Blog
CMS Deutschland bloggt
Aktuelle Rechtsthemen und was eine Großkanzlei sonst bewegt
26. April 2024
EuGH DSGVO Schadensersatz
Datenschutzrecht

Update: Neues vom EuGH zum DSGVO-Schadensersatz

Philippe Heinzke, Reemt Matthiesen und Julia Dreyer SEITE DRUCKEN   SEITE SCHICKEN

Der EuGH präzisiert die Voraussetzungen von Art. 82 DSGVO. Zudem stehen weitere praxisrelevante EuGH-Entscheidungen an.

Zu Beginn dieses Jahres und zum Ende des Jahres 2023 hat der Gerichtshof der Europäischen Union (EuGH) mehrere Entscheidungen zu der maßgeblichen datenschutzrechtlichen Schadensersatznorm Art. 82 der Europäischen Datenschutz-Grundverordnung (DSGVO) veröffentlicht, in denen der EuGH die Voraussetzungen des Art. 82 DSGVO in wichtigen und bis dahin umstrittenen Punkten konkretisiert. Damit setzt der EuGH auf sein Urteil vom 4. Mai 2023 (C-300/21) auf und führt die dort begonnene Auslegung von Art. 82 DSGVO fort, die wir in diesem Beitrag beleuchten wollen.

Die laut EuGH wesentlichen Aspekte zum Anspruch aus Art. 82 DSGVO lassen sich wie folgt zusammenfassen:

  • Nicht jeder Verstoß gegen die Vorschriften der DSGVO löst automatisch einen Schadensersatzanspruch nach Art. 82 DSGVO aus. Der betroffenen Person muss ein materieller oder immaterieller Schaden entstanden sein, den diese nachzuweisen hat.
  • Der Begriff des Schadens ist weit auszulegen. Der Anspruch auf Ersatz immaterieller Schäden setzt keinen spürbaren Nachteil voraus. 
  • Art. 82 DSGVO weist keine Erheblichkeitsschwelle oder Bagatellgrenze auf, die durch den Schaden überschritten sein müsste.
  • Die Befürchtung des Missbrauchs personenbezogener Daten kann ein ersatzfähiger immaterieller Schaden sein. Im Falle der Befürchtung des Datenmissbrauchs durch Dritte als Schaden, muss die betroffene Person nachweisen, dass diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die eigene Person als begründet angesehen werden kann. 
  • Eine Haftungsbefreiung nach Art. 82 Abs. 3 DSGVO ist nur in engen Grenzen möglich.
  • Die DSGVO enthält keine Regelungen zur Bemessung der Höhe des als Schadensersatz zu leistenden Betrags, sodass die nationalen Gerichte unter Beachtung der unionsrechtlichen Äquivalenz- und Effektivitätsgrundsätze die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten anwenden. Zur Bemessung der Höhe einer zu leistenden Entschädigung verlangt Art. 82 DSGVO nicht, dass dabei der Grad des Verschuldens oder die Anzahl der DSGVO-Verstöße des Verantwortlichen gegenüber dem Betroffenen berücksichtigt werden.
  • Art. 82 DSGVO kommt eine Ausgleichs- und keine Abschreckungs- oder Straffunktion zu.

Aufgrund der hohen Praxisrelevanz wollen wir in diesem Beitrag einen genaueren Blick auf jedes einzelne der EuGH-Urteile werfen. Die letzte Aktualisierung erfolgte am 17. April 2024.

Urteil vom 11. April 2024 (C‑741/21): Immaterieller Schaden aufgrund von Werbung ohne Einwilligung?

In einem der Verfahren ging es um die Übersendung von drei Werbeschreiben an den Betroffenen ohne dessen Einwilligung. Dieser gab außerdem einen sich auf der Werbung befindlichen Code in dem Online-Shop der Beklagten ein, woraufhin eine Bestellmaske mit voreingetragenen personenbezogenen Daten des Betroffenen erschien, und verlangte Ersatz eines materiellen Schadens wegen entstandener Gerichtsvollzieher- und Notarkosten sowie eines immateriellen Schadens. Aufgrund der Vorlage des LG Saarbrücken (Beschluss v. 22. November 2021 – 5 O 151/19) hat der EuGH mit Urteil vom 11. April 2024 (C‑741/21) zunächst im Wesentlichen seine vorhergegangene Rechtsprechung dahingehend bestätigt, dass nicht jeder DSGVO-Verstoß automatisch einen immateriellen Schaden darstellt und dass der für Bußgelder geltende Art. 83 DSGVO nicht für die Bemessung des Schadensersatzanspruchs nach Art. 82 DSGVO herangezogen werden kann. 

