EuGH: Erleichterte Durchsetzung von Schadenersatzansprüchen bei DSGVO-Verstößen
Im Weihnachtstrubel fast etwas untergegangen ist die am 14. Dezember 2023 ergangene Entscheidung des Gerichtshof der Europäischen Union (EuGH) in einem Vorabentscheidungsverfahren des bulgarischen Obersten Verwaltungsgerichts zum immateriellen Schadensersatz wegen der Verletzung der Sicherheit der Verarbeitung personenbezogener Daten (Rechtssache C-340/21).
In einem weiteren Vorabentscheidungsersuchen aus dem Jahr 2022 wollte das Landgericht Ravensburg vom EuGH wissen, ob der bloß kurzfristige Verlust des Betroffenen über die Hoheit seiner Daten wegen der Veröffentlichung personenbezogener Daten im Internet einen immateriellen Schaden nach Art. 82 Abs. 1 DSGVO darstellt (14. Dezember 2023; Rechtssache C-456/22).
Unser Partner und Datenschutzexperte Philipp Spring hat sich beide Entscheidungen näher angesehen und die wichtigsten Erkenntnisse daraus nachfolgend kurz zusammengefasst:
Rechtssache C-340/21: Am 15. Juli 2019 wurde in den Medien darüber berichtet, dass ein unbefugter Zugang zum IT‑System der NAP, eine dem bulgarischen Finanzminister unterstellte Behörde, erfolgt sei und dass infolge dieses Cyberangriffs in diesem System enthaltene personenbezogene Daten im Internet veröffentlicht worden seien. Mehr als sechs Millionen natürliche Personen waren von diesen Ereignissen betroffen. Einige Hundert von ihnen, darunter die Klägerin des Ausgangsverfahrens, klagten die NAP auf Ersatz des immateriellen Schadens, der sich aus der Offenlegung ihrer personenbezogenen Daten ergeben haben soll.
Die Klägerin des Ausgangsverfahrens machte geltend, sie habe einen immateriellen Schaden erlitten, der sich aus einer Verletzung des Schutzes personenbezogener Daten und insbesondere aus einer Sicherheitsverletzung des Betreibers ergebe. Ihr immaterieller Schaden bestehe in der Befürchtung, dass ihre personenbezogenen Daten künftig missbräuchlich verwendet würden oder dass sie selbst erpresst, angegriffen oder sogar entführt werde.
Die NAP verteidigte sich damit, dass sie alle erforderlichen Maßnahmen ergriffen habe, um im Vorfeld die Verletzung des Schutzes der in ihrem IT‑System enthaltenen personenbezogenen Daten zu verhindern. Darüber hinaus sei sie selbst durch Personen, die nicht ihre Bediensteten seien, böswillig geschädigt worden.
Der EuGH beantwortete folgende Vorabentscheidungsfragen:
- Er hielt zuerst fest, dass eine unbefugte Offenlegung von bzw. ein unbefugter Zugang zu personenbezogenen Daten durch „Dritte“ im Sinne von Art. 4 Nr. 10 DSGVO allein nicht ausreicht, um anzunehmen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht „geeignet“ im Sinne der Art. 24 und 32 DSGVO waren.
- Außerdem befand der Gerichtshof, dass die Geeignetheit der vom Verantwortlichen nach Art. 32 getroffenen technischen und organisatorischen Maßnahmen von den nationalen Gerichten konkret zu beurteilen ist, wobei die mit der betreffenden Verarbeitung verbundenen Risiken zu berücksichtigen sind und zu beurteilen ist, ob Art, Inhalt und Umsetzung dieser Maßnahmen diesen Risiken angemessen sind.
- Ferner hat der Verantwortliche im Rahmen einer auf Art. 82 DSGVO gestützten Schadenersatzklage die Beweislast dafür zu tragen, dass die von ihm getroffenen Sicherheitsmaßnahmen im Sinne von Art. 32 DSGVO geeignet waren. Für die Beurteilung der Geeignetheit der Sicherheitsmaßnahmen ist ein gerichtliches Sachverständigengutachten kein generell notwendiges und ausreichendes Beweismittel. Ein genereller Rückgriff auf ein solches Gutachten kann sich nämlich in Anbetracht anderer Beweise, die dem angerufenen Gericht vorliegen, als überflüssig erweisen.
