Im Zeitalter der digitalen Transformation und des zunehmenden Datenschutzbewusstseins wird die Frage nach dem Schutz persönlicher Daten immer dringlicher. Diese sind stetig wachsenden Gefahren der Aneignung, Verwertung und Veröffentlichung und Risiken des Verlusts ausgesetzt. Cybercrime hat sich zu einer Industrie (mit eigenen Versicherungs- und Lösegeldpolicen) entwickelt, die als Kollateraleffekt den Verlust der Verfügbarkeit und der Beherrschbarkeit persönlicher Daten in Kauf nimmt – oder gar durch Weiterverkauf ausbeutet oder betrügerisch einsetzt (Kartendaten, User Credentials). Besonders relevant ist dabei die Diskussion um den Schadensersatz gemäß Artikel 82 der Datenschutz-Grundverordnung (DSGVO). Die Rechtsprechung hat hierzu klare Grenzen und Anforderungen definiert, wie sich aus einer aktuellen Zusammenfassung ergibt.
Die bloß abstrakte Sorge um die Folgen des Kontrollverlusts oder ein unspezifisches „Daten-Unwohlsein“, bei dem die betroffene Person mit missbräuchlichen Verwendungen ihrer Daten rechnet, genügt nicht. Vielmehr bedarf es vom Betroffenen hinreichend spezifizierter Annahmen, die wiederum ihrerseits nicht vage und substanzlos sein dürfen.
Laut EuGH kann demnach zwar bereits die durch einen Verstoß gegen die DSGVO ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, einen immateriellen Schaden darstellen. Dies beinhaltet Situationen, in denen die betroffene Person die begründete Befürchtung hegt, dass einige ihrer personenbezogenen Daten künftig von Dritten weiterverbreitet oder missbräuchlich verwendet werden (bspw. weil ein Datensatz an einen unbefugten Dritten weitergegeben wurde, der in der Lage war, Kopien anzufertigen). Ein rein hypothetisches Risiko der missbräuchlichen Verwendung führt jedoch noch nicht zu einer Entschädigung, was namentlich der Fall ist, wenn kein Dritter die fraglichen personenbezogenen Daten zur Kenntnis genommen hat.
In eingriffsintensiven Fällen, wo es infolge einer großangelegten Angriffswelle bereits zu unbefugten Veröffentlichungen von personenbezogenen Daten im großen Stil gekommen ist (WannaCry, EMOTET, GandCrab etc.), dürfte eine solche Befürchtung plausibel und hinreichend substantiiert sein. Hier dürften Betroffene mit einigem Erfolg Schadensersatzklagen schlüssig machen können. Die Höhe wiederum variiert je nach dem Grad der Beeinträchtigung.
Die eher zurückhaltende bundesdeutsche Judikatur wird die erste Klagewelle aller Erfahrung nach mit Preisschildern zwischen 500 und 3000 EUR eindämmen wollen – bis der EuGH auch insofern wieder einschreitet und mit Präventiv- und Abschreckungsgedanken kontert. Auf mittlere Sicht halten wir EU-weit eine Vereinheitlichung der Gerichtspraxis in einem wesentlich größeren Entschädigungsrahmen von 5 – 20 TEUR für wahrscheinlich.