EuGH: Haftungsbefreiung nur in sehr engen Grenzen möglich

Interessant sind die Ausführungen des EuGH zu Art. 82 Abs. 3 DSGVO und der Haftungsbefreiung des Verantwortlichen. Hierzu hat der Gerichtshof entschieden, dass es für eine Befreiung nicht ausreiche, wenn der Verantwortliche geltend macht, ein Schaden sei durch das Fehlverhalten einer dem Verantwortlichen gemäß Art. 29 DSGVO unterstellten Person, z.B. eines Arbeitnehmers*, verursacht worden. In dem Weisungsverhältnis habe sich der Verantwortliche hinsichtlich der korrekten Befolgung der Weisungen durch die Mitarbeiter zu vergewissern, sodass sich der Verantwortliche nicht durch ein Berufen auf Fahrlässigkeit oder Fehlverhalten einer ihm unterstellten Person gemäß Art. 82 Abs. 3 DSGVO von der Haftung befreien könne. Eine andere Auslegung unterliefe dem Gericht zufolge die praktische Wirksamkeit des Schadensersatzanspruchs aus Art. 82 Abs. 1 DSGVO.

Anzahl von DSGVO-Verstößen kein relevantes Kriterium bei der Bemessung des Schadensersatzes

Eine weitere Vorlagefrage des Saarbrückener Gerichts an den EuGH bezieht sich auf die Höhe eines zu leistenden Schadensersatzes. Da dem DSGVO-Schadensersatz keine Straf- oder Abschreckungsfunktion zukomme, sondern entsprechend des Erwägungsgrundes 146 DSGVO ein vollständiger und wirksamer Schadensersatz als Ausgleich für den erlittenen Schaden sichergestellt werden soll, dürfe die Anzahl von DSGVO-Verstößen des Verantwortlichen gegenüber dem Betroffenen kein relevantes Kriterium bei der Bemessung der Höhe des Schadensersatzes darstellen. Zu ersetzen sei allein der dem Betroffenen konkret entstandene oder von diesem erlittene Schaden, wobei es Aufgabe der nationalen Gerichte sei, hierfür Kriterien zu entwickeln. Ob und in welcher Höhe das LG Saarbrücken dem Kläger nun einen Schadensersatzanspruch zusprechen wird, hängt auch von dessen Darlegung hinsichtlich des erlittenen immateriellen Schadens ab.

Urteil vom 25. Januar 2024 (C-687/21): Kein Schadensersatz bei rein hypothetischem Risiko des Datenmissbrauchs und nachweislich nicht erfolgter Kenntnisnahme durch unbefugten Dritten

Mit dem Urteil vom 25. Januar 2024 (C-687/21) hat der EuGH auf Vorlage des Amtsgerichts (AG) Hagen aus dem Herbst 2021 Auslegungsfragen zu Art. 82 DSGVO geklärt und die Rechtssicherheit für Unternehmen erhöht. In dem Sachverhalt, der den durch den EuGH zu entscheidenden Vorlagefragen zugrunde lag, wurden bei einer Warenausgabe nach dem Kauf eines Elektrogeräts versehentlich personenbezogene Daten des Käufers auf einem Ausdruck (Name, Anschrift, Wohnort, Arbeitgeber, Einkünfte und Bankdaten) durch einen Mitarbeiter des Unternehmers an einen Dritten herausgegeben, der sich unbemerkt vorgedrängelt hatte und deswegen fälschlicherweise die ausgedruckten Unterlagen sowie das an den Betroffenen verkaufte Gerät erhielt. Schon innerhalb der darauffolgenden halben Stunde wurde der Irrtum bemerkt und sowohl die Unterlagen als auch das Elektrogerät fanden ihren Weg zurück und konnten dem eigentlichen Käufer ausgehändigt werden.

Der Käufer verlangte sodann gemäß Art. 82 DSGVO Ersatz eines immateriellen Schadens, den er in dem Risiko des Kontrollverlusts hinsichtlich der seine Person betreffenden Daten sah. Das Angebot der kostenlosen Lieferung des erworbenen Elektrogeräts an seine Adresse als Wiedergutmachung schlug er aus. Das Unternehmen verneinte bereits das Vorliegen eines DSGVO-Verstoßes und sah keinen ersatzfähigen Schaden aufgrund fehlender Erheblichkeit und weil der Dritte die erhaltenen Daten nicht missbräuchlich verwendet habe. Der EuGH hatte bereits mehrfach entschieden, dass ein Schaden keine Erheblichkeitsschwelle voraussetzt (erstmals mit Urteil v. 4. Mai 2023 (C-300/21)). Zu den weiteren vom AG Hagen vorgelegten Fragen möchten wir die folgenden Aspekte hervorheben.

