Update Datenschutz Nr. 181
Neues vom EuGH zum datenschutzrechtlichen Schadensersatzanspruch
Am 20. Juni 2024 setzte sich der EuGH mit gleich mehreren Fragen rund um den Schadenersatzanspruch aus Art. 82 Abs. 1 DSGVO auseinander. Dabei bestätigt das Gericht einerseits seine bisherige weite Rechtsprechung und bietet andererseits neue Anhaltspunkte für die Bemessung immaterieller Schäden bei Datenschutzverletzungen.
Hintergrund
Grundlage der Entscheidung ist ein Cyber-Angriff auf den Anbieter der Trading-App „Scalable Capital“. Über die Folgen des Angriffs hatte das Amtsgericht München zu entscheiden: Betroffene hatten bei der Trading-App Accounts eröffnet und in diesen zahlreiche personenbezogene Daten, darunter Personalausweiskopien, hinterlegt. Diese Daten wurden 2020 von unbekannten Dritten entwendet, aber bislang nicht zu weitergehenden Schädigungshandlungen verwendet. Die Betroffenen machen insoweit geltend, bereits durch den Datendiebstahl einen immateriellen Schaden erlitten zu haben. Das Amtsgericht München hat daraufhin dem EuGH insgesamt fünf Fragen betreffend den in Frage stehenden Schadensersatzanspruch der Betroffenen aus Art. 82 Abs. 1 DSGVO zur Vorabentscheidung vorgelegt.
Die Entscheidung des EuGH
Der EuGH hat erstens festgestellt, dass dem Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO nur eine Ausgleichsfunktion zukommt, nicht aber eine Straffunktion, welche den Betroffenen Genugtuung verschaffen soll. Das Gericht betont insoweit, dass Art. 82 DSGVO – anders als die Bußgeldvorschriften der Art. 83 und 84 DSGVO – keinen Sanktionscharakter hat.
Zweitens hat der EuGH untersucht, ob der Grad der Schwere und eine etwaige Vorsätzlichkeit eines Verstoßes gegen die DSGVO bei der Bemessung eines Schadensersatzanspruchs nach Art. 82 Abs. 1 DSGVO zu berücksichtigen sind. Der EuGH verneint dies unter Verweis auf die Ausgleichsfunktion des Art. 82 Abs. 1 DSGVO: Demnach soll ein erlittener Schaden vollumfänglich kompensiert werden. Die Ausgleichsfunktion schließt es indessen aus, die Höhe des Schadensersatzes von der Schwere oder Vorsätzlichkeit eines Verstoßes abhängig zu machen.
Als Drittes hat sich der EuGH damit befasst, ob bei der Bemessung der Höhe eines Schadensersatzanspruchs aus Art. 82 Abs. 1 DSGVO davon auszugehen ist, dass ein immaterieller Schaden, der durch eine Datenschutzverletzung entsteht, seiner Natur nach weniger schwerwiegend als eine Körperverletzung ist. Auch hier verweist der EuGH auf die umfassende Kompensationsfunktion des Art. 82 Abs. 1 DSGVO: Die Annahme, dass Körperverletzungen schwerer wiegen als Datenschutzverletzungen, könnte nach Auffassung des Gerichts einen vollständigen Schadensausgleich verhindern. Der EuGH verneint daher, dass Körperverletzungen ihrer Natur nach schwerer wiegen als Datenschutzverletzungen.
Der EuGH hat sich viertens damit beschäftigt, ob ein Schaden bei fehlender Schwere durch einen geringfügigen Schadensersatz, welcher als „symbolisch“ empfunden werden kann, ausgeglichen werden kann. Der EuGH betont insoweit, dass Betroffene zwar das Bestehen eines Schadens nachweisen müssen. Allerdings muss ein entsprechender Schaden keine „Bagatellgrenze“ überschreiten. Ein „symbolischer“ Schadensersatz in geringfügiger Höhe kann somit zugesprochen werden, wenn er einen dargelegten und bewiesenen Schaden in vollem Umfang ausgleicht.
Fünftens hat der EuGH den Begriff „Identitätsdiebstahl“ untersucht. Ein solcher soll nach Auffassung des Gerichts nur dann vorliegen, wenn sich ein Dritter die Identität einer Person tatsächlich angeeignet hat. Ein bloßer Datendiebstahl stelle somit noch keinen Identitätsdiebstahl dar. Allerdings sei ein Identitätsdiebstahl keine Voraussetzung für den Ersatz eines immateriellen Schadens gemäß Art. 82 Abs. 1 DSGVO, sodass ein solcher Anspruch bereits durch einen reinen Datendiebstahl begründet werden könne.
Auswirkungen für die Praxis
Insgesamt bringt das Urteil wenig neue Erkenntnisse. Der EuGH hatte bereits in früheren Urteilen festgestellt, dass Art. 82 Abs. 1 DSGVO eine reine Ausgleichsfunktion hat und dass der Grad des Verschuldens sowie die Schwere des Datenschutzverstoßes nicht bei der Bemessung des Schadensersatzes zu berücksichtigen sind. Auch die Tatsache, dass ein ersatzfähiger Schaden keine Bagatellschwelle überschreiten muss, stellte er bereits fest. Insoweit verbleiben allein die Feststellung, dass Datenschutzverletzungen mit Körperverletzungen vergleichbar sind, sowie, dass ein „Identitätsdiebstahl“ die tatsächliche Annahme einer fremden Identität erfordert, aber nicht zwingend für die Zuerkennung von Schadenersatz erforderlich ist.
