Der Datenschutz spielt eine wichtige Rolle sowohl für Unternehmen als auch für Verbraucher. Beispielsweise ist eine der größten Ängste eines Verbrauchers im E-Commerce, dass unbefugte Dritte Zugriff auf seine persönlichen Daten erlangen. Der Verantwortliche (in unserem Beispiel das E-Commerce-Unternehmen) ist aber dazu verpflichtet, nach Artikel (Art.) 24, 32 Datenschutz-Grundverordnung (DSGVO) bestimmte Schutzmaßnahmen zu treffen, um seine Kunden vor solchen rechtswidrigen Zugriffen zu schützen. Doch was ist, wenn es trotzdem geschieht?
Es ist in vielen Fällen unklar, wie weit solche Schutzmaßnahmen gehen müssen und wann ein Datenschutzverstoß zu einem Schadensersatzanspruch nach Art. 82 DSGVO führt. Um diese Fragen beantworten zu können, hilft ein Blick auf die Rechtsprechung des Gerichtshofs der Europäischen Union (EuGH). Durch diese Reihe von Rechtsprechungen wollen wir den aktuellen Stand des Datenschutzrechts seit 2023 bis jetzt erläutern und die Konsequenzen für Unternehmen und Verbraucher daraus ziehen.
Bei Verstößen gegen das Datenschutzrecht drohen nach der DSGVO sowohl eine Haftung auf Schadensersatz als auch empfindliche Bußgelder der Aufsichtsbehörden.
In unserem heutigen Beitrag widmen wir uns dem
Schadensersatzanspruch, Art. 82 DSGVO.
1. Österreichische Post-Entscheidung vom 04.05.2023, C-300/21
Der Entscheidung, wie bereits von uns ausführlich im Blogartikel vom 17.01.2024 besprochen, ging ein Rechtsstreit zwischen einem österreichischen Staatsbürger und der Österreichische Post AG voraus. Das Unternehmen erhob seit 2017 ohne Einwilligung der betroffenen Personen Informationen zu den Parteiaffinitäten der österreichischen Bevölkerung. Die ermittelten Merkmale nutze das Unternehmen, um Bürger im Wege algorithmischer Hochrechnung bestimmten politischen Zielgruppen zuzuweisen. Auch der Kläger war von einer solchen Zuordnung betroffen. Eine Weitergabe der Daten an Dritte erfolgte jedoch nicht. Der Kläger machte einen Anspruch auf DSGVO-Schadensersatz in Höhe von 1.000 Euro geltend, weil er durch das Verhalten der Österreichischen Post verärgert war und ein Gefühl der Bloßstellung hatte.
Die Entscheidung bestätigt die Notwendigkeit einer entsprechenden Darlegung des eingetretenen Schadens. Zum einen setzt Art. 82 DSGVO ausdrücklich den Eintritt eines Schadens voraus, weshalb eine gegenteilige Auslegung kaum mit dem Wortlaut der Norm vergleichbar sei. Ohne Schadenserfordernis verliere die Norm zudem ihren Ausgleichscharakter und würde zu einer reinen Sanktionsvorschrift.
Der EuGH erteilt der Auffassung eine Absage, dass nationale Gerichte den Zuspruch eines DSGVO-Schadensersatzes davon abhängig machen dürfen, dass eine Konsequenz oder Folge der Rechtsverletzung von einigem Gewicht vorliegt (sog. „Bagatellgrenze“) (C-300/21, Rn. 51). Die DSGVO erwähne keine Erheblichkeitsschwelle, zudem stünde eine solche im Widerspruch zum weiten Verständnis des unionsrechtlichen Schadensbegriffs. Eine solche Beschränkung gefährde auch die mit der DSGVO verfolgte Kohärenz, da die graduelle Abstufung je nach Gericht unterschiedlich ausfallen könne.
