Der Europäische Gerichtshof hat im Dezember 2023 sowie im Januar 2024 über die Thematik Schadenseratz bei Datenpannen in zwei Urteilen entschieden.
In einem Vorabentscheidungsverfahren vor dem EuGH ging es um die Frage des Schadensersatzes nach der DSGVO infolge eines Vorfalls, bei dem personenbezogene Daten eines Kunden durch einen Fehler eines Mitarbeiters von Saturn irrtümlich an einen Dritten weitergegeben wurden. Der Kunde hatte ein Elektrohaushaltsgerät gekauft, und im Zuge dessen wurden seine persönlichen und finanziellen Daten für einen Kauf- und Kreditvertrag erfasst und ausgedruckt. Die Dokumente wurden versehentlich einem anderen Kunden ausgehändigt, der sich vorgedrängelt hatte. Dieser Fehler wurde jedoch schnell bemerkt, und die Dokumente sowie das Gerät wurden innerhalb einer halben Stunde an den ursprünglichen Kunden zurückgegeben. Saturn bot als Entschädigung für den Fehler die kostenlose Lieferung des Geräts an, was der Kunde jedoch als unzureichend empfand und daraufhin Klage auf Ersatz des immateriellen Schadens erhob.
Das AG Hagen, das mit dem Fall befasst war, legte dem Gerichtshof der EU mehrere Fragen zur Vorabentscheidung vor. Unter anderem ging es um die Wirksamkeit und Auslegung von Art. 82 DSGVO, der den Anspruch auf Schadensersatz für Verstöße gegen die Verordnung regelt, insbesondere hinsichtlich der Frage, ob für einen Anspruch auf Schadensersatz der Nachweis eines tatsächlichen immateriellen Schadens erforderlich ist und ob ein solcher Schadensersatzanspruch auch ohne Nachweis einer missbräuchlichen Verwendung der Daten durch den Dritten besteht. Weitere Fragen betrafen die Beurteilung der Angemessenheit der von Saturn getroffenen Schutzmaßnahmen und die mögliche Auswirkung der Schwere des Verstoßes auf den Schadensersatzanspruch.
Dem Gerichtshof wurden folgende Fragen zur Vorabentscheidung vorgelegt - EuGH-Urteil vom 25.01.2024 (C‑687/21)
1.Ist die Schadensersatznorm in der DSGVO (Art. 82 DSGVO) mangels Bestimmtheit über die anzuordnenden Rechtsfolgen beim immateriellen Schadensersatz unwirksam?
2.Ist es für einen Schadensersatzanspruch erforderlich, dass außer dem unberechtigten Bekanntgeben der zu schützenden Daten an einen unberechtigten Dritten ein vom Anspruchsteller darzulegender immaterieller Schaden festzustellen ist?
3.Ist es für einen Verstoß gegen die DSGVO ausreichend, dass die Personendaten des Betroffenen (Name, Anschrift, Beruf, Einkommen, Arbeitgeber) durch ein Versehen von Mitarbeitern des tätigen Unternehmens irrtümlich in ausgedruckter Form, auf Papier, an einen Dritten auf einem Papierdokument weitergegeben werden?
4.Liegt eine illegale Weiterverarbeitung durch unbeabsichtigte Weitergabe (Offenlegung) an einen Dritten vor, wenn das Unternehmen durch seine Mitarbeiter versehentlich die Daten, die im Übrigen in die EDV-Anlage eingespeist werden, in ausgedruckter Form an einen unberechtigten Dritten weitergegeben hat (Art. 2 Abs. 1, Art. 5 Abs. 1 Buchst. f, Art. 6 Abs. 1, Art. 24 DSGVO)?
5.Liegt ein immaterieller Schaden bereits dann im Sinne des Art. 82 DSGVO vor, wenn die Daten von dem Dritten, der das Dokument mit den persönlichen Daten erhalten hat, nicht zur Kenntnis genommen worden sind, bevor das Papier, auf dem die Informationen enthalten sind, zurückgegeben wurde, oder genügt für einen immateriellen Schaden im Sinne des Art. 82 DSGVO das Unbehagen desjenigen, dessen persönliche Daten illegal weitergegeben wurden, weil bei jeder unberechtigten Offenlegung von persönlichen Daten die nicht ausschließbare Möglichkeit besteht, dass die Daten doch gegenüber einer unbekannten Vielzahl von Personen weiterverbreitet oder gar missbraucht werden könnten?
