Am 14.12.2023 hat der EuGH zwei weitere wegweisende Urteile verkündet. Das Urteil in der Rechtssache C‑456/22 befasst sich mit der Frage, ob es eine Bagatellgrenze für Schadenersatzansprüche nach der DSGVO geben kann. Im Urteil in der Rechtssache C‑340/21 geht es um die Beurteilung der Geeignetheit ergriffener technischer und organisatorischer Maßnahmen, Fragen der Beweislast sowie die Möglichkeit betroffener Personen immateriellen Schadenersatz geltend zu machen, sofern eine unbefugte Offenlegung von personenbezogenen Daten (aufgrund eines Cyberangriffs) erfolgt ist.
Im folgenden Beitrag möchten wir die wesentlichen Aussagen der EuGH-Urteile zusammenfassen und aufzeigen, welche Auswirkungen diese für die Datenschutzpraxis haben können. Insbesondere aufgrund der großen Anzahl von Cyberangriffen und deren Folgen (wir berichteten hierzu in einer Blogreihe), dürfte den Urteilen erhebliche Bedeutung zukommen.
Keine Bagatellgrenze für Schadenersatz nach Art. 82 DSGVO
Nachdem der EuGH bereits Anfang dieses Jahres (im Verfahren gegen die österreichische Post, Rechtssache C-300/21; wir berichteten) Vorlagefragen zum immateriellen Schadenersatz zu beantworten hatte, bestätigte das höchste europäische Zivilgericht am 14.12.2023 erneut, dass es keine Bagatellgrenze für einen Schaden im Sinne des Art. 82 DSGVO geben kann.
Nach Ansicht des EuGH „verlangt Art. 82 Abs. 1 DSGVO nicht, dass nach einem erwiesenen Verstoß gegen Bestimmungen dieser Verordnung der von der betroffenen Person geltend gemachte „immaterielle Schaden“ eine „Bagatellgrenze“ überschreiten muss, damit dieser Schaden ersatzfähig ist.“ (Fettung nicht im Original)
Das Gericht begründet seine Auffassung damit, dass nach Erwägungsgrund 146 der DSGVO der Begriff des „Schadens“ weit auszulegen ist. Zudem würde es dem Ziel der DSGVO nach einem gleichmäßigen und hohen Schutzniveau (Art. 32 DSGVO) für die Daten natürlicher Personen widersprechen, wenn es nationalen Gerichten überlassen bliebe, zu entscheiden, welcher Schaden ersatzfähig ist und welcher nicht.
Auslöser für die Vorlagefrage beim EuGH war ein Verfahren vor dem Landgericht Ravensburg. Geklagt hatten zwei Personen, die Schadenersatz nach Art. 82 DSGVO aufgrund von unzulässigen Veröffentlichungen ihrer personenbezogenen Daten geltend machten. Die Gemeinde Ummendorf hatte ohne rechtliche Grundlage auf ihrer Website die Tagesordnung einer Gemeinderatsitzung, in der die Namen der Kläger genannt waren, sowie ein Verwaltungsgerichtsurteil, in dessen Rubrum die Namen sowie die Anschrift der Kläger enthalten waren, veröffentlicht. Die Dokumente waren für wenige Tage im Internet abrufbar.
Schadenersatz nach Datenleck
Ausgangspunkt für das Urteil in der Rechtssache C-340/21 war ein Cyberangriff auf die Datenbanken der bulgarischen Finanzbehörde (Nationale Agentur für Einnahmen, kurz NAP) im Juli 2019. Dabei konnten Angreifer personenbezogene Daten von Millionen von Betroffenen abgreifen und veröffentlichten diese daraufhin im Internet. Betroffene reichten damals Klage gegen die NAP ein, da sie einen Missbrauch dieser Daten befürchteten.
Grundsätzlich steht Betroffenen bei materiellen oder immateriellen Schäden nach einem Datenschutzverstoß ein Ersatzanspruch gemäß Art. 82 DSGVO zu.
Neben unterschiedlichen Fragen betreffend die Auslegung der Art. 24 DSGVO sowie Art. 32 DSGVO, hatte der EuGH zu klären, ob die Angst vor Missbrauch überhaupt einen immateriellen Schaden i.S.d Art. 82 DSGVO begründen kann und inwieweit der Zugriff eines „Dritten“ dem Verantwortlichen überhaupt zurechenbar ist.
