Staats­rat NL: Ver­let­zung der DSGVO impli­ziert noch kei­nen Scha­den; kein Straf­cha­rak­ter des Scha­den­er­satz­an­spruchs

Der nie­der­län­di­sche Staats­rat hat in einem Beschluss vom 1. April 2020 (dan­ke an Chri­sti­an Drechs­ler für den Hin­weis!) fest­ge­hal­ten, dass

  • der Anspruch auf Scha­den­er­satz i.S.v. Art. 82 DSGVO nach Wahl des Geschä­dig­ten zusam­men mit einer Beschwer­de vor den Ver­wal­tungs­be­hör­den oder selb­stän­dig vor einem Zivil­ge­richt gel­tend gemacht wer­den kann (jeden­falls in den Nie­der­lan­den, wobeio ab EUR 25’000 nur die Zivil­ge­rich­te zustän­dig sind);
  • die Ermitt­lung und Berech­nung des Anspruchs auf Scha­den­er­satz infol­ge einer Daten­schutz­ver­let­zung (hier: ver­spä­te­te Infor­ma­ti­on) durch die DSGVO nicht vor­ge­ge­ben wird und dem­nach Sache des natio­na­len Rechts ist (wobei ins­be­son­de­re “effet uti­le” zu beach­ten ist);
  • nach Erwä­gungs­grund 1461[…] Der Begriff des Scha­dens soll­te im Lich­te der Recht­spre­chung des Gerichts­hofs weit auf eine Art und Wei­se aus­ge­legt wer­den, die den Zie­len die­ser Ver­ord­nung in vol­lem Umfang ent­spricht. Dies gilt unbe­scha­det von Scha­den­er­satz­for­de­run­gen auf­grund von Ver­stö­ßen gegen ande­re Vor­schrif­ten des Uni­ons­rechts oder des Rechts der Mit­glied­staa­ten. […] ist der Begriff des Scha­dens weit aus­zu­le­gen. Der Recht­spre­chung des EuGH zufol­ge (z.B. Rs. C‑337/15 P Rz. 91) muss der zu erset­zen­de Scha­den jedoch “tat­säch­lich und sicher” sein;
  • eine Ver­let­zung der DSGVO als sol­che belegt noch kei­nen Scha­den:

    Es besteht kein Grund zu der Annah­me, dass ein Ver­stoß gegen die DSGVO schon einen Angriff auf die Inte­gri­tät einer Per­son impli­ziert und daher zu einem ersatz­fä­hi­gen Scha­den führt. Ent­ge­gen dem Vor­brin­gen [der Rechts­mit­tel­füh­re­rin] lässt sich dies aus den Erwä­gungs­grün­den 85 und 146 der Erwä­gungs­grün­de der DSGVO nicht ablei­ten. Die Tat­sa­che, dass eine Ver­let­zung per­so­nen­be­zo­ge­ner Daten zu (im)materiellem Scha­den füh­ren kann und dass eine betrof­fe­ne Per­son für den erlit­te­nen Scha­den eine voll­stän­di­ge und tat­säch­li­che Ent­schä­di­gung erhal­ten muss, bedeu­tet nicht, dass eine Ver­let­zung der Nor­men per defi­ni­tio­nem zu einem Scha­den führt.

  • eine zunächst unvoll­stän­di­ge Infor­ma­ti­on stellt sodann kein schwe­res schuld­haf­tes Ver­hal­ten dar, das so schwer­wie­gend ist, dass sie eine Ver­let­zung eines Grund­rechts dar­stellt;
  • der Scha­den­er­satz nach der DSGVO hat kei­nen Straf­cha­rak­ter. Der Zweck besteht viel­mehr dar­in, einen unrecht­mä­ssi­gen Ein­griff in die Pri­vat­sphä­re zu behe­ben oder eine Ent­schä­di­gung zu lei­sten. Erwä­gungs­grund 146 sagt auch nicht, die Ent­schä­di­gung müs­se wirk­sam und “abschreckend” sein;
  • der Geschä­dig­te hät­te daher den ent­stan­de­nen Scha­den kon­kret bele­gen müs­sen, was er ver­säumt hat.

In einem Par­al­lel­fall sprach der Staats­rat eine Ent­schä­di­gung von EUR 500 zu. Hier waren medi­zi­ni­sche Daten fälsch­li­cher­wei­se an einen Dis­zi­pli­nar­aus­schuss des Gesund­heits­we­sens wei­ter­ge­lei­tet wor­den, was offen­bar imma­te­ri­el­len Scha­den ver­ur­sacht hat­te.

Die Situa­ti­on ist nach Art. 82 DSGVO unter­schei­det sich inso­weit von jener nach der kali­for­ni­schen CCPA, die einen Anspruch auf “Scha­den­er­satz” auch in Fäl­len vor­sieht, in denen kein Scha­den ein­ge­tre­ten ist (z.B. eine Pau­scha­le von USD 100 – 750 pro Data Bre­ach, sofern der wirk­li­che Scha­den nicht höher liegt).