Die Einhaltung datenschutzrechtlichen Vorschriften der DSGVO obliegt nicht nur den zuständigen Aufsichtsbehörden. Auch Private können gegen Datenschutzverstöße vorgehen und Schadensersatz fordern, das ergibt sich aus Art. 82 Abs. 1 DSGVO. In einem Vorabentscheidungsverfahren legte ein österreichisches Gericht dem EuGH unter anderem folgende Fragen zur Klärung vor:
Erfordert der Schadensersatzanspruch einen tatsächlich erlittenen Schaden beim Betroffen oder reicht jede DSGVO-Verletzung für die Bejahung eines Schadens?
Reicht ein bloßes Ärgernis auf Seiten des Betroffenen für einen immateriellen Schaden oder muss mehr passiert sein?
Kernfrage ist damit, ob Art. 82 DSGVO eine echte Sanktionsfunktion für bloßes Fehlverhalten hat, also ob ein Verstoß gegen die Vorschriften der DSGVO bereits zu einem Anspruch gegen den Verantwortlichen führt oder ob auch ein klar bezifferbarer Schaden vorliegen muss.
Der zuständige Generalanwalt vertritt die Auffassung, dass kein Schadensersatz ohne Schaden vorliegt. Diese Ansicht entspricht der von den meisten deutschen Gerichten vertretenen Auffassung, dass ein Schadensersatzanspruch nur bei Vorliegen eines tatsächlich messbaren Schadens möglich ist.
Die noch ausstehende Entscheidung des EuGHs wird mit Spannung erwartet, insbesondere um mehr Rechtssicherheit bei der Frage des Bestehens eines Schadensersatzanspruchs zu liefern.