Vorliegen eines Schadens
Allein der Umstand, dass eine betroffene Person infolge eines unbefugten Zugriffes den Missbrauch Ihrer Daten fürchtet, kann bereits einen immateriellen Schaden darstellen, welcher nach Art. 82 DSGVO auszugleichen ist.
Zurechnung des Schades
Die Zurechnung des entstandenen Schadens zum Verantwortlichen entfällt nicht allein deshalb, weil der Schaden auf ein schädigendes Verhalten eines „Dritten“ im Sinne von Art. 4 Abs. 10 DSGVO zurückzuführen ist. Der Verantwortliche kann jedoch den Nachweis erbringen, dass ihm ein solches Verhalten nicht zurechenbar ist, weil er für den Umstand aus dem der betreffende Schaden resultiert nicht verantwortlich ist.
Geeignetheit der Maßnahmen
Den Verantwortlichen trifft die Beweislast dafür, dass die ergriffenen technischen und organisatorischen Maßnahmen grundsätzlich ausreichend waren, um den unbefugten Zugriff auf Daten zu verhindern. Der EuGH stellte in diesem Zusammenhang jedoch fest, dass allein die Tatsache, dass ein unbefugter Zugriff /eine unbefugte Offenlegung durch bzw. an Dritte nicht ausreichend sei um anzunehmen, dass die getroffenen Maßnahmen nicht ausreichend waren. Die Beurteilung der Geeignetheit der Maßnahmen obliegt dabei den nationalen Gerichten und hat einzelfallabhängig unter Berücksichtigung der mit der Verarbeitung verbundenen Risiken zu erfolgen. Bezüglich der Hinzuziehung von Sachverständigen kann hierbei keine generelle Aussage getroffen werden. Auch hier ist im Einzelfall zu entscheiden, ob ein Sachverständigengutachten ausreichend sein kann um die Geeignetheit der Maßnahmen nachzuweisen.
Fazit
Mit den Urteilen verdeutlicht der EuGH, dass jeder materielle oder immaterielle Schaden im Sinne des Art. 82 DSGVO ein ersatzfähiger Schaden sein kann. Eine Bagatellgrenze hinsichtlich der Höhe des Schadens ist mit den Schutzzielen der DSGVO nicht vereinbar.
Werden Verantwortliche Opfer eines Cyberangriffs, führt die Tatsache, dass ein unbefugter Zugriff auf personenbezogene Daten erfolgte, nicht unmittelbar zu der Annahme, dass die ergriffenen technischen und organisatorischen Maßnahmen unzureichend waren. Jedoch dürfte es für Verantwortliche schwierig sein, einen schlüssigen Gegenbeweis anzuführen. Unternehmen sollten sich dies bei der Wahl ihrer Schutzmaßnahmen bewusst machen und die getroffenen Maßnahmen regelmäßig kontrollieren und evaluieren (z. B. in Form von Penetrationstests; nähere Informationen finden Sie hier).
Die Entscheidung des EuGH, dass die Angst vor potentiellem Datenmissbrauch generell als immaterieller Schaden eingestuft werden kann, entbindet Kläger nicht von einer einzelfallabhängigen Klagebegründung. Welche Anforderungen an den Nachweis eines immateriellen Schadens (Ängste vor möglichem Missbrauch) gestellt werden, wird sich in der nationalen Praxis zeigen. Es ist jedoch davon auszugehen, dass pauschalisierte Schriftsätze – wie man Sie in der Vergangenheit in anderen datenschutzrechtlichen Bereichen bereits finden konnte – keine ausreichende Klagebegründung darstellen.
Auch wenn diese Urteile weitere Klarheit zur Kompensation immaterieller Schäden schaffen, bleibt weiterhin offen, welche Maßstäbe bei der Berechnung immaterieller Schäden anzulegen sind. Mit Spannung darf daher erwartet werden, inwieweit der EuGH im für den 21.12.2023 angekündigten Urteil (Rechtssache C-667/21 – Krankenversicherung Nordrhein) die Maßstäbe für die Bemessung des immateriellen Schadenersatzes weiter konkretisieren wird und welche Bedeutung das Gericht hierbei dem Grad des Verschuldens zumessen wird.