Datenweitergabe an unbefugten Dritten bedeutet nicht automatisch Ungeeignetheit der getroffenen TOM

Das AG Hagen wollte wissen, ob ein DSGVO-Verstoß vorliegt, wenn Mitarbeiter des Verantwortlichen irrtümlich ein Dokument mit personenbezogenen Daten an einen unbefugten Dritten weitergeben. In Betracht kommt insoweit ein Verstoß aufgrund ungeeigneter technischer und organisatorischer Maßnahmen (TOM) nach Art. 24 und Art. 32 DSGVO. Der EuGH verneinte, dass allein aufgrund der unberechtigten Weitergabe ein Verstoß gegen Art. 5, Art. 24, Art. 32 DSGVO vorliege. Unter Bezugnahme auf ein kurz zuvor ergangenes Urteil des EuGH vom 14. Dezember 2023 (C‑340/21, mehr dazu unten) verwies der Gerichtshof darauf, dass die genannten Normen keine absolute Sicherheit gegen Verstöße erforderten, sondern angemessene Maßnahmen, um die Sicherheit zu gewährleisten. Erst wenn ein Organisationsversagen vorliege und die irrtümliche Weitergabe von Dokumenten deren Folge sei, könne ein Verstoß gegen Art. 24 und Art. 32 DSGVO bejaht werden. 

Kurzum: Es kommt wie so oft auf die Umstände des Einzelfalls an. Die Beweislast dafür, dass geeignete TOM getroffen wurden, trage dem EuGH zufolge im Rahmen von Schadensersatzprozessen weiterhin der beklagte Verantwortliche. Das entscheidende nationale Gericht dürfe sich bei der Feststellung eines DSGVO-Verstoßes nicht allein darauf konzentrieren, dass es zu einer Weitergabe von Daten an eine unbefugte dritte Person kam, sondern müsse sämtliche Beweise beachten, die der Verantwortliche zum Nachweis der Geeignetheit seiner TOM vorgelegt hat.

Kein immaterieller Schaden bei erwiesenermaßen nicht erfolgter Kenntnisnahme der Daten durch unbefugte Dritte

Besonders praxisrelevant sind zudem die Ausführungen des EuGH zum Vorliegen eines Schadens. Der Gerichtshof stellt in diesem Urteil erneut fest, dass auch ein kurzzeitiger Kontrollverlust einen immateriellen Schaden auslösen könne, der unabhängig von seiner Geringfügigkeit dann auszugleichen sei, wenn der Kläger den kausal entstandenen Schaden nachweise. Der EuGH wiederholt zwar nicht die Formulierung aus dem Urteil vom 14. Dezember 2023 (C-340/21, mehr dazu unten) aus der dortigen Randnummer 85, dass wenn der Schaden in der Befürchtung des Missbrauchs durch Dritte liegen soll, der Kläger nachweisen müsse, dass diese Befürchtung unter den 

gegebenen besonderen Umständen und im Hinblick auf die betroffene Person

als begründet angesehen werden kann (spätestens an diesem Punkt scheitern eine Menge der Schadensersatzansprüche in den sog. Scraping-Fällen; insbesondere in mehreren ähnlichen Verfahren wiederkehrende Textbausteine reichen vielen Gerichten als Nachweis der individuellen Betroffenheit nicht aus). Im Ergebnis legt er diese Maßstäbe aber auch in diesem Fall aus Hagen an, denn das vorlegende Gericht hatte festgestellt, dass der Dritte die Daten zum einen lediglich für einen Zeitraum von weniger als einer halben Stunde nicht in digitalisierter, sondern in ausgedruckter Form in der Hand hielt und dass zum anderen erwiesenermaßen keine Kenntnisnahme der Inhalte der Daten durch unbefugte Dritte erfolgte. Die Sorge um Datenmissbrauch stuft der EuGH deswegen als ein bloß rein hypothetisches Risiko ein, das für die Bejahung eines Schadens nicht ausreiche. 

Aufgrund der genannten Besonderheiten des Sachverhalts aus Hagen lassen sich zwar keine pauschalen Rückschlüsse auf sich hiervon unterscheidende Fälle von Datenabflüssen ziehen, die z.B. in digitaler und damit weniger kontrollierbarer sowie rückgängig zu machender Form oder für einen längeren Zeitraum erfolgen. Aus dem Urteil kann deutlich geschlossen werden, dass ein pauschaler Vortrag zum Schaden widerlegt werden kann bzw. als Nachweis für den Schaden nicht ausreicht. Die Entscheidung zeigt, dass es weiterhin auf die Umstände des Einzelfalls ankommt, was auch das folgende EuGH-Urteil auf Vorlage aus Bulgarien unterstreicht. 

Urteil vom 14. Dezember 2023 (C-340/21) auf Vorlage aus Bulgarien: Angst vor Datenmissbrauch nach Cyberattacke als immaterieller Schaden?

