nach Auffassung des EuGH nicht als Schaden anzusehen. Klassisches Beispiel: Eine andere Person hatte die Daten zwar in Händen, hat sie aber dennoch nicht zur Kenntnis genommen.

➧ Wer trägt die Beweislast dafür, dass ein Schaden vorliegt?

Die Antwort auf diese Frage wird Geschädigte nicht erfreuen. Nach Auffassung des EuGH muss der Geschädigte den Nachweis erbringen, dass ihm überhaupt ein Schaden entstanden ist.

Dies erscheint nachvollziehbar. Denn gerade, wenn es um Befürchtungen und Ängste als Schaden geht, lässt sich von außen nur schwer erkennen, wie gravierend sie sind.

➧ Wird der Kunde nun Schadensersatz bekommen oder nicht?

Das lässt sich im Augenblick noch nicht sagen. Es ist nicht die Aufgabe des EuGH, den konkreten Fall zu entscheiden. Er beantwortet nur die Rechtsfragen, die ihm das zuständige Gericht zum Thema Schadensersatz vorgelegt hat.

Nach augenblicklichem Stand lässt sich so viel sagen:

• Es ist schon unsicher, ob eine Verletzung der DSGVO vorliegt oder nicht. Das hängt vor allem davon ab, ob das Unternehmen sein Personal ausreichend instruiert und geschult hatte. Außerdem davon, ob der „falsche Kunde“ die Daten des „richtigen Kunden“ überhaupt tatsächlich zur Kenntnis genommen hat.
• Genauso unsicher scheint, ob ein Schaden eingetreten ist. Falls der „falsche Kunde“ die Daten des „richtigen Kunden“ tatsächlich gar nicht zur Kenntnis genommen hat, wird ein Schaden schwer zu begründen sein.
• Eines scheint dagegen klar: Sollte eine Verletzung der DSGVO vorliegen und sollte der „richtige Kunde“ einen Schaden nachweisen können, dann geht dieser Schaden auf die Verletzung der DSGVO zurück.

Doch wie immer gilt: Bei Gerichtsverhandlungen kann es alle möglichen Überraschungen geben. So wäre zum Beispiel denkbar, dass der Fall beim Amtsgericht Hagen gar nicht mehr endgültig entschieden wird. Denn natürlich steht es Media Markt Saturn und dem Kunden frei, sich auch jetzt noch zu einigen. So etwas kommt in der Praxis öfter vor, als man meint.

➧ Wo finden Sie die Entscheidung des EuGH?

Die Entscheidung des EuGH erging am 25. Januar 2024 und trägt das Aktenzeichen C-687/21. Bei Eingabe des Aktenzeichens in einer Suchmaschine ist sie sofort zu finden.

➧ Wie sahen erste Reaktionen auf die Entscheidung aus?

Schon kurz nach der Entscheidung des EuGH waren Überschriften zu lesen wie „Kein Schadensersatz bei einem nur hypothetischen Risiko“ und dergleichen. Manche haben die Entscheidung dahingehend interpretiert, dass das Schadensersatzrisiko bei Datenschutzverletzungen doch nicht so hoch ist, wie viele befürchtet hatten. Andere äußerten sich jedoch wesentlich vorsichtiger und warnten vor voreiligen Schlussfolgerungen.

➧ Besteht tatsächlich Anlass für Gelassenheit?

Wie so oft lohnt es sich, wenn man genauer hinsieht. Der EuGH verlangt, dass der Betroffene tatsächlich einen Schaden nachweist. Mit bloßen Behauptungen ist es hier nicht getan. Aber der EuGH sagt genauso klar, dass es für einen solchen Schaden keine „Bagatellgrenze“ gibt. Sobald Ängste und Befürchtungen eines Betroffenen auch nur irgendwie nachvollziehbar sind, ist also von einem Schaden auszugehen.

➧ Ransomware-Fälle mahnen zur Vorsicht

Im vorliegenden Fall war nur eine Person betroffen. Insofern hält sich das wirtschaftliche Risiko für Media Markt Saturn auf jeden Fall in engen Grenzen. Sollte ein Vorfall aber viele Personen betreffen, hat jede von ihnen einen Anspruch auf Schadensersatz. Selbst wenn der einzelne Betrag dann gering ist, kann das in der Summe für ein Unternehmen dennoch recht teuer werden. Man denke hier nur an Ransomware- Angriffe, die wegen unzureichender Schutzmaßnahmen erfolgreich waren.