26. Januar 2024
EuGH DSGVO Schadensersatz
Datenschutzrecht

Neues vom EuGH zum DSGVO-Schadensersatz

Der EuGH präzisiert die Voraussetzungen von Art. 82 DSGVO. Zudem stehen weitere praxisrelevante EuGH-Entscheidungen an.

Zum Ende des Jahres 2023 hat der Europäische Gerichtshof (EuGH) mit gleich mehreren Entscheidungen präzisiere Konturen für die maßgebliche datenschutzrechtliche Schadensersatznorm des Art. 82 DSGVO geschaffen. Dabei setzt der EuGH auf sein Urteil vom 4. Mai 2023 (C-300/21) auf und führt die dort begonnene Auslegung von Art. 82 DSGVO fort.

Dieser Blog-Beitrag gibt einen Überblick über diese neuesten Entwicklungen sowie über anstehende Entscheidungen des EuGH zum DSGVO-Schadensersatz.

EuGH-Vorlage aus Bulgarien: Angst vor Datenmissbrauch nach Cyberattacke als immaterieller Schaden?

In der Rechtssache C-340/21 mit Vorlagefragen aus Bulgarien hatte sich der EuGH u.a. zu der Frage zu äußern, ob bei einem Angriff auf den für die Datenverarbeitung Verantwortlichen durch Hacker die Befürchtung der Betroffenen, ihre personenbezogenen Daten könnten in Folge dieses unbefugten Zugangs missbraucht werden, für die Annahme eines immateriellen Schadens im Sinne des Art. 82 DSGVO ausreicht, wenn ein solcher Missbrauch nicht festgestellt wurde. 

Dem Vorlageverfahren lagen Medienberichte aus dem Jahr 2019 zu einem Cyberangriff auf eine bulgarische Behörde, die personenbezogene Daten von ca. 6 Mio. Personen verarbeitete, zugrunde. In diesen wurde berichtet, dass Daten infolge des unberechtigten Zugangs im Internet veröffentlicht worden seien, woraufhin einige der Betroffenen immateriellen Schadensersatz forderten. Zu diesen zählte auch die Klägerin in dem Rechtsstreit, den ein bulgarisches Gericht zur Vorlage an den EuGH nutzte. Die Betroffene machte gerichtlich einen Schadensersatzanspruch gemäß Art. 82 DSGVO in Höhe von ca. EUR 510 gegen die Verantwortliche geltend. 

Zum immateriellen Schaden trug die Betroffene vor, dass die ohne ihre Einwilligung veröffentlichten personenbezogenen Daten künftig missbräuchlich verwendet werden könnten oder dass sie selbst erpresst, angegriffen oder entführt werden könnte. Die für die Datenverarbeitung verantwortliche Behörde hielt dem u.a. entgegen, dass kein Kausalzusammenhang bestehe und dass alle erforderlichen Maßnahmen zum Schutze der IT-Systeme sowie der darauf befindlichen Daten im Vorfeld und im Nachgang der Cyberattacke, die von nicht aus dem Kreise der Bediensteten der Behörde stammenden Personen verübt wurde, getroffen worden seien. 

In dem Verfahren lagen seit April 2023 die Schlussanträge des Generalanwalts vor. Dieser sah die Betroffene zum Nachweis verpflichtet, dass individuell ein realer und sicherer emotionaler Schaden erlitten wurde. Dies sei ein Umstand, den nationale Gerichte in jedem Einzelfall zu prüfen haben.

EuGH: Befürchtung des Missbrauchs personenbezogener Daten in Folge eines Cyberangriffs kann ersatzfähiger immaterieller Schaden sein

In dem Vorlageverfahren hat der EuGH nun mit Urteil vom 14. Dezember 2023 (C-340/21) entschieden, dass die Befürchtung eines möglichen Missbrauchs personenbezogener Daten nach einer Cyberattacke für sich genommen einen immateriellen Schaden einer betroffenen Person im Sinne von Art. 82 DSGVO darstellen könne (anders hatte dies übrigens noch kurz zuvor das OLG Karlsruhe mit Urteil vom 7. November 2023 (19 U 23/23) zu einem Cyberangriff gesehen:

Ein potentieller oder hypothetischer Schaden oder die bloße Beunruhigung wegen des Diebstahls der eigenen personenbezogenen Daten reicht für das Vorliegen eines immateriellen Schadens im Sinne von Art. 82 Abs. 1 DSGVO nicht aus.