In der Rechtssache C-340/21 mit Vorlagefragen aus Bulgarien hatte sich der EuGH u.a. zu der Frage zu äußern, ob bei einem Angriff auf den für die Datenverarbeitung Verantwortlichen durch Hacker die Befürchtung der Betroffenen, ihre personenbezogenen Daten könnten in Folge dieses unbefugten Zugangs missbraucht werden, für die Annahme eines immateriellen Schadens im Sinne des Art. 82 DSGVO ausreicht, wenn ein solcher Missbrauch nicht festgestellt wurde. 

Dem Vorlageverfahren lagen Medienberichte aus dem Jahr 2019 zu einem Cyberangriff auf eine bulgarische Behörde, die personenbezogene Daten von ca. 6 Mio. Personen verarbeitete, zugrunde. In diesen wurde berichtet, dass Daten infolge des unberechtigten Zugangs im Internet veröffentlicht worden seien, woraufhin einige der Betroffenen immateriellen Schadensersatz forderten. Zu diesen zählte auch die Klägerin in dem Rechtsstreit, den ein bulgarisches Gericht zur Vorlage an den EuGH nutzte. Die Betroffene machte gerichtlich einen Schadensersatzanspruch gemäß Art. 82 DSGVO in Höhe von ca. EUR 510 gegen die Verantwortliche geltend. 

Zum immateriellen Schaden trug die Betroffene vor, dass die ohne ihre Einwilligung veröffentlichten personenbezogenen Daten künftig missbräuchlich verwendet werden könnten oder dass sie selbst erpresst, angegriffen oder entführt werden könnte. Die für die Datenverarbeitung verantwortliche Behörde hielt dem u.a. entgegen, dass kein Kausalzusammenhang bestehe und dass alle erforderlichen Maßnahmen zum Schutze der IT-Systeme sowie der darauf befindlichen Daten im Vorfeld und im Nachgang der Cyberattacke, die von nicht aus den Kreisen der Bediensteten der Behörde stammenden Personen verübt wurde, getroffen worden seien. 

In dem Verfahren lagen seit April 2023 die Schlussanträge des Generalanwalts vor. Dieser sah die Betroffene zum Nachweis verpflichtet, dass individuell ein realer und sicherer emotionaler Schaden erlitten wurde. Dies sei ein Umstand, den nationale Gerichte in jedem Einzelfall zu prüfen haben.

EuGH: Befürchtung des Missbrauchs personenbezogener Daten in Folge eines Cyberangriffs kann ersatzfähiger immaterieller Schaden sein

In dem Vorlageverfahren hat der EuGH nun mit Urteil vom 14. Dezember 2023 (C-340/21) entschieden, dass die Befürchtung eines möglichen Missbrauchs personenbezogener Daten nach einer Cyberattacke für sich genommen einen immateriellen Schaden einer betroffenen Person im Sinne von Art. 82 DSGVO darstellen könne (anders hatte dies übrigens noch kurz zuvor das OLG Karlsruhe mit Urteil vom 7. November 2023 (19 U 23/23) zu einem Cyberangriff gesehen:

Ein potentieller oder hypothetischer Schaden oder die bloße Beunruhigung wegen des Diebstahls der eigenen personenbezogenen Daten reicht für das Vorliegen eines immateriellen Schadens im Sinne von Art. 82 Abs. 1 DSGVO nicht aus.

Der EuGH betont, dass es für Art. 82 Abs. 1 DSGVO nicht relevant sei, ob ein immaterieller Schaden mit einer bereits erfolgten missbräuchlichen Verwendung der personenbezogenen Daten durch Dritte einherginge oder ob die Angst bestehe, dass eine solche Verwendung in Zukunft erfolgen könnte: 

Weiter ist im vorliegenden Fall festzustellen, dass Art. 82 Abs. 1 DSGVO nicht danach unterscheidet, ob der infolge eines erwiesenen Verstoßes gegen die Bestimmungen der DSGVO von der betroffenen Person behauptete „immaterielle Schaden“ mit einer zum Zeitpunkt ihres Schadenersatzantrags bereits erfolgten missbräuchlichen Verwendung ihrer personenbezogenen Daten durch Dritte verbunden ist oder ob er mit ihrer Angst verknüpft ist, dass eine solche Verwendung in Zukunft erfolgen könnte.

Dies untermauert der EuGH mit einem Verweis auf die vom Gesetzgeber gewollte weite Auslegung des Schadensbegriffs, die sich aus den 85. und 146. Erwägungsgründen der DSGVO erkennen lasse.

Der Nachweis des Schadens obliegt der betroffenen Person

Der EuGH stimmt mit dem Generalanwalt überein, dass der Nachweis der negativen Folgen und deren Eigenschaft als ersatzfähiger immaterieller Schaden der betroffenen Person obliege. Wenn sich diese auf die Angst vor dem Missbrauch personenbezogener Daten infolge einer Cyberattacke berufe, dann müsse das nationale Gericht prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet einzuordnen seien. Die Behauptung von Ängsten bedeutet also nicht automatisch, dass ein Schaden nachgewiesen wurde: Es ist immer noch eine Prüfung des Einzelfalls erforderlich. 

