Datenklau ist mittlerweile (leider) ein bekanntes Szenario. Je nach Art der personenbezogenen Daten kann das schwerwiegende Folgen für die betroffene Person haben. Im „Worst-Case-Szenario“ geben sich die Daten-Diebe im Internet als die betroffene Person selbst aus und erwerben auf Kosten des tatsächlichen Betroffenen Waren. In vielen Fällen bleibt der Datenklau glücklicherweise frei von (finanziellen) Folgen, da die Diebe häufig „nur“ eine große Datenmenge erbeuten. Dabei kommt es ihnen oftmals nicht darauf an gezielt personenbezogene Daten abzugreifen. In derartig gelagerten Fällen stellt aber der Datenklau schon an sich bereits einen großen Eingriff in die Privatsphäre der betroffenen Person sowie den damit einhergehenden Kontrollverlust über die eigenen personenbezogenen Daten dar. Genau hier fordern viele Betroffene bereits Schadensersatz nach Art. 82 Abs. 1 DSGVO gegenüber dem Verantwortlichen.
Doch steht den Betroffenen in solchen Fällen tatsächlich ein Schadensersatzanspruch zu? Mit dieser und weiteren Fragen des Amtsgerichts (AG) München hat sich der Europäischen Gerichtshof (EuGH) im Rahmen eines Vorabentscheidungsverfahren nach Art. 267 Vertrag über die Arbeitsweise der Europäischen Union (AEUV) auseinandergesetzt, wie auch die LTO bereits berichtete.
Sachverhalt des AG München
Der Ausgangsfall am AG München war folgender: Der Nutzer einer Trading-Plattform verklagte deren Betreiber nachdem deren App im Jahr 2020 Ziel eines Hackerangriffs war. Den Hackern ist es gelungen während des Angriffs personenbezogene Daten (wie Name, Geburtsdatum, Anschrift, E-Mail-Adresse, digitale Ausweiskopie) sowie Angaben über Wertpapier-Depots der Nutzer abzugreifen. Der Kläger verlangte daraufhin (immateriellen) Schadensersatz nach Art. 82 DSGVO.
Exkurs: Anspruchsvoraussetzung für einen Schadensersatz nach Art. 82 Abs. 1 DSGVO
Nach Art. 82 Abs. 1 DSGVO steht jeder Person ein Anspruch auf Schadensersatz zu, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist.
Daraus ergeben sich folgende Anspruchsvoraussetzungen, welche kumulativ vorliegen müssen:
- Verstoß gegen die DSGVO
- Keine Exkulpation nach Art. 82 Abs. 3 DSGVO
- Schaden
- Kausalität
Grundvoraussetzung für einen Anspruch auf Schadensersatz ist demnach, dass der betroffenen Person nachweislich ein Schaden aufgrund des Verstoßes des Schädigers gegen die DSGVO entstanden ist.
Fragen des AG München im Rahmen eines Vorabentscheidungsverfahrens
Ob allein der Kontrollverlust über die Daten einen Anspruch auf Schadensersatz aus der DSGVO rechtfertigt, haben die Richter des AG München den Richtern am EuGH in Luxemburg mit insbesondere folgenden Fragen zur Vorabentscheidung nach Art. 267 AEUV vorgelegt:
- „Ist Art. 82 DSGVO dahingehend auszulegen, dass der Bemessung der Höhe des Schadensersatzanspruches kein Sanktionscharakter, insbesondere keine Abschreckungsfunktion, berücksichtigt wird?
- Ist für die Bemessung des immateriellen Schadensersatzanspruchs davon auszugehen, dass der Schadensersatzanspruch auch eine Genugtuungsfunktion hat?
Wenn dem immateriellen Schadensersatzanspruch keine Genugtuungsfunktion zukommt: Führen bei der Bemessung nur vorsätzliche oder grob fahrlässige Datenschutzverletzungen als Beurteilung von Verursachungsbeiträgen zu zusätzlichem Gewicht?
- Ist für das Verständnis des immateriellen Schadensersatzes in seiner Bemessung einem strukturellen Rangverhältnis oder zumindest Regel-Ausnahme-Rangverhältnis auszugehen, bei dem das von einer Datenverletzung ausgehende Beeinträchtigungserleben weniger Gewicht hat als das mit einer Körperverletzung verknüpfte Beeinträchtigungs- und Schmerzerleben?
- Steht einem nationalen Gericht offen, wenn von einem Schaden auszugehen ist, angesichts fehlender Schwere einen materiell nur im Geringfügigen bleibenden und damit unter Umständen von Verletztenseiten oder allgemein nur als symbolisch empfundenen Schadensersatze zuzusprechen?