Der EuGH betont, dass es für Art. 82 Abs. 1 DSGVO nicht relevant sei, ob ein immaterieller Schaden mit einer bereits erfolgten missbräuchlichen Verwendung der personenbezogenen Daten durch Dritte einherginge oder ob die Angst bestehe, dass eine solche Verwendung in Zukunft erfolgen könnte: 

Weiter ist im vorliegenden Fall festzustellen, dass Art. 82 Abs. 1 DSGVO nicht danach unterscheidet, ob der infolge eines erwiesenen Verstoßes gegen die Bestimmungen der DSGVO von der betroffenen Person behauptete „immaterielle Schaden“ mit einer zum Zeitpunkt ihres Schadenersatzantrags bereits erfolgten missbräuchlichen Verwendung ihrer personenbezogenen Daten durch Dritte verbunden ist oder ob er mit ihrer Angst verknüpft ist, dass eine solche Verwendung in Zukunft erfolgen könnte.

Dies untermauert der EuGH mit einem Verweis auf die vom Gesetzgeber gewollte weite Auslegung des Schadensbegriffs, die sich aus den 85. und 146. Erwägungsgründen der DSGVO erkennen lasse.

Der Nachweis des Schadens obliegt der betroffenen Person

Der EuGH stimmt mit dem Generalanwalt überein, dass der Nachweis der negativen Folgen und deren Eigenschaft als ersatzfähiger immaterieller Schaden der betroffenen Person obliege. Wenn sich diese auf die Angst vor dem Missbrauch personenbezogener Daten infolge einer Cyberattacke berufe, dann müsse das nationale Gericht prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet einzuordnen seien. Die Behauptung von Ängsten bedeutet also nicht automatisch, dass ein Schaden nachgewiesen wurde: Es ist immer noch eine Prüfung des Einzelfalls erforderlich. 

Haftungsbefreiung nur in engen Grenzen möglich

In diesem Zuge betont der EuGH zudem, dass der für die Verarbeitung Verantwortliche einen Schaden ersetzen müsse, der durch einen mit der Verarbeitung im Zusammenhang stehenden DSGVO-Verstoß, insbesondere gegen Art. 5 Abs. 1 lit. f), Art. 24 und Art. 32 DSGVO, ermöglicht wurde. Das Handeln von Cyberkriminellen könne dem Verantwortlichen daher nur zugerechnet werden, wenn dieser das kriminelle Handeln durch Missachtung der Regeln der DSGVO ermöglicht habe. Eine Haftungsbefreiung des Verantwortlichen nach Art. 82 Abs. 3 DSGVO komme nur in Frage, wenn dieser den Nachweis erbringe, dass es an einem Kausalzusammenhang zwischen der Verletzung seiner datenschutzrechtlichen Pflichten und dem Schaden der betroffenen Person fehle, er also in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, die Verantwortung trägt. An demselben Datum hat er EuGH ein weiteres Urteil zu Art. 82 DSGVO getroffen und dessen umfassenden Anwendungsbereich gestärkt.

EuGH: Anspruch auf Ersatz immaterieller Schäden setzt keinen spürbaren Nachteil voraus

Am 14. Dezember 2023 hat der EuGH zudem in der Rechtssache C‑456/22 auf eine Vorlagefrage aus Deutschland zu Art. 82 DSGVO entschieden und unter Verweis auf sein Eingangs genanntes Urteil aus dem Mai 2023 der Annahme einer sog. Erheblichkeitsschwelle oder Bagatellgrenze erneut eine deutliche Absage erteilt. Der Gerichtshof betonte zudem nochmals, dass ein Verstoß gegen die DSGVO nicht automatisch einen Schadensersatzanspruch nach Art. 82 DSGVO auslöse. 

Mit diesem zweiten Urteil vom 14. Dezember 2023 hat der EuGH dem Begriff des immateriellen Schadens im Sinne des Art. 82 DSGVO aber weitere Konturen gegeben. Die Vorlage betraf u.a. die Frage, ob der immaterielle Schaden einen spürbaren Nachteil sowie eine objektiv nachvollziehbare Beeinträchtigung persönlichkeitsbezogener Belange voraussetzt oder ob ein bloß kurzfristiger (wenige Tage andauernder) Verlust des Betroffenen über seine Daten durch deren Veröffentlichung im Internet, die ohne spürbare oder nachteilige Konsequenzen blieb, ausreicht. Der Anspruch auf Ersatz immaterieller Schäden setzt dem EuGH zufolge keinen spürbaren Nachteil voraus. Allerdings – so betont der Gerichtshof in Übereinstimmung mit dem anderen o.g. Urteil vom 14. Dezember 2023 – habe der Betroffene das Vorliegen nachteiliger Folgen des DSGVO-Verstoßes, die zu einem immateriellen Schaden führen, nachzuweisen.

