EuGH stärkt Schadensersatzansprüche Betroffener nach Art. 82 DSGVO

von Lieb Rechtsanwälte

Urteile des Gerichtshof der Europäischen Union in den Rechtssachen C-456/22 und C-340/21

Am 14. Dezember 2023 verkündete der EuGH zwei praxisrelevante Urteile in Bezug auf Ansprüche nach der Europäischen Datenschutz-Grundverordnung (DSGVO). Die Entscheidung in der Rechtssache C-456/22 beschäftigt sich mit der Frage, ob es für Schadensersatzansprüche nach der DSGVO eine Bagatellgrenze geben kann. In der Rechtssache C-340/21 hatte sich das Luxemburger Gericht mit den Anforderungen an Schadensersatzforderungen gegen Opfer eines Cyber-Angriffs auseinanderzusetzen.

Keine Bagatellgrenze für immateriellen Schaden (Rechtssache C-456/22)

Inhaltlich knüpft der EuGH in seiner neuerlichen Entscheidungen an ein vergangenes Urteil zum immateriellen Schadensersatz an (vgl. Urteil des EuGH v. 04.05.2023 (C-300/21)) und stärkt die Rechte von betroffenen Personen bei Datenschutzverletzungen weiter. Die Rechtsprechung des EuGH zeigt eine Tendenz zu einer umfassenderen Anerkennung (immaterieller) Schäden im Kontext der DSGVO. Bereits in seiner Entscheidung vom 04.05.2023 (wir berichteten) hatte sich der EuGH mit Vorlagefragen zum immateriellen Schadensersatz auseinanderzusetzen und bestätigt mit seinem Urteil vom 14.12.2023, dass es keine Bagatellgrenze für einen Schaden im Sinne des Art. 82 DSGVO geben kann.

Hintergrund der Entscheidung war eine Vorlagefrage eines deutschen Landgerichts, welches sich mit der Klage zweier Personen zu befassen hatte, welche Schadensersatz nach Art. 82 DSGVO aufgrund unzulässiger Veröffentlichung ihrer personenbezogenen Daten geltend machten. Eine deutsche Gemeinde hatte auf ihrer Website die Tagesordnung einer Gemeinderatssitzung veröffentlicht. In dieser Tagesordnung waren die Namen der Kläger und deren Anschriften enthalten. Die Dokumente waren für wenige Tage auf der Gemeindehomepage einsehbar. Hierin sahen die Betroffenen einen Verstoß gegen die DSGVO und verlangten nach Art. 82 DSGVO Ersatz des ihnen entstandenen immateriellen Schadens. Das Landgericht legte das Verfahren dem EuGH zur Vorabentscheidung vor. Das deutsche Gericht neigte zu der Annahme, dass zur Bejahung eines Schadensersatzanspruches eine „Bagatellgrenze“ überschritten sein müsse, was bei einem lediglich kurzfristigen Verlust der Datenhoheit, der ihnen keine spürbaren Nachteile verursacht habe, und ohne Nachweis einer objektiv nachvollziehbaren Beeinträchtigung ihrer persönlichen Belange nicht der Fall sei.

Der EuGH trat dieser Einschätzung in seiner Entscheidung entschieden entgegen. Bereits die Veröffentlichung personenbezogener Daten im Internet und der daraus resultierende Hoheitsverlust über die Daten könne einen immateriellen Schaden im Sinne von Art. 82 DSGVO zufügen. Jedoch müssten die betroffenen Personen nachweisen, dass sie tatsächlich einen Schaden – so gering er auch sein mag – erlitten haben.

In Bestätigung seiner vorangegangenen Entscheidung konstatiert der EuGH nochmals, dass die Bejahung eines Schadensersatzes nach Art. 82 DSGVO vom kumulativen Vorliegen dreier Voraussetzungen abhängt:

  • Verstoß gegen die DSGVO
  • Schaden
  • Kausalzusammenhang zwischen Verstoß und Schaden

Diese drei Voraussetzungen seien erforderlich und ausreichend, um einen Schadensersatzanspruch zu begründen. Art. 82 DSGVO verlange hingegen nicht, dass „nach einem erwiesenen Verstoß gegen Bestimmungen [der DSGVO] der von der betroffenen Person geltend gemachte 'immaterielle Schaden' eine 'Bagatellgrenze' überschreiten muss, damit der Schaden ersatzfähig ist.“

Zur Begründung führt das Gericht aus, dass nach dem Erwägungsgrund-Nr. 146 der DSGVO der Begriff des Schadens weit auszulegen ist. Außerdem würde es dem Ziel der DSGVO nach einem gleichmäßigen und hohen Schutzniveau für die Daten natürlicher Personen widersprechen, wenn es nationalen Gerichten obliege, zu entscheiden, welcher Schaden ersatzfähig ist und welcher nicht.

