Der Europäische Gerichtshof (EuGH) konkretisiert mit zwei weiteren wichtigen Entscheidungen im Dezember die Voraussetzungen für Schadensersatz nach Art. 82 DSGVO. So fallen auch subjektive, immaterielle Schäden unter den Schadensbegriff der DSGVO. Den Schaden beweisen muss die betroffene Person. In seiner ersten Entscheidung (Urt. v. 14.12.2023 - Az.: C‑340/21) führt der EuGH zum Schadensbegriff aus, dass bereits die Befürchtung missbräuchlicher Datenverarbeitung einen immateriellen Schaden darstellen kann. In seiner zweiten Entscheidung (Urt. v. 14.12.2023 - Az.: C‑456/22) stellt der EuGH klar, dass der Schadensbegriff der DSGVO auch rein subjektive Schäden erfasse.
Am 05. Dezember hat der Europäische Gerichtshof (EuGH) gleich zwei wegweisende Urteile verkündet. Im ersten Urteil entschied der EuGH im Fall „Deutsche Wohnen“. Diese stritt mit der Berliner Beauftragten für Datenschutz und Informationsfreiheit über die langfristige Speicherung von Mieter:innendaten (z.B. Personalausweiskopien, Bonitätsbelege, Gehaltsbescheinigungen) in ihren Archivsystemen. Die Datenschützer:innen rügten einen Datenschutzverstoß, welchem die Deutsche Wohnen jedoch keine Abhilfe leistete. Daraufhin verhängte die Berliner Behörde ein Bußgeld in Höhe von 14,385 Mio. EUR wegen eines vorsätzlichen Datenschutzverstoßes. Die Deutsche Wohnen zog vor Gericht. Das Berliner Landgericht stellte das Verfahren gegen die Deutsche Wohnen zunächst ein.
In einem wegweisenden Urteil (Urt. v. 04.05.2023, Az.: C-300/21) bestätigte der Europäische Gerichtshof (EuGH) am Donnerstag, dass der bloße Verstoß gegen Vorschriften der DSGVO keinen Schadensersatzanspruch begründet. Gleichzeitig stellten die Richter:innen klar, dass die DSGVO keine Erheblichkeitsschwelle für Schadensersatzansprüche vorsieht. Hintergrund der Entscheidung war ein Fall aus Österreich, den der österreichische Oberste Gerichtshof (OGH) dem EuGH vorlegte. Im Ausgangsfall ging es um einen schweren Verstoß der österreichischen Post. Diese hatte seit 2017 Informationen über die politische Affinität der österreichischen Bürger zum Zwecke der Wahlwerbung von Parteien gesammelt.
Die EU hatte im Jahr 2019 eine Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden (sogenannte Whistleblowing Richtlinie, Richtlinie (EU) 2019/1937) verabschiedet. Am 16.12.2022 wurde in Umsetzung der Richtline in Deutschland das Hinweisgeberschutzgesetz (HinSchG) verabschiedet. Dieses scheiterte jedoch Anfang 2023 im Bundesrat. Die Mitgliedstaaten waren verpflichtet, bis zum 17.12.2021 die erforderlichen Maßnahmen zu treffen, um den Bestimmungen der Richtlinie nachzukommen.
Die Nichtumsetzung könnte nun teuer werden.
Das Urteil des Europäischen Gerichtshofes (EuGH) vom 30.03.2023 hat für Unternehmen und Vereine in Deutschland weitreichende Auswirkungen auf den Beschäftigtendatenschutz. Hintergrund der Entscheidung war ein Vorlagefall aus Hessen und die damit verbundene Frage, ob § 23 HDSIG (gleichlautend § 26 BDSG) als Rechtsgrundlage für die Durchführung von Online-Unterricht für Leher:nnen einschlägig ist.
Die Einhaltung datenschutzrechtlichen Vorschriften der DSGVO obliegt nicht nur den zuständigen Aufsichtsbehörden. Auch Private können gegen Datenschutzverstöße vorgehen und Schadensersatz fordern. In einem Vorabentscheidungsverfahren soll der EuGH nun die Voraussetzungen eines Schadens klären.
