EuGH, Urteil vom 20.6.2024 – C-182/22 und C-189/22, JU (C‑182/22), SO (C‑189/22)
1. Art. 82 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass der in dieser Be-stimmung vorgesehene Schadenersatzanspruch ausschließlich eine Ausgleichsfunktion erfüllt, da eine auf diese Bestimmung gestützte Entschädigung in Geld es ermöglichen soll, den erlittenen Schaden in vollem Umfang auszugleichen.
2. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass er nicht ver-langt, dass der Grad der Schwere und die etwaige Vorsätzlichkeit des von dem für die Verarbeitung Verantwortlichen begangenen Verstoßes gegen diese Verordnung für die Zwecke des Ersatzes eines Schadens auf der Grundlage dieser Bestimmung berücksichtigt werden.
3. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass im Rahmen der Festlegung der Höhe des aufgrund des Anspruchs auf Ersatz eines immateriellen Schadens geschuldeten Schadenersatzes davon auszugehen ist, dass ein solcher durch eine Verletzung des Schutzes personenbezogener Daten verursachter Schaden seiner Natur nach nicht weniger schwerwiegend ist als eine Körperverletzung.
4. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass wenn ein Schaden gegeben ist, ein nationales Gericht bei fehlender Schwere des Schadens diesen ausgleichen kann, indem es der betroffenen Person einen geringfügigen Schaden-ersatz zuspricht, sofern dieser Schadenersatz geeignet ist, den entstandenen Schaden in vollem Umfang auszugleichen.
5. Art. 82 Abs. 1 der Verordnung 2016/679 ist im Licht der Erwägungsgründe 75 und 85 dieser Verordnung dahin auszulegen, dass der Begriff „Identitätsdiebstahl“ nur dann erfüllt ist und einen Anspruch auf Ersatz des immateriellen Schadens nach dieser Bestimmung begründet, wenn ein Dritter die Identität einer Person, die von einem Diebstahl personenbezogener Daten betroffen ist, tatsächlich angenommen hat. Jedoch kann der Ersatz eines durch den Diebstahl personenbezogener Daten verursachten immateriellen Schadens nach der genannten Vorschrift nicht auf die Fälle beschränkt werden, in denen nachgewiesen wird, dass ein solcher Diebstahl von Daten anschließend zu einem Identitätsdiebstahl oder ‑betrug geführt hat.
(Tenor)