Mit dem aktuellen Urteil des Europäischen Gerichtshofs vom 14. Dezember 2023 in der Rechtssache C-340/21 dürften die Chancen der Betroffenen eines Datenlecks, Schadensersatz zu erhalten, deutlich steigen.
Denn der EuGH hat in dem vorstehenden Urteil bestätigt, dass allein der Umstand, dass die betroffene Person eine missbräuchliche Verwendung der Daten durch Dritte befürchtet, einen „immateriellen Schaden“ im Sinne dieser Bestimmung darstellen kann. Nach dem EuGH bzw. den Erwägungsgründen der DSGVO ist der Begriff des Schadens grundsätzlich weit auszulegen.
Damit dürfte beispielsweise auch die Entscheidung des Oberlandesgerichts Hamm (Urteil vom 15.08.2023 - 7 U 19/23 -) nicht mehr haltbar sein. Das Oberlandesgericht Hamm hatte entschieden, dass ein reiner Kontrollverlust über die Daten keinen immateriellen Schaden begründen könne. Es bedürfe vielmehr weiterer Folgen in der Form einer persönlichen / psychologischen Beeinträchtigung aufgrund des Datenschutzverstoßes.
Bereits in einer früheren Entscheidung hatte der EuGH bestätigt, dass es zudem keiner bestimmten Erheblichkeitsschwelle bedarf, um einen immateriellen Schaden anzunehmen (EuGH, Urteil vom 4. Mai 2023 - Rechtssache C-300/21).
Wegweisend ist die Entscheidung zudem, da sich der EuGH klar zur Darlegungs- und Beweislast äußert. Danach hat der Verantwortliche die Beweislast dafür, dass personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit dieser Daten im Sinne von Art. 5 Absatz 1 Buchstabe f und Art. 32 DSGVO gewährleistet (EuGH, Urteil vom 14.12.2023, Rechtssache C-340/21, Rz. 52). Diese allgemein anwendbare Regel ist auch im Rahmen einer auf Art. 82 DSGVO gestützten Schadensersatzklage anzuwenden.
In der Praxis wird es dem Verantwortlichen daher kaum möglich sein, sich zu entlasten bzw. darzulegen und zu beweisen, dass das geforderte Sicherheitsniveau eingehalten wurde.