Beklagte Unternehmen sollten weiterhin Forderungen nach Schadensersatzansprüchen sehr sorgfältig überprüfen. Auch im Lichte des EuGH-Urteils bieten sich nach wie vor Möglichkeiten, unbegründete Forderungen erfolgreich abzuwehren.
2. NAP-Entscheidung vom 14.12.2023, C-340/21
Im Ausgangsverfahren war eine bulgarische nationale Agentur für Einnahmen, die NAP, welche dem bulgarischen Finanzminister unterstellt ist, Ziel eines Cyberangriffs. Infolgedessen wurden personenbezogene Daten von Millionen Menschen im Internet veröffentlicht. Viele der Betroffenen forderten Schadensersatz nach Art. 82 DSGVO mit Verweis auf die Befürchtung eines möglichen Missbrauchs ihrer personenbezogenen Daten.
Fraglich war zunächst, ob der Cyberangriff allein ausreicht, um die Geeignetheit der Schutzmaßnahmen im Sinne des Art. 24 und 32 DSGVO des Verantwortlichen zu verneinen. Der EuGH betonte, dass ein Cyberangriff hierfür nicht ausreiche. Die in Art. 24 Abs. 1 DSGVO genannten Kriterien (beispielsweise Art und Umfang der Verarbeitung, Eintrittswahrscheinlichkeit und Schwere der Risiken) setzen gerade eine individuelle Beurteilung der Geeignetheit solcher Maßnahmen voraus. Auch Art. 32 DSGVO garantiert keinen absoluten Schutz personenbezogener Daten, sondern fordert ein angesichts der spezifischen Verarbeitungsrisiken, dem Stand der Technik und der Implementierungskosten angemessenes Schutzniveau.
Im Rahmen einer auf Art. 82 DSGVO gestützten Klage muss der Verantwortliche allerdings gegebenenfalls beweisen, dass seine Sicherheitsmaßnahmen geeignet im Sinne des Art. 32 DSGVO waren. Nach wie vor muss die betroffene Person zunächst einen DSGVO-Verstoß belegen. Im Falle eines Cyber-Angriffs dürfte künftig aber eine Vermutung bestehen, dass unzureichende Sicherheitsmaßnahmen den Angriff ermöglicht haben und es sodann dem Verantwortlichen obliegen, diese Vermutung zu widerlegen.
Nach wie vor ist der unbefugte Zugriff durch Dritte per se noch keine Pflichtverletzung des Verantwortlichen. Relevant sind deswegen die Ausführungen des EuGH zur Beweislastverteilung. Verantwortliche Stellen sind künftig prozessual in der Pflicht, gegebenenfalls die Einhaltung ihrer Pflichten aus Art. 32 DSGVO zu beweisen. Das Einhalten und die beweissichere Dokumentation der Grundsätze des DSGVO (Art. 5 DSGVO), insbesondere hinsichtlich geeigneter Sicherheitsmaßnahmen, wird somit erneut deutlich wichtiger, da künftig auch der Ausgang von Schadensersatzklagen davon abhängen kann.
Für Unternehmen, die von einem sog. Cyberangriff betroffen sind, ist die Entscheidung keine gute Nachricht. Denn es ist gut möglich, dass man für diesen Angriff haftet:
"Wenn, wie im vorliegenden Fall, eine Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DSGVO von Cyberkriminellen und damit von „Dritten“ im Sinne von Art. 4 Nr. 10 DSGVO begangen wurde, kann diese Verletzung dem Verantwortlichen nur dann zugerechnet werden, wenn dieser die Verletzung unter Missachtung einer Verpflichtung aus der DSGVO, insbesondere der Verpflichtung zum Datenschutz, die ihm nach Art. 5 Abs. 1 Buchst. f, Art. 24 und Art. 32 DSGVO obliegt, ermöglicht hat.
