Bislang war die Frage ungeklärt, ob ein Verstoß gegen die EU-Datenschutzgrundverordnung an sich bereits einen Schadensersatzanspruch des (vermeintlich) Geschädigten auslösen kann.
In einem vor dem Finanzgericht Berlin-Brandenburg (Urteil vom 09.03.2023 – 16 K 16155/21) verhandelten Fall machte der Kläger Schadensersatzforderungen wegen der Verletzung seiner datenschutzrechtlichen Rechte geltend. Diese Verletzung sah er im Wesentlichen in Bezug auf die Verarbeitung seiner personenbezogenen Daten durch das Finanzamt. Als Rechtsgrundlage führte er Art. 82 EU-DSGVO und § 83 BDSG an. Seinen Antrag hat er nicht genau beziffert.
Das Finanzgericht Berlin-Brandenburg wies die Klage als unbegründet ab. Mangels Schadens habe der Kläger keinen Anspruch auf Schadensersatz. Zwar bestehe nach Art. 82 DSGVO eine Anspruchsnorm bei einer Verletzung der Pflicht zur ordnungsgemäßen Datenverarbeitung. Nach Ansicht des Gerichts liege aber kein Schaden vor. Denn nicht jeder Datenschutzverstoß als solcher begründe einen Schadensersatzanspruch. Über den Verstoß hinaus sei der Nachweis eines konkreten immateriellen Schadens Voraussetzung für eine Entschädigung.
Mit Urteil vom 4. Mai 2023 (Rs. C-300/21) hat sich sodann erstmals auch der EuGH zu den Voraussetzungen des DSGVO-Schadensersatzanspruchs geäußert und entschieden, dass nicht jeder Verstoß gegen eine Vorschrift der DSGVO automatisch einen nach Art. 82 DSGVO ersatzfähigen Schaden darstellt. Vielmehr muss ein auf dem DSGVO-Verstoß kausal beruhender Schaden festgestellt werden. Eine Erheblichkeitsschwelle des Schadens fordert der EuGH jedoch nicht.