Der niederländische Staatsrat hat in einem Beschluss vom 1. April 2020 (danke an Christian Drechsler für den Hinweis!) festgehalten, dass
- der Anspruch auf Schadenersatz i.S.v. Art. 82 DSGVO nach Wahl des Geschädigten zusammen mit einer Beschwerde vor den Verwaltungsbehörden oder selbständig vor einem Zivilgericht geltend gemacht werden kann (jedenfalls in den Niederlanden, wobeio ab EUR 25’000 nur die Zivilgerichte zuständig sind);
- die Ermittlung und Berechnung des Anspruchs auf Schadenersatz infolge einer Datenschutzverletzung (hier: verspätete Information) durch die DSGVO nicht vorgegeben wird und demnach Sache des nationalen Rechts ist (wobei insbesondere “effet utile” zu beachten ist);
- nach Erwägungsgrund 146[mfn][…] Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht. Dies gilt unbeschadet von Schadenersatzforderungen aufgrund von Verstößen gegen andere Vorschriften des Unionsrechts oder des Rechts der Mitgliedstaaten. […][/mfn] ist der Begriff des Schadens weit auszulegen. Der Rechtsprechung des EuGH zufolge (z.B. Rs. C‑337/15 P Rz. 91) muss der zu ersetzende Schaden jedoch “tatsächlich und sicher” sein;
- eine Verletzung der DSGVO als solche belegt noch keinen Schaden:
Es besteht kein Grund zu der Annahme, dass ein Verstoß gegen die DSGVO schon einen Angriff auf die Integrität einer Person impliziert und daher zu einem ersatzfähigen Schaden führt. Entgegen dem Vorbringen [der Rechtsmittelführerin] lässt sich dies aus den Erwägungsgründen 85 und 146 der Erwägungsgründe der DSGVO nicht ableiten. Die Tatsache, dass eine Verletzung personenbezogener Daten zu (im)materiellem Schaden führen kann und dass eine betroffene Person für den erlittenen Schaden eine vollständige und tatsächliche Entschädigung erhalten muss, bedeutet nicht, dass eine Verletzung der Normen per definitionem zu einem Schaden führt.
- eine zunächst unvollständige Information stellt sodann kein schweres schuldhaftes Verhalten dar, das so schwerwiegend ist, dass sie eine Verletzung eines Grundrechts darstellt;
- der Schadenersatz nach der DSGVO hat keinen Strafcharakter. Der Zweck besteht vielmehr darin, einen unrechtmässigen Eingriff in die Privatsphäre zu beheben oder eine Entschädigung zu leisten. Erwägungsgrund 146 sagt auch nicht, die Entschädigung müsse wirksam und “abschreckend” sein;
- der Geschädigte hätte daher den entstandenen Schaden konkret belegen müssen, was er versäumt hat.
In einem Parallelfall sprach der Staatsrat eine Entschädigung von EUR 500 zu. Hier waren medizinische Daten fälschlicherweise an einen Disziplinarausschuss des Gesundheitswesens weitergeleitet worden, was offenbar immateriellen Schaden verursacht hatte.
Die Situation ist nach Art. 82 DSGVO unterscheidet sich insoweit von jener nach der kalifornischen CCPA, die einen Anspruch auf “Schadenersatz” auch in Fällen vorsieht, in denen kein Schaden eingetreten ist (z.B. eine Pauschale von USD 100 – 750 pro Data Breach, sofern der wirkliche Schaden nicht höher liegt).