Somit kann sich der Verantwortliche bei einer Verletzung des Schutzes personenbezogener Daten durch einen Dritten auf der Grundlage von Art. 82 Abs. 3 DSGVO von seiner Haftung befreien, indem er nachweist, dass es keinen Kausalzusammenhang zwischen der etwaigen Verletzung der Verpflichtung zum Datenschutz durch ihn und dem der natürlichen Person entstandenen Schaden gibt.
(...)
Nach alledem ist auf die vierte Frage zu antworten, dass Art. 82 Abs. 3 DSGVO dahin auszulegen ist, dass der Verantwortliche von seiner nach Art. 82 Abs. 1 und 2 DSGVO bestehenden Pflicht zum Ersatz des einer Person entstandenen Schadens nicht allein deshalb befreit werden kann, weil dieser Schaden die Folge einer unbefugten Offenlegung von bzw. eines unbefugten Zugangs zu personenbezogenen Daten durch „Dritte“ im Sinne von Art. 4 Nr. 10 DSGVO ist, wobei der Verantwortliche dann nachweisen muss, dass er in keinerlei Hinsicht für den Umstand, durch den der betreffende Schaden eingetreten ist, verantwortlich ist."
Betreffend die Reichweite des immateriellen Schadens führt der EuGH seinen weiten Schadensbegriff fort. Art. 82 Abs. 1 DSGVO schließe nicht aus, dass bereits die Befürchtung einer missbräuchlichen Verwendung als immaterieller Schaden zu qualifizieren sei (C-340/21, Rn. 164). Ob Sorgen und Befürchtungen im Einzelfall tatsächlich einen Schaden darstellen, bleibt jedoch weiter Gegenstand gerichtlicher Überprüfung und obliegt der Beweislast der betroffenen Person.
3. Medizinischer Dienst der Krankenversicherung Nordrhein – Entscheidung vom 21.12.2023, C‑667/21
Nur kurz sei noch eine weniger zum DSGVO-Schadensersatz beachtete Entscheidung des EuGH erwähnt, und zwar C-667/21.
Im Hinblick auf einen Schadensersatzanspruch stellte dort der EuGH klar, dass der DSGVO-Schadensersatz eine Ausgleichsfunktion hat, der eine Entschädigung in Geld ermöglichen solle, den konkret aufgrund des Verstoßes gegen diese DSGVO erlittenen Schaden vollständig zu ersetzen. Aber: Eine abschreckende oder Straffunktion erfülle der DSGVO-Schadensersatzanspruch nicht. Damit ist auch diese Frage nunmehr geklärt. Der DSGVO-Schadensersatzanspruch soll "nur", aber vollumfänglich den erlittenen Schaden vollständig ausgleichen. "Folglich darf dieser Betrag nicht in einer Höhe bemessen werden, die über den vollständigen Ersatz dieses Schadens hinausgeht." Autsch, Schadensersatzklagewelle.
Und der EuGH nutzte die Entscheidung, um auch einen weiten Punkt klarzustellen, der vielerorts missverstanden wird. Wobei wir meinen, dass der EuGH hier selbst nicht ganz unschuldig ist. Womit wir bei dem Thema des Verschuldens als vierte Voraussetzung eines Schadensersatzanspruchs angelangt sind. Ja, der DSGVO-Schadensersatzanspruch erfordert nicht nur einen DSGVO-Verstoß, einen erlittenen Schaden und einen Kausalzusammenhang zwischen DSGVO-Verstoß und Schaden, sondern auch ein Verschulden des Inanspruchgenommenen. Da dieses jedoch vermutet werde, muss ein Inanspruchgenommener beweisen, dass er für den Schaden in keinerlei Hinsicht verantwortlich sei (zum Ganze ab Rn. 88 ff.).
