Generalanwalt zu immateriellem Schadensersatz bei Datenschutzverstoß: Sorgen, Befürchtungen und Ängste reichen aus!

Weiterer Generalanwalt konkretisiert Voraussetzungen des Art. 82 Abs. 1 DS-GVO

Mit Spannung wird das Urteil des Europäischen Gerichtshofs (EuGH) im Verfahren (C-300/21) erwartet. Am 4. Mai 2023 wird der EuGH erstmals über die Auslegung des immateriellen Schadensersatzanspruches nach Art. 82 Abs. 1 DS-GVO entscheiden, zu der sich Generalanwalt Sànchez-Bordona bereits am 6 Oktober 2022 in seinen Schlussanträgen geäußert hat.

Nunmehr hat sich sein Kollege, Generalanwalt Pitruzzella, in einem weiteren Verfahren (C-340/21) mit Art. 82 Abs. 1 DS-GVO und insbesondere der Frage befasst, welche Art der Beeinträchtigung vorliegen muss, um einen immateriellen Schaden zu begründen. Neben weiteren Aussagen zur Auslegung von Art. 82 DS-GVO stellt Generalanwalt Pitruzzella unter anderem klar, dass aus seiner Sicht nicht jeder immaterielle Schaden, unabhängig von seiner Schwere, automatisch einen ersatzfähigen Schaden im Sinne der DS-GVO darstellt.

Hintergrund

Das Oberste Verwaltungsgericht Bulgariens hat dem EuGH am 14. Mai 2021 mehrere Vorlagefragen im Zusammenhang mit der Auslegung des Art. 82 Abs. 1 DS-GVO vorgelegt. Dem Vorabentscheidungsersuchen liegt folgender Fall zugrunde: Im Juli 2019 wurde durch die bulgarischen Medien bekannt, dass aufgrund eines Hackerangriffs personenbezogene Daten, darunter Steuer- und Sozialversicherungsdaten, von mehreren Millionen bulgarischer Bürgerinnen und Bürger aus den Datenbanken der beklagten Nationalen Agentur für Einnahmen im Internet veröffentlicht wurden. Die Klägerin äußerte daraufhin Sorgen, Befürchtungen und Ängste vor einem möglichen künftigen Missbrauch ihrer Daten, zum Beispiel durch Entzug von Vermögen, Missbrauch der Bankverbindung, Abschluss von Krediten in fremden Namen, Änderung des Personenstandes oder Identitätsdiebstahl. Für das Gericht stellte sich nun die Frage, ob und in welcher Höhe der Klägerin für ihre Sorgen, Befürchtungen und Ängste ein immaterieller Schadensersatzanspruch zusteht. Es legte dem EuGH daher folgende Vorlagefragen vor:

1. Reicht allein eine unbefugte Offenlegung bzw. ein unbefugter Zugang zu personenbezogenen Daten als Nachweis dafür, dass die von dem Verantwortlichen getroffenen technischen und organisatorischen Maßnahmen nicht geeignet waren?
2. Welchen Gegenstand und Umfang haben die Gerichte bei der Rechtmäßigkeitskontrolle hinsichtlich der Geeignetheit der getroffenen Maßnahmen?
3. Trägt der Verantwortliche die Beweislast dafür, dass die getroffenen Maßnahmen geeignet waren? Ist hierfür ein Sachverständigengutachten ein geeignetes Beweismittel?
4. Besteht die Möglichkeit eines Haftungsausschlusses, wenn feststeht, dass der Datenverstoß von Dritten begangen wurde, über die der Verantwortliche keine Kontrolle hatte, so dass er in keinerlei Hinsicht verantwortlich ist?
5. Reicht die Befürchtung eines möglichen künftigen Missbrauchs von personenbezogenen Daten aus, um einen immateriellen Schaden im Sinne des Art. 82 DS-GVO zu begründen?