EuGH: Zur Ausgleichsfunktion des Art. 82 DSGVO für konkret erlittene Schäden infolge von DSGVO-Verstößen

Betreffend der Rechtssache (C-667/21), in der es um die Verarbeitung von Gesundheitsdaten und eine Entschädigung in Höhe von EUR 20.000 geht, beantwortete der EuGH mit Urteil vom 21. Dezember 2023 weitere Vorlagefragen aus Deutschland zu Art. 82 DSGVO. Die Vorlage betraf u.a. die Fragen, ob es bei der Höhe des immateriellen Schadensersatzes auf den Verschuldensgrad des Verantwortlichen (oder Auftragsverarbeiters) ankommt und ob insbesondere dessen fehlendes oder geringes Verschulden zu seinen Gunsten berücksichtigt werden darf. Im Mai 2023 hatte hierzu der Generalanwalt seine Schlussanträge vorgelegt und sich dafür ausgesprochen, dass der Grad des Verschuldens weder für die Haftung noch die Bemessung der Höhe des zu ersetzenden immateriellen Schadens von Bedeutung sei.

Der EuGH verwies zum Sinn und Zweck des Art. 82 DSGVO auf dessen Ausgleichsfunktion: Die Norm solle eine Entschädigung in Geld ermöglichen, um den aufgrund eines DSGVO-Verstoßes konkret erlittenen Schaden zu ersetzen. Dabei komme ihr keine Abschreckungs- oder Straffunktion zu. In Übereinstimmung mit dem o.g. Urteil legt der EuGH Art. 82 DSGVO auch auf diese Vorlagefragen dahingehend aus, dass das Verschulden des Verantwortlichen vermutet werde, sofern dieser nicht nachweist, dass ihm die schadensverursachende Handlung nicht zuzurechnen ist. Zur Bemessung der Höhe einer zu leistenden Entschädigung für einen immateriellen Schaden führte der EuGH aus, dass Art. 82 DSGVO nicht verlange, dass der Grad des Verschuldens dabei berücksichtigt werde.

Auch im Jahr 2024 bleibt es zum DSGVO-Schadensersatz spannend: Weitere Vorlagefragen zu Art. 82 DSGVO vor dem EuGH

Damit hat der EuGH die Voraussetzungen und Rechtsfolgen des datenschutzrechtlichen Schadensersatzanspruchs insb. hinsichtlich immaterieller Schäden weiter konkretisiert. Es bleibt abzuwarten, wie die nationalen Gerichte mit den Vorgaben des Gerichtshofs umgehen werden. Zudem laufen weitere Vorlageverfahren vor dem EuGH zu Art. 82 DSGVO. Erst im September 2023 hat beispielsweise der BGH ein Verfahren ausgesetzt und dem EuGH Fragen zum DSGVO-Schadensersatz vorgelegt, u.a. ob Art. 82 Abs. 1 DSGVO dahingehend auszulegen sei, dass für die Annahme eines immateriellen Schadens bloße negative Gefühle (z.B. Ärger, Unmut, Unzufriedenheit, Sorge, Angst) genügen, obwohl diese Teil des allgemeinen Lebensrisikos und des täglichen Erlebens seien, oder ob ein über diese Gefühle hinausgehender Nachteil erforderlich ist. 

EuGH: Schlussanträge des Generalanwalts im Scalable Capital-Vorlageverfahren

In den verbundenen Rechtssachen C-182/22 und C-189/22 mit Vorlagefragen aus Deutschland (C-182/22C-189/22) zu den Scalable Capital-Vorlageverfahren liegen seit Oktober 2023 die auf die fünfte Vorlagefrage beschränkten Schlussanträge des Generalanwalts vor. Die vorlegenden Gerichte möchten vom EuGH u.a. Antworten auf die Fragen, ob für die Geltendmachung des immateriellen Schadensersatzes nach Art. 82 DSGVO ein Identitätsdiebstahl im Sinne des 75. Erwägungsgrundes der DSGVO erst dann vorliegt, wenn die Identität des Betroffenen angenommen wurde, oder ob der Umstand, dass Straftäter über Daten verfügen, die den Betroffenen identifizierbar machen, zur Bejahung eines Identitätsdiebstahls ausreicht. 