6.Als wie gravierend ist der Verstoß anzusehen, wenn die unbeabsichtigte Weitergabe an den Dritten durch bessere Kontrolle der bei dem Unternehmen tätigen Hilfsmitarbeiter und/oder durch bessere Organisation der Datensicherheit, etwa durch getrennte Handhabung der Warenausgabe und der Vertrags‑, vor allem der Finanzierungsdokumentation, mittels gesondertem Ausgabeschein oder durch Weiterleitung innerhalb des Unternehmens an die Warenausgabe-Mitarbeiter – ohne Zwischenschaltung des Kunden, dem die ausgedruckten Dokumente, einschließlich der Abholberechtigung, ausgehändigt worden sind –, zu verhindern ist (Art. 32 Abs. 1 Buchst. b und Abs. 2 sowie Art. 4 Nr. 7 DSGVO)?
Ist unter Ersatz für immateriellen Schaden die Zuerkennung einer Strafe wie bei einer Vertragsstrafe zu verstehen?
Aus den Urteilsgründen – EuGH-Urteil vom 25.01.2024 (C‑687/21)
Der Gerichtshof erklärte die Frage nach der Gültigkeit von Art. 82 DSGVO für unzulässig, da das vorlegende Gericht keine konkreten Gründe für Zweifel an der Gültigkeit der Bestimmung angeführt hatte, was eine notwendige Voraussetzung für die Beurteilung der Gültigkeit durch den Gerichtshof ist.
Bezüglich der Frage, ob die irrtümliche Weitergabe personenbezogener Daten an Dritte aufgrund eines Fehlers des Verantwortlichen automatisch bedeutet, dass die getroffenen Schutzmaßnahmen unangemessen waren, stellte der Gerichtshof klar, dass dies nicht zwangsläufig der Fall ist. Die Geeignetheit der Maßnahmen muss unter Berücksichtigung aller Umstände bewertet werden. Es wurde betont, dass der Verantwortliche die Beweislast trägt, zu zeigen, dass die getroffenen Maßnahmen angemessen waren.
Der Gerichtshof bekräftigte, dass der Schadensersatzanspruch nach Art. 82 DSGVO eine Ausgleichsfunktion hat und nicht als Strafmaßnahme dient. Die Schwere des Verstoßes hat keinen Einfluss auf die Höhe des Schadensersatzes für immaterielle Schäden. Weiterhin müssen Betroffene nicht nur einen Verstoß gegen die DSGVO, sondern auch einen dadurch entstandenen materiellen oder immateriellen Schaden nachweisen.
Schließlich wurde festgestellt, dass die bloße Befürchtung einer zukünftigen missbräuchlichen Verwendung der Daten, ohne dass diese von Dritten tatsächlich zur Kenntnis genommen wurden, keinen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellt.
Ergebnisse – EuGH-Urteil vom 25.01.2024 (C‑687/21)
Das Urteil des Gerichtshofs (Dritte Kammer) vom 25. Januar 2024 konkretisiert die Haftung und den Anspruch auf Schadensersatz bei Verstößen gegen die DSGVO, insbesondere die Bedingungen und Voraussetzungen für den Anspruch auf Ersatz immaterieller Schäden.
Der Europäische Gerichtshof hat in seinem Urteil vom 14.12.2023 darüber entschieden, ob einer natürlichen Person immaterieller Schadensersatz zustehen kann. Grund für die Entscheidung war ein Vorfall, dass einer bulgarischen Behörde die personenbezogenen Daten der Klägerin im Zuge eines Cyberangriffs im Juli 2019 abhanden gekommen sind und im Internet veröffentlich wurden.
Aufgrund des Hackerangriffs sind 2019 die personenbezogenen Daten von mehr als sechs Millionen natürlichen Personen im Internet veröffentlicht worden. Einige hunderte Betroffene hatten daraufhin auf Ersatz eines immateriellen Schadens geklagt – auch die im Ausgangsverfahren beteiligte Klägerin. Sie hatte Sorge, dass ihre Daten missbräuchlich verwendet werden könnten und sie dadurch Opfer eines Angriffs bzw. einer Erpressung oder Entführung werden könnte.
Die Klägerin wollte Schadensersatz, da die Behörde aus Sicht der Klägerin nicht die erforderlichen Maßnahmen für einen angemessenen Schutz ihrer personenbezogenen Daten getroffen und somit gegen die IT-Sicherheit verstoßen habe. Die Klägerin erhob 2019 Klage beim bulgarischen Verwaltungsgericht auf Grundlage eines Verstoßes gegen Art. 82 DSGVO. Diese Klage wurde abgewiesen, da dem Gericht kein direkter Schaden ersichtlich war und nicht festgestellt werden konnte, dass die Behörde nicht die erforderlichen Sicherheitsmaßnahmen ergriffen hätte. Daraufhin legte die Klägerin Kassationsbeschwerde beim OLG ein.
