Blog

Ein großer Streitpunkt, den sowohl die nationale, wie auch die internationale Rechtsprechung bewegt, ist die Frage, ob der Kontrollverlust der Daten für sich genommen einen Schaden darstellt, oder ob es darüber hinaus eines Missbrauchs dieser Daten braucht. Am 4. Oktober 2024 hat der EuGH mit seinem Urteil in der Sache C-200/23 ein weiteres bedeutendes Urteil für Betroffene gefällt, das sich in eine Reihe vorangegangener Entscheidungen einreiht.

Nach den wegweisenden Urteilen des Europäischen Gerichtshofs (EuGH) Ende letzten Jahres, hat der EuGH auch in diesem Jahr die Voraussetzungen für das Bestehen von Schadensersatzansprüchen nach Art. 82 DSGVO weiter konkretisiert. Die daraus resultierende Stärkung der Rechte von Betroffenen, deren personenbezogene Daten geleakt wurden, ergibt sich aus den Urteilen vom 11. April 2024 in der Rechtssache C-741/21 und vom 20. Juni 2024 in den Rechtssachen C-182/22, C-189/22 und C‑590/22.

Der Europäische Gerichtshof (EuGH) hat heute in zwei Urteilen die Voraussetzungen für Schadensersatzansprüche nach der Datenschutzgrundverordnung (DSGVO) klargestellt, was die Situation für Kläger erheblich erleichtert und die Ablehnung durch einige Gerichte erschwert. Eine ausführliche Besprechung der Urteile finden Sie in dem Beitrag „DSGVO-Schadensersatz: Klägerfreundliches vom EuGH“ bei CR-online von Rechtsanwalt Christian Franz, LL.M., den wir im Folgenden zusammenfassen

Viele Tesla-Fahrer waren unzufrieden. Einerseits wurden die Fahrzeuge, anders als bestellt, ohne Einparkhilfe ausgeliefert. Die zur Kosteneinsparung weggelassenen Ultraschallsensoren sollten später durch ein optisches System ersetzt werden, das sich allerdings als unzuverlässig herausstellte. Außerdem senkte Tesla Anfang 2023 überraschend, aber drastisch die Preise und minderte so den Wert vieler gerade erst gekaufter Fahrzeuge.

Mit Schreiben vom 5. Mai 2023 informierte Western Digital seine Kunden mit einem Konto für den Western Digital Online Store über einen Netzwerksicherheitsvorfall. Der Vorfall hat sich laut der Mitteilung am oder um den 26. März 2023 ereignet. Die dabei erlangten personenbezogenen Daten betreffen Kundennamen, Rechnungs- und Versandadressen, E-Mail-Adressen und Telefonnummern.

Der EuGH hat heute das mit Spannung erwartete Urteil in der Rechtssache C-300/21 sowie die dazugehörige Pressemitteilung veröffentlicht. Die Österreichische Post sammelte seit 2017 Daten, aus der sich die politischen Affinitäten der österreichischen Bevölkerung ableiten ließ. Dem Kläger wurde nach diesem Algorithmus eine Verbundenheit zu der FPÖ nachgesagt. Er forderte daraufhin Schadensersatz von der Post AG nach Art. 82 DSGVO für den damit verbunden Ärger, den Vertrauensverlust sowie die Bloßstellung.

Wie der Österreichische Oberste Gerichtshof (OGH) mit Urteil vom 24.03.2023 festgestellt hat, umfasst der Auskunftsanspruch nach Art. 15 DSGVO auch die Verpflichtung des verantwortlichen Unternehmens, mitzuteilen, ob die personenbezogenen Daten des Betroffenen von einem Datenschutzleck betroffen sind. Sollten Sie sich also nicht sicher sein, ob Sie von einer Datenpanne betroffen sind, empfehlen wir Ihnen einen Auskunftsanspruch geltend zu machen, um in Erfahrung zu bringen, ob Ihre Daten ungewollt veröffentlicht wurden.

Mit Schreiben vom 19.04.2023 informierte die JobRad GmbH aus Freiburg seine Kunden, dass der vom Leasingpartner MLF Mercator-Leasing GmbH & Co. Finanz-KG eingesetzte IT-Dienstleister „Einhaus-Gruppe GmbH“ von einem Cyberangriff betroffen sei. Bereits im März stellte das Unternehmen fest, dass bei der Einhaus-Gruppe gespeicherte Daten verschlüsselt wurden. Offenbar erst später wurde bekannt, dass auch personenbezogene Daten entwendet wurden.

Nach einem aktuellen Urteils des Landgerichts Zwickau (Az.: 7 O 334/22) wurde die Beklagte Meta Platforms Ireland Ltd. Facebook Ireland Limited (Facebook) verurteilt an den Kläger einen immateriellen Schadensersatz in Höhe von 1.000,00 Euro zu zahlen. So erfreulich das Urteil ist, muss vorab geschickt werden, dass es sich dabei um ein Versäumnisurteil handelt. Der Grundgedanke des Versäumnisurteils ist es, eine Entscheidung auch ohne Mitwirkung bzw. in Abwesenheit einer Partei (hier der Beklagten Facebook) herbeiführen zu können.

Die App-basierte Bank Revolut hat die litauische Datenschutz-Aufsichtsbehörde (VDAI) kürzlich über einen Datenschutzvorfall informiert, bei dem sich Hacker Zugriff auf personenbezogene Daten von über 50.000 Kunden verschafft haben. Die VDAI hat hierzu am 20.09.2022 eine offizielle Mitteilung veröffentlicht, die über die Einleitung der Untersuchung des Datenlecks informiert.