Haftungsbefreiung nur in engen Grenzen möglich

In diesem Zuge betont der EuGH zudem, dass der für die Verarbeitung Verantwortliche einen Schaden ersetzen müsse, der durch einen mit der Verarbeitung im Zusammenhang stehenden DSGVO-Verstoß, insbesondere gegen Art. 5 Abs. 1 lit. f), Art. 24 und Art. 32 DSGVO, ermöglicht wurde. Das Handeln von Cyberkriminellen könne dem Verantwortlichen daher nur zugerechnet werden, wenn dieser das kriminelle Handeln durch Missachtung der Regeln der DSGVO ermöglicht habe. Eine Haftungsbefreiung des Verantwortlichen nach Art. 82 Abs. 3 DSGVO komme nur in Frage, wenn dieser den Nachweis erbringe, dass es an einem Kausalzusammenhang zwischen der Verletzung seiner datenschutzrechtlichen Pflichten und dem Schaden der betroffenen Person fehle, er also in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, die Verantwortung trägt. An demselben Datum hat er EuGH ein weiteres Urteil zu Art. 82 DSGVO getroffen und dessen umfassenden Anwendungsbereich gestärkt.

Urteil vom 14. Dezember 2023 (C 456/22): Anspruch auf Ersatz immaterieller Schäden setzt keinen spürbaren Nachteil voraus

Am 14. Dezember 2023 hat der EuGH zudem in der Rechtssache C‑456/22 auf eine Vorlagefrage aus Deutschland zu Art. 82 DSGVO entschieden und unter Verweis auf sein Eingangs genanntes Urteil aus dem Mai 2023 der Annahme einer sog. Erheblichkeitsschwelle oder Bagatellgrenze erneut eine deutliche Absage erteilt. Der Gerichtshof betonte zudem nochmals, dass ein Verstoß gegen die DSGVO nicht automatisch einen Schadensersatzanspruch nach Art. 82 DSGVO auslöse. 

Mit diesem zweiten Urteil vom 14. Dezember 2023 hat der EuGH dem Begriff des immateriellen Schadens im Sinne des Art. 82 DSGVO aber weitere Konturen gegeben. Die Vorlage betraf u.a. die Frage, ob der immaterielle Schaden einen spürbaren Nachteil sowie eine objektiv nachvollziehbare Beeinträchtigung persönlichkeitsbezogener Belange voraussetzt oder ob ein bloß kurzfristiger (wenige Tage andauernder) Verlust des Betroffenen über seine Daten durch deren Veröffentlichung im Internet, die ohne spürbare oder nachteilige Konsequenzen blieb, ausreicht. Der Anspruch auf Ersatz immaterieller Schäden setzt dem EuGH zufolge keinen spürbaren Nachteil voraus. Allerdings – so betont der Gerichtshof in Übereinstimmung mit dem anderen o.g. Urteil vom 14. Dezember 2023 – habe der Betroffene das Vorliegen nachteiliger Folgen des DSGVO-Verstoßes, die zu einem immateriellen Schaden führen, nachzuweisen.

Urteil vom 21. Dezember 2023 (C-667/21): Zur Ausgleichsfunktion des Art. 82 DSGVO für konkret erlittene Schäden infolge von DSGVO-Verstößen

Betreffend der Rechtssache (C-667/21), in der es um die Verarbeitung von Gesundheitsdaten und eine Entschädigung in Höhe von EUR 20.000 geht, beantwortete der EuGH mit Urteil vom 21. Dezember 2023 weitere Vorlagefragen aus Deutschland zu Art. 82 DSGVO. Die Vorlage betraf u.a. die Fragen, ob es bei der Höhe des immateriellen Schadensersatzes auf den Verschuldensgrad des Verantwortlichen (oder Auftragsverarbeiters) ankommt und ob insbesondere dessen fehlendes oder geringes Verschulden zu seinen Gunsten berücksichtigt werden darf. Im Mai 2023 hatte hierzu der Generalanwalt seine Schlussanträge vorgelegt und sich dafür ausgesprochen, dass der Grad des Verschuldens weder für die Haftung noch die Bemessung der Höhe des zu ersetzenden immateriellen Schadens von Bedeutung sei.

Der EuGH verwies zum Sinn und Zweck des Art. 82 DSGVO auf dessen Ausgleichsfunktion: Die Norm solle eine Entschädigung in Geld ermöglichen, um den aufgrund eines DSGVO-Verstoßes konkret erlittenen Schaden zu ersetzen. Dabei komme ihr keine Abschreckungs- oder Straffunktion zu. In Übereinstimmung mit dem o.g. Urteil legt der EuGH Art. 82 DSGVO auch auf diese Vorlagefragen dahingehend aus, dass das Verschulden des Verantwortlichen vermutet werde, sofern dieser nicht nachweist, dass ihm die schadensverursachende Handlung nicht zuzurechnen ist. Zur Bemessung der Höhe einer zu leistenden Entschädigung für einen immateriellen Schaden führte der EuGH aus, dass Art. 82 DSGVO nicht verlange, dass der Grad des Verschuldens dabei berücksichtigt werde. 