Das OLG legte dem EuGH mehrere Vorlagefragen vor, z.B. wie Art. 5 Abs. 2, Art. 24 und 32 sowie Art. 82 Abs. 1 bis 3 auszulegen sei.
EuGH Urteil vom 14.12.2023 – C-340/21
"1.Sind die Art. 24 und 32 DSGVO dahin auszulegen, dass es ausreicht, wenn eine unbefugte Offenlegung von beziehungsweise ein unbefugter Zugang zu personenbezogenen Daten im Sinne von Art. 4 Nr. 12 DSGVO durch Personen erfolgt ist, die keine Bediensteten der Verwaltung des Verantwortlichen sind und nicht seiner Kontrolle unterliegen, um anzunehmen, dass die getroffenen technischen und organisatorischen Maßnahmen nicht geeignet sind?
2. Falls die erste Frage verneint wird, welchen Gegenstand und Umfang sollte die gerichtliche Rechtmäßigkeitskontrolle bei der Prüfung haben, ob die vom Verantwortlichen getroffenen technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO geeignet sind?
3. Falls die erste Frage verneint wird, sind der Grundsatz der Rechenschaftspflicht nach Art. 5 Abs. 2 und Art. 24 in Verbindung mit dem 74. Erwägungsgrund der DSGVO dahin auszulegen, dass im Klageverfahren nach Art. 82 Abs. 1 DSGVO der Verantwortliche die Beweislast dafür trägt, dass die getroffenen technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO geeignet sind?
Kann die Einholung eines Sachverständigengutachtens als ein notwendiges und ausreichendes Beweismittel angesehen werden, um festzustellen, ob die vom Verantwortlichen getroffenen technischen und organisatorischen Maßnahmen in einem Fall wie dem vorliegenden geeignet waren, wenn der unbefugte Zugang zu und die unbefugte Offenlegung von personenbezogenen Daten Folge eines „Hackerangriffs“ sind?
4. Ist Art. 82 Abs. 3 DSGVO dahin auszulegen, dass die unbefugte Offenlegung von oder der unbefugte Zugang zu personenbezogenen Daten im Sinne von Art. 4 Nr. 12 DSGVO wie vorliegend mittels eines „Hackerangriffs“ durch Personen, die keine Bediensteten der Verwaltung des Verantwortlichen sind und nicht seiner Kontrolle unterliegen, einen Umstand darstellt, für den der Verantwortliche in keinerlei Hinsicht verantwortlich ist und der zur Befreiung von der Haftung berechtigt?
5. Sind Art. 82 Abs. 1 und 2 in Verbindung mit den Erwägungsgründen 85 und 146 der DSGVO dahin auszulegen, dass in einem Fall wie dem vorliegenden Fall einer Verletzung des Schutzes personenbezogener Daten, die sich in dem unbefugten Zugang zu und der Verbreitung von personenbezogenen Daten mittels eines „Hackerangriffs“ äußert, allein die von der betroffenen Person erlittenen Sorgen, Befürchtungen und Ängste vor einem möglichen künftigen Missbrauch personenbezogener Daten unter den weit auszulegenden Begriff des immateriellen Schadens fallen und zum Schadenersatz berechtigen, wenn ein solcher Missbrauch nicht festgestellt wurde und/oder kein weiterer Schaden der betroffenen Person entstanden ist?"
Der EuGH stellt klar: wenn gegen die DSGVO verstoßen wird, gibt es grundsätzlich immateriellen Schadensersatz für die Betroffenen.
Dabei kann es ausreichen, dass personenbezogene Daten offengelegt oder von Hackern erbeutet wurden. Ein immaterieller Schaden kann z.B. bereits sein, wenn eine von einem Hackerangriff betroffene Person befürchtet, dass ihre personenbezogenen Daten durch Dritte missbraucht werden.
Unternehmen können einen Schadensersatz abwenden, wenn sie nachweisen können, dass ihre technischen und organisatorischen Maßnahmen ausreichend waren. Sie sind hier aber in der vollen Beweislast .
Das Klageaufkommen gegen Unternehmen wird zunehmen, denn die Erfolgsaussichten von Anwälten, für jeden einzelnen Betroffenen einen Schadenersatz in 3-, wenn nicht 4-stelliger Höhe durchgesetzt zu bekommen, ist mit dem heutigen Tage signifikant gestiegen.
Mehr Infos in der Pressemitteilung des EuGH
Stand: Februar 2024
Zum Newsletter anmelden und sparen
10 € Rabatt auf Ihre erste Seminaranmeldung
