Im Urteil C-300/21 wurden dem EuGH die Fragen vorgelegt, ob ein
bloßer Verstoß gegen die DSGVO ausreicht, um einen Schadenersatzanspruch zu begründen und ob ein dadurch entstandener immaterieller Schaden einen bestimmten Grad an Erheblichkeit erreichen muss. Des Weiteren sollte geklärt werden, welche unionsrechtlichen Vorgaben für die Festsetzung der Höhe des Schadenersatzes bestehen.
Der EuGH urteilte, dass für einen Schadenersatzanspruch drei kumulative Voraussetzungen vorliegen müssen:
1. Ein Verstoß gegen die DSGVO
2. Ein materieller oder immaterieller Schaden aus dem Verstoß
3. Einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß
Der EuGH kommt damit also zu dem Ergebnis, dass allein ein Verstoß gegen Vorschriften der DSGVO noch keinen Schadensersatzanspruch begründet. Es muss durch diesen Verstoß auch zu einem materiellen oder immateriellen Schaden für die betroffenen Person gekommen sein. Das ein solcher Schaden vorliegt, ist durch die betroffene Person nachzuweisen.
Es ist für das Vorliegen eines Schadensersatzanspruches aber nicht notwendig, dass ein Schaden erheblich ist. Es genügt bereits, dass überhaupt ein Schaden vorliegt.
Für die Bestimmung der Höhe des Schadensersatzes sind die einzelnen Mitgliedstaaten zuständig. Sie müssen Kriterien für die Ermittlung des Umfangs des Schadensersatzes festlegen.