Der Generalanwalt kommt in diesem Verfahren zu der Empfehlung, dass der Diebstahl sensibler personenbezogener Daten eines Betroffenen durch unbekannte Straftäter zu einem Anspruch auf immateriellen Schadensersatz führen könne, wenn der Nachweis eines Verstoßes gegen die DSGVO, eines konkreten erlittenen Schadens und des Kausalzusammenhangs zwischen Schaden und DSGVO-Verstoß erbracht werde. Als nicht erforderlich sieht es der Generalanwalt an, dass Straftäter die Identität des Betroffenen angenommen haben. Der Besitz von Daten, die zur Identifizierbarkeit des Betroffenen genügen, stelle dem Generalanwalt zufolge für sich genommen keinen Identitätsdiebstahl dar. Da in diesem Verfahren bereits die Schlussanträge des Generalanwalts vorliegen, kann mit einer baldigen Entscheidung durch den EuGH gerechnet werden. Angesichts der o.g. EuGH-Entscheidung vom 14. Dezember 2023 zu der Vorlage aus Bulgarien dürfte sich die Spannung, wie der EuGH in diesen Rechtssachen urteilen wird, in Grenzen halten.

Überblick zu weiteren EuGH-Vorlageverfahren betreffend Art. 82 DSGVO

Vor dem EuGH laufen weitere Vorlageverfahren, von denen einige Parallelen zu den oben dargestellten Fragen aufweisen; diese sind beispielsweise:

  • Die Rechtssache C-687/21 mit Vorlagefragen aus Deutschland, u.a. ob die Bekanntgabe von personenbezogenen Daten an einen unberechtigten Dritten ohne dessen Kenntnisnahme sowie das darauffolgende Unbehagen des Betroffenen ohne weitere Darlegung für die Annahme eines immateriellen Schadens ausreichend sind. Mit Urteil vom 25. Januar 2024 hat der EuGH hierzu entschieden, dass nicht allein deshalb ein immaterieller Schaden vorliege, weil der Betroffene in dem Fall der erwiesenermaßen nicht erfolgten Kenntnisnahme durch den Dritten (dennoch) befürchte, dass in der Zukunft eine Weiterverbreitung oder ein Missbrauch der personenbezogenen Daten erfolgen könnte.
  • Die Rechtssache C-507/23 mit Vorlagefragen aus Lettland, u.a. ob Art. 82 Abs. 1 DSGVO die Verpflichtung zur Entschuldigung als einzigen Ersatz für einen immateriellen Schaden gestattet, wenn keine Möglichkeit zur Wiederherstellung des ursprünglichen Zustands besteht, und ob die Motivation des Verantwortlichen (z.B. Erfüllung eines im öffentlichen Interesse liegenden Auftrags, Fehlen einer Schädigungsabsicht oder Verständnisprobleme hinsichtlich des geltenden Rechts) anspruchsmindernd berücksichtigt werden kann.
  • Die Rechtssache C-590/22 mit Vorlagefragen aus Deutschland, u.a. ob allein die Befürchtung ohne positiven Nachweis, dass personenbezogene Daten unberechtigt in fremde Hände gelangten, für einen Anspruch aus Art. 82 DSGVO ausreicht und ob für die Bemessung des Schadensersatzes eine abschreckende Wirkung erforderlich ist.
  • Die Rechtssache C-741/21 mit Vorlagefragen aus Deutschland, u.a. zur Möglichkeit einer Entlastung gemäß Art. 82 Abs. 3 DSGVO, wenn der DSGVO-Verstoß auf menschlichem Versagen im Einzelfall beruht und ob es bei mehreren ähnlichen Verstößen einer Gesamtbetrachtung für die Bemessung des Schadensersatzes bedarf oder ob jeder einzelne Verstoß alleinstehend gesehen werden muss.

Diese nicht abschließende Auflistung zeigt, dass es zu Art. 82 DSGVO und dem datenschutzrechtlichen Schadensersatz auch in Zukunft spannend bleibt. Bleiben Sie mit unserem Blog auf dem Laufendem: DSGVO-Schadensersatz: Übersicht über aktuelle Urteile und Entwicklungen (laufend aktualisiert) (cmshs-bloggt.de).

This article is also available in English.

Tags: Datenschutzrecht DSGVO Schadensersatz spürbarer Nachteil