„Cyberkriminalität: Die Befürchtung eines möglichen Missbrauchs personenbezogener Daten kann für sich genommen einen immateriellen Schaden darstellen“

Diese Überschrift zierte die Pressemitteilung Nr. 191/23 des Gerichtshof der Europäischen Union am 14.12.2023. Wie bereits angedeutet beschäftigt sich das Urteil in der Rechtssache C-340/21 mit dem Thema Schadensersatz wegen immateriellen Schadens nach einem Hackerangriff.

Die bulgarische Nationale Agentur für Einnahmen (NAP) ist dem bulgarischen Finanzminister unterstellt und machte im Jahr 2019 Schlagzeilen. Medienberichten zur Folge wurden bei einem Cyberangriff auf die bulgarische Behörde personenbezogene Sozialversicherungs- und Steuerdaten von mehreren Millionen Personen abgegriffen und online gestellt. Die Klägerin des Ausgangsverfahrens verlangte aufgrund diesen Vorfalls Schadensersatz nach Art. 82 DSGVO. Der EuGH wurde auch hier im Rahmen eines Vorabentscheidungsverfahrens angerufen.

Der EuGH hatte zu klären, ob die bloße Angst vor einem Datenmissbrauch einen immateriellen Schaden im Sinne des Art. 82 DSGVO begründen kann und inwieweit der Zugriff eines „Dritten“ (wie Cyberkriminellen) dem Verantwortlichen zuzurechnen ist.

Der EuGH stellt in seiner Entscheidung klar, dass allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, einen immateriellen Schaden darstellen könne. Fordert eine Person auf dieser Grundlage Schadensersatz, habe das nationale Gericht zu prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden könne.

Wichtige Aussagen des Urteils betreffen die Anforderungen an die angemessene Datensicherheit und die Zurechnung des schadensbringenden Verhaltens an den Datenverantwortlichen.

Die Zurechnung des entstandenen Schadens entfalle nicht allein deshalb, weil der Schaden auf ein schädigendes Verhalten eines Dritten im Sinne von Art. 4 Abs. 10 DSGVO zurückzuführen ist. Der Verantwortliche könne jedoch den Nachweis erbringen, dass ihm ein solches Verhalten nicht zurechenbar sei, da er für den Umstand, aus dem der betreffende Schaden resultiert nicht verantwortlich ist.

Weiter führt der EuGH aus, dass die Beweislast, dass die ergriffenen technischen und organisatorischen Maßnahmen grundsätzlich ausreichend waren, um den unbefugten Zugriff auf Daten zu verhindern, den Verantwortlichen treffe. Die bloße Tatsache, dass ein unbefugter Zugriff stattgefunden hat, genüge jedoch nicht für die Annahme, dass die Maßnahmen nicht ausreichend waren. Die Beurteilung der Geeignetheit der Maßnahme obliege den nationalen Gerichten und habe einzelfallbezogen unter Berücksichtigung der mit der Verarbeitung verbundenen Risiken zu erfolgen.

Können Hacker-Betroffene somit nicht nachweisen, dass sie ausreichende Schutzmaßnahmen getroffen haben, stehen Betroffenen des Datenlecks im Einzelfall Schadensersatzansprüche zu.

Die beiden aufgezeigten EuGH-Entscheidungen haben weitreichende Folgen für die Praxis der Datenverarbeitung in Österreich, Deutschland und der gesamten EU und betonen die Notwendigkeit eines effektiven Datenschutzmanagement. Die Urteile verdeutlichen nochmals, dass jeder materielle oder immaterielle Schaden im Sinne des Art. 82 DSGVO ein ersatzfähiger Schaden sein kann.

Zurück