- Der Verantwortliche kann von einer Verpflichtung zum Ersatz des einer Person entstandenen Schadens nicht allein schon deshalb befreit werden, weil dieser Schaden die Folge einer unbefugten Offenlegung von bzw. eines unbefugten Zugangs zu personenbezogenen Daten durch „Dritte“ im Sinne von Art. 4 Nr. 10 DSGVO ist. Der Verantwortliche muss jedoch dann nachweisen, dass er in keinerlei Hinsicht für den Umstand, durch den der betreffende Schaden eingetreten ist, verantwortlich ist.
- Zuletzt hielt der EuGH fest, dass allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, einen „immateriellen Schaden“ im Sinne dieser Bestimmung darstellen kann. Allerdings muss jene Person, die von einem Verstoß gegen die DSGVO betroffen ist, konkret nachweisen, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen.
Vor allem mit seiner letzten Ausführung spielt der EuGH den Ball an die nationalen Gerichte zurück, die im Einzelfall feststellen müssen, ob und inwieweit die Betroffenheit und die daraus resultierenden Folgen ausreichend sind, um einen immateriellen Schadenersatzanspruch zu begründen.
Während der Generalanwalt in seinen Schlussanträgen noch betonte, dass zwar allein die Befürchtung eines künftigen Missbrauchs Schadensersatz begründen könne, er jedoch einschränkend forderte, dass es sich dabei um einen „realen und sicheren emotionalen Schaden und nicht nur um ein Ärgernis oder eine Unannehmlichkeit“ handeln müsse, entgegnete der EuGH, dass grundsätzlich die (bloße) Angst vor Missbrauch von personenbezogenen Daten ausreichend sei, um einen DSGVO-Schadensersatz zu begründen.
Rechtssache C-456/22: Am 19. Juni 2020 hatte die Gemeinde Ummendorf (Deutschland) auf ihrer Internetseite ohne Einwilligung der Kläger des Ausgangsverfahrens die Tagesordnung einer Gemeinderatssitzung, sowie ein Urteil veröffentlicht, in denen die Namen und Anschrift der Kläger genannt wurden. Die Kläger waren der Auffassung, dass diese Veröffentlichung ein Verstoß gegen die DSGVO sei und dass die Gemeinde Ummendorf vorsätzlich gehandelt habe, da die Namen der anderen Beteiligten des Verfahrens, in dem das genannte Urteil ergangen sei, geschwärzt worden seien.
Ihrer Ansicht nach stellt die unzulässige Offenlegung personenbezogener Daten einer natürlichen Person einen „Schaden“ im Sinne des Art. 82 Abs. 1 DSGVO dar, ohne dass eine „Bagatellgrenze“ geltend gemacht werden könne, die der Systematik der DSGVO widerspräche und der abschreckenden Wirkung dieser Bestimmung abträglich wäre.
Das vorlegende Gericht war der Auffassung, dass der bloße Verlust der Hoheit über die personenbezogenen Daten nicht genüge, um einen immateriellen zu rechtfertigen. Für die Bejahung eines immateriellen Schadens müsse eine „Bagatellgrenze“ überschritten sein, was bei einem lediglich kurzfristigen Verlust der Datenhoheit der Betroffenen, der ihnen keinerlei spürbare Nachteile verursacht habe, und ohne Nachweis einer objektiv nachvollziehbaren Beeinträchtigung ihrer persönlichkeitsbezogenen Belange nicht der Fall sei.
Im Gegensatz zum vorlegenden Gericht führte der EuGH jedoch aus, Art. 82 Abs. 1 DSGVO verlange nicht, dass nach einem erwiesenen Verstoß gegen Bestimmungen der DSGVO der von der betroffenen Person geltend gemachte „immaterielle Schaden“ eine „Bagatellgrenze“ überschreiten muss, damit dieser Schaden ersatzfähig ist.
Eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie nachteilige Folgen gehabt hat, muss jedoch den Nachweis erbringen, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen (vgl. in diesem Sinne Urteil vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C‑300/21)
Der EuGH erteilte somit (erneut) dem Erfordernis einer Bagatellgrenze für immateriellen Schäden bei DSGVO-Verstößen eine deutliche Abfuhr.
Zusammenfassend bleibt somit abzuwarten, wie die nationalen Gerichte die Vorgaben des EuGHs umsetzen werden. Es ist anzunehmen, dass vermehrt ein immaterieller Schadenersatz bei DSGVO-Verstößen gewährt wird. In welcher Höhe dieser jedoch konkret zugebilligt wird, ist immer einzelfallabhängig.
DISCLAIMER
Dieser Blog stellt lediglich eine allgemeine Information und keine rechtsanwaltliche Beratung dar. Schindler Rechtsanwälte GmbH übernimmt keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität des Blogs. Der Blog kann eine individuelle Rechtsberatung nicht ersetzen.