Da sich der EuGH bisher nicht weiter zu einer konkreten Höhe eines zu leistenden Schadensersatzes geäußert hat, verdient auch die folgende Entscheidung Beachtung, obwohl sie sich gar nicht auf die DSGVO bezieht.

Urteil vom 5. März 2024 (C-755/21 P): Schadensersatzanspruch nach der Europol-Verordnung – Beweiserleichterung für den Betroffenen 

Obwohl die durch den EuGH mit Urteil vom 5. März 2024 entschiedene Rechtssache C-755/21 P nicht direkt Art. 82 DSGVO betraf, drehte sie sich u.a. doch um einen Schadensersatzanspruch im Zusammenhang mit der Weitergabe personenbezogener Daten. In dem zugrundeliegenden Sachverhalt ermittelten slowakische Behörden und die Agentur der EU für die Zusammenarbeit auf dem Gebiet der Strafverfolgung (Europol) in einem Fall eines ermordeten Journalisten und dessen Verlobter, wobei Europol dabei Daten auf zwei Mobiltelefonen des Klägers in dem EuGH-Verfahren extrahierte und die Daten an die Ermittlungsbehörden übermittelte. Ein Jahr später landeten aus diesen Daten u.a. Mitschriften intimer Kommunikation zwischen dem Kläger und dessen Partnerin aus einem verschlüsselten Messenger-Dienst sowie Hinweise von Europol, der Kläger sei wegen des Verdachts einer Finanzstraftat inhaftiert und stehe im Zusammenhang mit sog. „Mafia-Listen“ und den „Panama Papers“ in der slowakischen Presse. Der Kläger verlangte vor dem Gericht der EU (EuG) sodann immateriellen Schadensersatz in Höhe von EUR 50.000 für die Weitergabe der Kommunikation sowie in Höhe von weiteren EUR 50.000 für die Aufnahme seines Namens auf die sog. „Mafia-Listen“ – mithin insgesamt EUR 100.000. Das EuG wies die Klage im Jahr 2021 allerdings ab (Urteil v. 29. September 2021 – T-528/20 [Kočner/Europol]), wogegen der Kläger Rechtsmittel zum EuGH einlegte.

Der EuGH stellte sich der Einschätzung der 1. Instanz sodann entgegen. Diese hatte den Anspruch des Klägers verneint, weil dieser nicht nachgewiesen habe, dass Europol die besagten „Mafia-Listen“ geführt hätte und dass ein von ihm erlittener Schaden kausal von Europol verursacht worden sei. Doch der EuGH betont, dass eine betroffene natürliche Person zur Geltendmachung einer wie hier vorliegenden gesamtschuldnerischen Haftung auf erster Stufe lediglich nachweisen müsse, dass es anlässlich der Zusammenarbeit zwischen Europol und der Behörden des betreffenden Mitgliedstaats zu einer widerrechtlichen Datenverarbeitung gekommen sei, durch die der geltend gemachte Schaden entstanden ist. Der Betroffene müsse dem EuGH zufolge aber nicht nachweisen, welcher dieser beiden Stellen die widerrechtliche Verarbeitung zuzurechnen ist.

EuGH: Schadensersatzanspruch in Höhe von EUR 2.000 nach der Europol-Verordnung

Das Urteil des EuG wurde durch die neue Entscheidung des EuGH aufgehoben und dieser hat zudem in der Sache sogleich selbst entschieden. Als zulässig und begründet sah der EuGH lediglich die Rechtsmittel zu dem Antrag hinsichtlich der intimen Kommunikationsdaten an und urteilte, dass dem Kläger ein Anspruch auf Ersatz des immateriellen Schadens in Höhe von EUR 2.000 gegen beide Behörden als Gesamtschuldner zustehe. Die ihn betreffenden Daten seien unbefugt weitergegeben worden und an die Öffentlichkeit gelangt (das Urteil spricht von Presseartikeln und Webseiten, u.a. eines internationalen Netzwerks investigativer Journalisten), wodurch der Kläger in seinem Recht auf Achtung seines Privat- und Familienlebens sowie seiner Kommunikation (Art. 7 Grundrechte-Charta) verletzt und dessen Ehre und Ansehen beeinträchtigt worden seien. 

