Das Missgeschick fand in einem Elektrofachhandel statt: Dort haben Mitarbeiter bei der Warenausgabe das vom Kläger bestellte Gerät samt Kauf- und Kreditvertragsdokumenten aus Versehen einem anderen Kunden mitgegeben. In den Unterlagen waren unter anderem der Name, die Adresse, der Arbeitgeber sowie die Einkünfte des Klägers ersichtlich. Eine halbe Stunde nach Erkennen dieses Fehlers konnten das Gerät samt Dokumenten dann an den richtigen Adressaten ausgegeben werden.

Der Betroffene brachte aufgrund dieses Ereignisses Schadenersatzklage beim Amtsgericht Hagen in Deutschland, ein. Das Amtsgericht befasste mit mehreren Fragen den EuGH, welcher in seinem erst Ende Jänner ergangenen Urteil Folgendes klarstellte: Für eine Schadenersatzklage nach Artikel 82 DSGVO reicht nicht aus, dass Mitarbeiter eines Unternehmens Unterlagen mit personenbezogenen Daten irrtümlicherweise an einen falschen Adressaten weitergeben. Man könne alleine aufgrund dessen nicht automatisch davon ausgehen, dass die technischen und organisatorischen Maßnahmen, die zum Schutz der Daten getroffen werden, nicht „geeignet“ im Sinne der DSGVO seien.

In dieser Rechtssache hat der falsche Adressat die Daten des Klägers noch nicht mal zur Kenntnis genommen. Für einen Schadenersatzanspruch nach Art 82 DSGVO gilt jedoch: Sobald jemand Schadenersatz verlangt, muss sowohl der DSGVO-Verstoß als auch der dadurch entstandene Schaden nachgewiesen werden. Dieser Nachweis gelang dem Kläger nicht. Die Behauptung der kurzfristigen Sorge über eine mögliche Weitergabe oder eines Missbrauchs seiner Daten waren nicht ausreichend, um einen immateriellen Schaden nachzuweisen.

Die Entscheidung zeigt auch: Nicht jeder Minimalverstoß gegen die DSGVO begründet sofort einen Schadenersatzanspruch der betroffenen Personen. Dennoch zeigt allein die Tatsache dieses Verfahrens: DSGVO-Compliance zahlt sich für Unternehmen aus.