- Ist für das Verständnis des immateriellen Schadensersatzes in der Beurteilung seiner Folge davon auszugehen, dass ein Identitätsdiebstahl im Sinne des 75. Erwägungsgrundes der DSGVO erst dann vorliegt, wenn tatsächlich ein Straftäter die Identität des Betroffenen angenommen hat, sich also in irgendeiner Form als der Betroffene ausgegeben hat, oder liegt schon im Umstand, dass inzwischen Straftäter über Daten verfügen, die den Betroffenen identifizierbar machen, ein solcher Identitätsdiebstahl?“
Entscheidung des EuGHs
Zur Frage 1 und 2:
Zunächst hat der EuGH in seiner Entscheidung festgestellt, dass Art. 82 Abs. 1 DSGVO ausschließlich eine Ausgleichfunktion erfüllt. Der immaterielle Schadensersatz soll daher ausschließlich zu Kompensation des erlittenen Schadens dienen und nicht zur Genugtuung oder zu Strafzwecken. Geldbußen und Sanktionen sind in der DSGVO abschließend – so laut EuGH – in Art. 83 und 84 DSGVO geregelt. Der Schadensersatz soll allein dem Zweck dienen den erlittenen Schaden auszugleichen. Ein Sanktionszuschlag darf also nicht berechnet werden. Die Entscheidung, die die Bestimmung und Bemessung der Höhe des Schadensersatzes betrifft, bleibt im Ermessen der nationalen Gerichte.
Bei der Berechnung der Höhe des Schadensersatzes ist der Betrag so festzulegen, dass er den konkret aufgrund des Verstoßes gegen die DSGVO erlittenen Schaden in vollem Umfang ausgleicht. Art. 81 Abs. 1 DSGVO ist also dahingehend auszulegen, dass der Grad der Schwere und etwaige Vorsätzlichkeit nicht berücksichtigt werden.
Der EuGH betont auch hier nochmals, dass ein Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DSGVO gegenüber dem Verantwortlichen nur besteht, wenn diesen ein Verschulden trifft und dieser sich nicht exkulpieren kann.
Zur Frage 3:
Art. 82 Abs. 1 DSGVO ist dahingehend auszulegen, dass ein durch die Verletzung des Schutzes personenbezogener Daten verursachter Schaden nicht weniger schwerwiegend ist als eine Körperverletzung.
Zur Frage 4:
Das nationale Gericht kann bei fehlender Schwere des Schadens diesen ausgleichen, indem ein geringfügiger Schadensersatz zugesprochen wird, sofern dieser Schadensersatz geeignet ist, den entstandenen Schaden in vollen Umfang auszugleichen.
Der EuGH betont aber bei der Beantwortung dieser Frage, dass der Anspruch auf Schadensersatz nur besteht, wenn durch den Verstoß auch ein Schaden entstanden ist. Der bloße Verstoß gegen die DSGVO genügt hierfür nicht.
Zur Frage 5:
Art. 82 Abs. 1 der Verordnung 2016/679 ist im Licht der Erwägungsgründe 75 und 85 dieser Verordnung dahin auszulegen, dass der Begriff „Identitätsdiebstahl“ nur dann erfüllt ist und einen Anspruch auf Ersatz des immateriellen Schadens nach dieser Bestimmung begründet, wenn ein Dritter die Identität einer Person, die von einem Diebstahl personenbezogener Daten betroffen ist, tatsächlich angenommen hat. Jedoch kann der Ersatz eines durch den Diebstahl personenbezogener Daten verursachten immateriellen Schadens nach der genannten Vorschrift nicht auf die Fälle beschränkt werden, in denen nachgewiesen wird, dass ein solcher Diebstahl von Daten anschließend zu einem Identitätsdiebstahl oder ‑betrug geführt hat.
Fazit
Bezüglich der Höhe des Schadensersatzes bedeutet das, dass sich die Höhe im Einzelfall an den tatsächlich „erlittenen (immateriellen) Schaden“ orientiert. Der Anspruch kann also je nach Verstoß sehr gering sein. Ein Sanktionszuschlag, welcher die Summe des Schadensersatzes erhöhen könnte, darf nicht berechnet werden, da aus dem Schadensersatz nach Art. 82 Abs. 1 DSGVO kein Sanktionscharakter hervorgeht. Sanktionen und Geldbußen sind abschließend in Art. 83 und Art. 84 DSGVO geregelt. Wie der konkrete Schadensersatz berechnet werden soll, wird vom EuGH im Urteil nicht beantwortet. Jedoch stellt der EuGH klar, dass der Grad des Verschuldens im Rahmen des Anspruchs auf Schadensersatzes nach Art. 82 Abs. 1 DSGVO nicht berücksichtigt werden muss.
Zu beachten ist aber, dass der durch einen Verstoß gegen die DSGVO verursachte Schaden nicht automatisch weniger schwerwiegend als eine Körperverletzung ist.
Letztlich konkretisiert der EuGH den „Identitätsdiebstahl“, welcher in EG 85 zur DSGVO genannt wird. Demnach liegt ein „Identitätsdiebstahl“ nur vor, wenn der Dieb die Identität der betroffenen Person tatsächlich angenommen hat. Es ist aber nicht erforderlich, dass tatsächlich nachgewiesen wird, dass ein solcher Diebstahl tatsächlich zu einem Identitätsdiebstahl oder -betrug geführt hat.
Im Ergebnis ist das Urteil für alle Betroffene eines Datenklaus ernüchternd und es konnte auch hiermit keine Rechtsklarheit geschaffen werden. Denn der bloße Datenklau, sprich der Kontrollverlust über die Daten, gewährt noch lange keinen Anspruch auf Schadensersatz, sofern kein tatsächlicher Missbrauch der Daten festgestellt wurde. Es ist immer ein Schaden – sei es in materieller oder immaterieller Form – erforderlich. Ungeklärt bleibt zudem weiterhin, was der Betroffene konkret vortragen muss, um einen immateriellen Schaden nachweisen zu können.