Das Verfahren drehte sich allerdings nicht um Schadensersatz nach der DSGVO, sondern nach der sog. Europol-Verordnung (Verordnung (EU) 2016/794) und ihren Art. 49 Abs. 3 und Art. 50 Abs. 1, welche Regelungen für den Schadensersatz bei widerrechtlicher Datenverarbeitung vorsehen. Die Europol-Verordnung erkennt schon in Erwägungsgrund Nr. 57 die Beweisschwierigkeiten, die sich für einen Betroffenen bei der unrechtmäßigen Datenverarbeitung durch Europol und die EU-Mitgliedstaaten ergeben: 

Für eine betroffene Einzelperson kann es unklar sein, ob der infolge einer unrechtmäßigen Datenverarbeitung erlittene Schaden aus einer Maßnahme Europols oder aber eines Mitgliedstaats resultiert. Daher sollten Europol und der Mitgliedstaat, in dem die Maßnahme, die den Schaden ausgelöst hat, erfolgt ist, gesamtschuldnerisch für den Schaden haften.

Der EuGH betont aber auch die Möglichkeit der beklagten Stelle, den Nachweis zu erbringen, dass ausgeschlossen ist, dass der geltend gemachte Schaden mit einer im Rahmen einer Zusammenarbeit zwischen Europol und einem Mitgliedstaaten erfolgten widerrechtlichen Datenverarbeitung in Zusammenhang steht. 

Zur Höhe des zugesprochenen Schadensersatzes und zum erheblichen Abweichen des zu leistenden Betrages (EUR 2.000) von der durch den Kläger beantragten Summe (EUR 50.000) nimmt der EuGH kaum Stellung. Verglichen mit den Fällen, in denen deutsche Gerichte einen Schadensersatz in derselben Höhe zugesprochen haben, erscheint der Betrag aus dem EuGH-Verfahren aufgrund der Erheblichkeit des Verstoßes und der Intimität der weitergegebenen Daten sowie der erfolgten Veröffentlichung in der Presse gering: So hat z.B. das LAG Hamm einen Schadensersatz in Höhe von EUR 2.000 bei einer Übermittlung personenbezogener Daten eines Arbeitnehmers innerhalb eines Klinikverbunds zugesprochen (Urteil v. 14. Dezember 2021 – 17 Sa 1185/20), das LAG Berlin-Brandenburg sprach dieselbe Summe allein für einen Verstoß gegen Auskunftspflichten des Art. 15 DSGVO zu (Urteil v. 18. November 2021 – 10 Sa 443/21) und das OLG Düsseldorf für die Übersendung der Gesundheitsakte eines Klägers durch die beklagte gesetzliche Krankenversicherung an eine falsche E-Mail-Adresse (Urteil v. 28. Oktober 2021 – 16 U 275/20). Der Gerichtshof verweist in dem vorliegenden Fall lediglich darauf, dass nicht festzustellen sei, dass wie von dem Kläger behauptet auch Fotografien an unbefugte Dritte gelangt seien, sondern dass sich die unbefugte Weitergabe auf die transkribierten Gespräche zwischen dem Kläger und dessen Partnerin beschränke. Daher halte der EuGH nach billigem Ermessen einen Schadensersatz in Höhe von EUR 2.000 für einen angemessenen Ausgleich. Ob nationale Gerichte diese EuGH-Entscheidung, die bei einem gravierenden Sachverhalt eine vergleichsweise geringe Summe zuspricht, zum Anlass nehmen, auch die in der ordentlichen Gerichtsbarkeit zugesprochenen Schadensersatzbeträge zu verringern, bleibt spannend.

Auch im Jahr 2024 bleibt es zum DSGVO-Schadensersatz spannend: Weitere Vorlagefragen zu Art. 82 DSGVO vor dem EuGH

Insgesamt hat der EuGH die Voraussetzungen und Rechtsfolgen des datenschutzrechtlichen Schadensersatzanspruchs insb. hinsichtlich immaterieller Schäden mit den genannten Urteilen weiter konkretisiert. Es bleibt abzuwarten, wie die nationalen Gerichte mit den Vorgaben des Gerichtshofs umgehen werden. Zudem laufen weitere Vorlageverfahren vor dem EuGH zu Art. 82 DSGVO. Erst im September 2023 hat beispielsweise der BGH ein Verfahren ausgesetzt und dem EuGH Fragen zum DSGVO-Schadensersatz vorgelegt, u.a. ob Art. 82 Abs. 1 DSGVO dahingehend auszulegen sei, dass für die Annahme eines immateriellen Schadens bloße negative Gefühle (z.B. Ärger, Unmut, Unzufriedenheit, Sorge, Angst) genügen, obwohl diese Teil des allgemeinen Lebensrisikos und des täglichen Erlebens seien, oder ob ein über diese Gefühle hinausgehender Nachteil erforderlich ist. 