Die praktischen Auswirkungen der Rs. Scalable Capital sind damit äußerst gering. Die Gleichstellung von immateriellen Schäden aufgrund einer Datenschutzverletzung mit denjenigen aufgrund einer Körperverletzung hat keine Aussagekraft hinsichtlich der zukünftigen Zuerkennung von Schadensersatz. Es verbleibt bei dem Erfordernis eines aufgetretenen Schadens, welcher von den Betroffenen bewiesen werden muss. Dies stellt Betroffene naturgemäß vor große Herausforderungen, sind immaterielle Schäden doch nur äußerst schwer darzulegen und zu beweisen.
Überblick über die bisherige EuGH-Rechtsprechung zu Art. 82 DSGVO
Nichtsdestotrotz dürfen Unternehmen ihre Datenschutz-Compliance nicht schleifen lassen. Zwar verbleibt für Betroffene die hohe Hürde der Darlegung und des Beweises eines erlittenen – oft immateriellen – Schadens. Dennoch hat der EuGH in seinen vergangenen Urteilen zum Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO (Rs. Österreichische Post, Natsionalna agentsia za prihodite, Gemeinde Ummendorf, Krankenversicherung Nordrhein, MediaMarktSaturn, juris und PS GbR) recht weite Voraussetzungen geschaffen. Diese lassen sich, kombiniert mit den Erkenntnissen aus der Rs. Scalable Capital, insgesamt in folgende zehn Leitlinien konsolidieren:
- Anspruchsteller müssen für die Zuerkennung eines Schadensersatzanspruchs nach Art. 82 Abs. 1 DSGVO das Vorliegen eines Schadens nachweisen; der bloße Verstoß gegen die DSGVO führt nicht automatisch zu einem Schaden.
- Art. 82 Abs. 1 DSGVO hat nur eine Ausgleichs- und keine Abschreckungsfunktion. Die Zuerkennung von Strafschadensersatz scheidet somit aus.
- Weder die Schwere noch die Vorsätzlichkeit eines Datenschutzverstoßes haben Einfluss auf die Höhe eines Anspruchs aus Art. 82 Abs. 1 DSGVO.
- Datenschutzverletzungen können genauso schwer wiegen wie Körperverletzungen.
- Auch bei nur geringen Schäden ist die Zuerkennung eines symbolischen Schadensersatzes gemäß Art. 82 Abs. 1 DSGVO möglich.
- Bereits die Befürchtung einer Datenweitergabe kann einen immateriellen Schadensersatzanspruch begründen, solange diese Befürchtung nicht rein hypothetisch ist. Der Betroffene muss eine solche Befürchtung und einen korrespondierenden Schaden jedoch darlegen und beweisen. Ein Schadensersatzanspruch scheidet aus, wenn feststeht, dass kein Dritter die betroffenen Daten zur Kenntnis genommen haben kann.
- Zur Bemessung der Höhe eines Schadensersatzanspruchs gemäß Art. 82 Abs. 1 DSGVO darf nicht auf die Kriterien des Art. 83 Abs. 2 DSGVO zurückgegriffen werden. Vielmehr sind die jeweils nationalen Kriterien zur Bestimmung der Schadenshöhe anzuwenden. Hierbei sind der Äquivalenz- und Effektivitätsgrundsatz zu berücksichtigen.
- Verstöße gegen nationales Datenschutzrecht können nicht mit Art. 82 Abs. 1 DSGVO abgegolten werden. Sie müssen über das nationale Anspruchsregime durchgesetzt werden, welches neben Art. 82 Abs. 1 DSGVO anwendbar ist.
- Verantwortliche können sich gemäß Art. 82 Abs. 3 DSGVO exkulpieren. Hierfür genügt allerdings nicht der bloße Verweis auf den unbefugten Datenzugriff seitens Dritter oder das Fehlverhalten einer ihm unterstellten Person.
- Ein Identitätsdiebstahl i. S. d. ErwG 75 und 85 DSGVO liegt nur dann vor, wenn eine fremde Person tatsächlich die Identität des Betroffenen annimmt.
Ausblick auf die zukünftige Entwicklung
Trotz der umfassenden Judikatur Art. 82 Abs. 1 DSGVO verbleiben zahlreiche offene Fragen. Diese wird der EuGH in weiteren Vorabentscheidungsverfahren klären (müssen). Ein Augenmerk sollte hierbei insbesondere auf die Rs. Quirin Privatbank (Az. C-655/23) und die Rs. Patērētāju tiesību aizsardzības centrs (Az. C-507/23) gelegt werden.
Der EuGH wird in deren Kontext darüber zu entscheiden haben, ob:
- Für die Annahme eines immateriellen Schadens bloße negative Gefühle wie z. B. Ärger, Unmut, Unzufriedenheit, Sorge und Angst, die Teil des allgemeinen täglichen Lebensrisikos sind, genügen oder ob für die Annahme eines Schadens ein über diese Gefühle hinausgehender Nachteil für den Betroffenen erforderlich ist.
- Bei der Schadensbemessung anspruchsmindernd berücksichtigt werden kann, dass dem Betroffenen neben dem Schadensersatzanspruch ein Unterlassungsanspruch zusteht.
- Wenn keine Möglichkeit zur Naturalrestitution besteht, als einziger Ersatz für den immateriellen Schaden die Verpflichtung auferlegt werden kann, sich zu entschuldigen.