4. MediaMarktSaturn-Entscheidung vom 25.01.2024, C-687/21
Der Entscheidung, wie bereits von uns ausführlich im Blogartikel vom 14.02.2024 besprochen, liegt der Sachverhalt zugrunde, dass ein Saturn-Kunde, der zum Erwerb eines Elektrohaushaltsgeräts einen Kauf- und Kreditvertrag mit seinen Stamm- und Bankdaten sowie Einkünften ausfüllte. Diese Unterlagen wurden danach aus Versehen an einen anderen Kunden ausgehändigt. Ein Saturn-Mitarbeiter bemerkte den Fehler und erwirkte innerhalb einer halben Stunde die Retoure von Gerät und Unterlagen an den richtigen Käufer. Der richtige Kunde hatte ein Unbehagen wegen des Risikos einer künftigen missbräuchlichen Verwendung der Daten durch den anderen Kunden verspürt und erhob deswegen Klage.
Der EuGH hielt an seiner bisherigen Linie fest. Insbesondere solle die begründete Befürchtung eines Datenmissbrauchs einen immateriellen Schaden begründen können, etwa wenn personenbezogene Daten enthaltene Dokumente an unbefugte Dritte weitergegeben werden. Eine Einschränkung besteht nach der Entscheidung darin, dass „ein rein hypothetisches Risiko der missbräuchlichen Verwendung“ nicht ausreicht (C-687/21, Rn. 68). Ein solches, rein hypothetisches Risiko liege vor, wenn „kein Dritter die fraglichen personenbezogenen Daten zur Kenntnis genommen hat“. Die Befürchtung des unbefugten Kopierens und Verwendens begründe ohne eine tatsächliche Kenntnisnahme keinen immateriellen Schaden (C-687, Rn. 69).
Konsequenzen
Ein DSGVO-Schadensersatzanspruch hat vier Voraussetzungen, die überraschenderweise sehr ähnlich zur deutschen Rechtsdogmatik sind: 1. DSGVO-Verstoß (Pflichtverletzung), 2. Schaden, 3. Kausalität zwischen DSGVO-Verstoß und Schaden sowie Verschulden. Das war eine lange und umstrittene Reise, da es eine gewichtige Anzahl von Stimmen in Literatur und Rechtsprechung (Hallo, BAG!) dies alles ganz und gar anders sehen wollten. Für deutsche Gerichte wird es jedoch unseres Erachtens dennoch zu einem Umdenken kommen müssen. Denn mit immateriellen Schäden, also Dinge, die keinen Autokratzer darstellen, können deutsche Richter nach unserer Erfahrung schlecht umgehen. Was muss für Angst und Kontrollverlust bezahlt werden? Und zum anderen ist die Beweislastverteilung zwar ähnlich, jedoch unserer Wahrnehmung nach strenger zu Lasten des Inanspruchgenommenen.
Aus der Rechtsprechungsreihe kann man schlussfolgern, dass der Verantwortliche, und nicht die betroffene Person, im Rahmen einer auf Art. 82 DSGVO gestützten Klage gegebenenfalls beweisen muss, dass seine Sicherheitsmaßnahmen geeignet im Sinne des Art. 32 DSGVO waren. Nach wie vor muss die betroffene Person zunächst einen DSGVO-Verstoß belegen.
Art. 82 Abs. 1 DSGVO schließe nicht aus, dass bereits die Befürchtung einer missbräuchlichen Verwendung als immaterieller Schaden zu qualifizieren sei.
Nationale Gerichte dürfen nicht den Zuspruch eines DSGVO-Schadensersatzes davon abhängig machen, dass eine Konsequenz oder Folge der Rechtsverletzung von einigem Gewicht vorliegt (sog. „Bagatellgrenze“).
Eine Einschränkung des Anspruchs auf einen DSGVO-Schadensersatz besteht nach dem EuGH (nur?) darin, dass „ein rein hypothetisches Risiko der missbräuchlichen Verwendung“ nicht ausreicht. Also rein hypothetisch.
Bald erscheint unser zweiter Blog-Teil zu dem Rechtsprechungsthema DSGVO-Bußgelder.
"DSGVO Entscheidungen Übersicht: Schadensersatzanspruch nach Art. 82 DSGVO"