EuGH: Schlussanträge des Generalanwalts im Scalable Capital-Vorlageverfahren

In den verbundenen Rechtssachen C-182/22 und C-189/22 mit Vorlagefragen aus Deutschland (C-182/22C-189/22) zu den Scalable Capital-Vorlageverfahren liegen seit Oktober 2023 die auf die fünfte Vorlagefrage beschränkten Schlussanträge des Generalanwalts vor. Die vorlegenden Gerichte möchten vom EuGH u.a. Antworten auf die Fragen, ob für die Geltendmachung des immateriellen Schadensersatzes nach Art. 82 DSGVO ein Identitätsdiebstahl im Sinne des 75. Erwägungsgrundes der DSGVO erst dann zu bejahen sei, wenn die Identität des Betroffenen angenommen wurde, oder ob der Umstand, dass Straftäter über Daten verfügen, die den Betroffenen identifizierbar machen, zur Bejahung eines Identitätsdiebstahls ausreicht. 

Der Generalanwalt kommt in diesem Verfahren zu der Empfehlung, dass der Diebstahl sensibler personenbezogener Daten eines Betroffenen durch unbekannte Straftäter zu einem Anspruch auf immateriellen Schadensersatz führen könne, wenn der Nachweis eines Verstoßes gegen die DSGVO, eines konkreten erlittenen Schadens und des Kausalzusammenhangs zwischen Schaden und DSGVO-Verstoß erbracht werde. Als nicht erforderlich sieht es der Generalanwalt an, dass Straftäter die Identität des Betroffenen angenommen haben. Der Besitz von Daten, die zur Identifizierbarkeit des Betroffenen genügen, stelle dem Generalanwalt zufolge für sich genommen keinen Identitätsdiebstahl dar. Da hierzu Verfahren bereits die Schlussanträge des Generalanwalts vorliegen, kann mit einer baldigen Entscheidung durch den EuGH gerechnet werden. Angesichts der o.g. EuGH-Entscheidung vom 14. Dezember 2023 zu der Vorlage aus Bulgarien dürfte sich die Spannung, wie der EuGH in diesen Rechtssachen urteilen wird, in Grenzen halten.

Überblick zu weiteren EuGH-Vorlageverfahren betreffend Art. 82 DSGVO

Vor dem EuGH laufen weitere Vorlageverfahren, von denen einige Parallelen zu den oben dargestellten Fragen zu Art. 82 DSGVO aufweisen; diese sind beispielsweise:

  • Die Rechtssache C-507/23 mit Vorlagefragen aus Lettland, u.a. ob Art. 82 Abs. 1 DSGVO die Verpflichtung zur Entschuldigung als einzigen Ersatz für einen immateriellen Schaden gestattet, wenn keine Möglichkeit zur Wiederherstellung des ursprünglichen Zustands besteht, und ob die Motivation des Verantwortlichen (z.B. Erfüllung eines im öffentlichen Interesse liegenden Auftrags, Fehlen einer Schädigungsabsicht oder Verständnisprobleme hinsichtlich des geltenden Rechts) anspruchsmindernd berücksichtigt werden kann.
  • Die Rechtssache C-590/22 mit Vorlagefragen aus Deutschland, u.a. ob allein die Befürchtung ohne positiven Nachweis, dass personenbezogene Daten unberechtigt in fremde Hände gelangten, für einen Anspruch aus Art. 82 DSGVO ausreicht und ob für die Bemessung des Schadensersatzes eine abschreckende Wirkung erforderlich ist.

Diese nicht abschließende Auflistung zeigt, dass es zu Art. 82 DSGVO und dem datenschutzrechtlichen Schadensersatz auch im weiteren Verlauf des Jahres spannend bleibt.

Art. 82 DSGVO nimmt durch die neueste EuGH-Rechtsprechung weitere Konturen an

Durch die Entscheidungen der letzten Monate hat der EuGH ungeklärte Fragen zu Art. 82 DSGVO beantwortet und der Norm präzisere Konturen gegeben.

Mit unserer filter- und sortierbaren Datenbank können Sie sich einen Überblick zur Rechtsprechung zu Art. 82 DSGVO verschaffen: DSGVO-Schadensersatz: Übersicht über aktuelle Urteile und Entwicklungen (laufend aktualisiert) (cmshs-bloggt.de). Eine ständig aktualisierte Übersicht über DSGVO-Bußgelder in Deutschland und anderen EU-Ländern finden Sie über unseren Enforcement Tracker. Bleiben Sie zudem gern mit unserem Blog und unserem Newsletter auf dem Laufenden.

* Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.

Tags: Datenschutzrecht DSGVO Schadensersatz spürbarer Nachteil


Avatar-Foto

Philippe Heinzke

weitere Artikel des Autors
Autor:innenprofil
Avatar-Foto

Reemt Matthiesen

weitere Artikel des Autors
Autor:innenprofil
Avatar-Foto

Julia Dreyer

weitere Artikel der Autorin
Autor:innenprofil
nach oben
© CMS Hasche Sigle 2024