Generalanwalt Pitruzzella stellt in seinen Schlussanträgen (Verfahren C-340/21) folgende Grundsätze auf, wie seiner Meinung nach der Schadensersatzanspruch zu verstehen ist:

Datenverstoß indiziert nicht per sé Ungeeignetheit der getroffenen Maßnahmen; Einzelfallprüfung notwendig

Das bloße Vorliegen eines Datenverstoßes reicht nicht aus, um zu dem Schluss zu gelangen, dass die von dem Verantwortlichen getroffenen technischen und organisatorischen Maßnahmen nicht geeignet waren, um den Schutz der betreffenden Daten zu gewährleisten. Ob getroffene Maßnahmen tatsächlich ungeeignet waren, müssen die nationalen Gerichte anhand einer Einzelfallprüfung beurteilen. Die Prüfung soll sich dabei auf eine konkrete Analyse sowohl des Inhalts dieser Maßnahmen als auch der Art und Weise ihrer Umsetzung erstrecken, um festzustellen, ob die Maßnahmen im Ergebnis geeignet waren, das Risiko in angemessener Weise zu verhindern und die negativen Auswirkungen des Verstoßes zu minimieren. Dabei ist insbesondere auch der jeweilige „Stand der Technik“ zu berücksichtigen.

Verantwortlicher trägt Beweislast für Geeignetheit

Bei einer Schadensersatzklage nach Art. 82 DS-GVO muss der Verantwortliche im Einklang mit seiner Rechenschaftspflicht (Art. 5 Abs. 2 DS-GVO) nachweisen, dass die von ihm ergriffenen Maßnahmen geeignet waren. Die Betroffenen verfügen nach Pitruzzella in der Regel weder über ausreichende Kenntnisse, noch haben diese Zugang zu allen Informationen, die sich im Besitz des Verantwortlichen befinden, mit denen sie eine etwaige fehlende Geeignetheit nachweisen könnten. Es obliegt den nationalen Gerichten, geeignete Beweismittel und deren Rechtskraft zu bestimmen.

Befürchtung eines künftigen Missbrauchs von personenbezogenen Daten kann immateriellen Schaden darstellen

Sorgen, Ängste und Befürchtungen wegen eines möglichen, aber noch nicht eingetretenen künftigen Missbrauchs personenbezogener Daten können einen immateriellen Schaden darstellen, der einen Schadensersatzanspruch nach Art. 82 Abs. 1 DS-GVO begründet. Die betroffene Person muss allerdings nachweisen, dass sie tatsächlich und konkret einen realen und sicheren emotionalen Schaden erlitten hat. Auch Generalanwalt Sànchez-Bordona hatte in seinen Schlussanträgen (C-300/21) die Auffassung vertreten, dass ein „bloßes verärgert sein“ über den Datenschutzverstoß für sich allein nicht ausreicht, um einen immateriellen Schaden zu begründen. Es ist weiterhin Sache des nationalen Gerichts, zu beurteilen, ob die Beeinträchtigung über die Schwelle der bloßen (nicht ersatzfähigen) Besorgnis hinausgeht.

Fazit

Generalanwalt Pitruzzella schließt sich im Ergebnis Generalanwalt Sànchez-Bordona an. Ob der EuGH dieser Auslegung ebenfalls folgen wird, bleibt abzuwarten. Ein Termin zur Verkündung des Urteils wurde bislang nicht anberaumt. Für die Praxis ist eine erste und vor allem zeitnahe Klärung durch den EuGH am 04.05.2023 im Verfahren C-300/21 zu begrüßen. Sie ist gerade im Hinblick auf Verbandsklagen von Relevanz, die in Umsetzung einer EU-Richtlinie bis spätestens zum 25.06.2023 europaweit eingeführt werden müssen und Verbraucherschutzverbänden ermöglichen, Klagen für eine Vielzahl von Verbrauchern u.a. bei Datenschutzverstößen zu führen.

Einen ausführlichen Überblick zur Rechtsprechung deutscher Gerichte zum Schadensersatz für Datenschutzverstöße finden Sie in unserem Noerr GDPR Damages Tracker.

Insbesondere in Fällen, in denen ein Datenschutzverstoß eine Vielzahl an Personen betrifft, müssen Unternehmen mit Massenklagen rechnen. Auch wenn Art. 82 DS-GVO insgesamt eher restriktiv ausgelegt werden sollte, verbleibt neben den behördlichen Bußgeldern weiterhin ein nicht unerhebliches finanzielles Risiko. Unser eingespieltes Team aus anerkannten Datenschutz- und Litigation Experten berät Sie gerne zu den Herausforderungen, Chancen und Risiken der Data Protection Litigation.