EuGH 25.1.2024 - C-687/21
Kein Schaden bei spekulativem Risiko des Datenmissbrauchs
Autor: RA Markus Rössel, LL.M. (Informationsrecht), Köln
Aus: IT-Rechtsberater, Heft 03/2024
Aus: IT-Rechtsberater, Heft 03/2024
Ein rein hypothetisches Risiko der missbräuchlichen Verwendung personenbezogener Daten durch einen unbefugten Dritten kann nicht zur Entschädigung gem. Art. 82 DSGVO führen. Dies ist der Fall, wenn kein Dritter die Daten zur Kenntnis genommen hat.
VO (EU) 2016/679 Artt. 2 Abs. 1, 4 Nr. 7, 5 Abs. 1 lit. f, 6 Abs. 1, 24, 32 Abs. 1 lit. b, Abs. 2, 82
Antwort zur Sicherungseignung: Nach Artt. 24, 32 DSGVO sei die Geeignetheit der nachzuweisenden technisch-organisatorischen Maßnahmen (TOM) nach aufgeführten Kriterien und Datenschutzbedürfnissen der konkreten Verarbeitung zu bewerten. Gem. Artt. 5 Abs. 2, 24, 32, 82 DSGVO i.V.m. Erwgrd. 74, 76, 83 bestehe die Verpflichtung, die Risiken einzudämmen, ohne jede Verletzung verhindern zu müssen. Daher reichten unbefugte Offenlegung oder Drittzugang allein nicht für die Annahme ungeeigneter TOM aus. Indiziell für Fahrlässigkeit oder Organisationsmängel sei aber, dass Mitarbeiter des Verantwortlichen irrtümlich die Daten an Unbefugte i.S.v. Art. 4 Nr. 10 DSGVO weitergegeben hätten (Rz. 38–41 m.w.N.).
Beweislastumkehr zu TOM: Nach Artt. 5, 24, 32 DSGVO i.V.m. Erwgrd. 74 bzw. Artt. 5 Abs. 2, 24 DSGVO trage der Verantwortliche i.R.e. Schadensersatzklage die Beweislast für die angemessene Datensicherheit i.S.v. Artt. 5 Abs. 1 lit. f, 32 DSGVO bzw. für die Geeignetheit der getroffenen Sicherheitsmaßnahmen i.S.v. Art. 32 DSGVO (Rz. 42–45; Ls. 1; EuGH v. 14.12.2023 – C-340/21 – NAP Rz. 49–57, ITRB 2024, 32 [Grosmann/Bausewein] = CR 2024, 121).
Antwort zur Straffunktion: Art. 82 DSGVO habe anders als Geldbußen und andere Sanktionen gem. Artt. 83, 84 DSGVO keine Straf‑, sondern eine Ausgleichsfunktion. Diese Unterschiede ergänzten sich beim Anreiz zur Einhaltung der DSGVO, wobei der Schadensersatz geeignet sei, „von der Wiederholung rechtswidriger Verhaltensweisen abzuschrecken“ (seit EuGH v. 4.5.2023 – C-300/21 – Österreichische Post II Rz. 38, 40, CR 2023, 436 = ITRB 2023, 170 [Rössel]). „Da der in Art. 82 Abs. 1 DSGVO vorgesehene Anspruch auf Schadenersatz keine abschreckende oder sogar Straffunktion“ erfülle, könne sich die Schwere des Verstoßes gegen die DSGVO auch beim immateriellen Schaden nicht auf die Ersatzhöhe auswirken (Rz. 47–50 m.w.N.; Ls. 2; EuGH v. 21.12.2023 – C-667/21 – KV Nordrhein Rz. 86 f.).
Antwort zur Irrelevanz des Verstoßgewichts: Nach Art. 82 DSGVO hänge die Haftung des Verantwortlichen von seinem Verschulden ab, das vermutet werde, sofern er nicht nachweise, dass ihm die Schadensursache nicht zuzurechnen sei. Ferner fordere die Rechtsvorschrift nicht die Berücksichtigung der Schwere dieses Verschuldens bei der Ersatzbemessung. Die nationalen Gerichte hätten bzgl. der Bemessung die innerstaatlichen Vorschriften anzuwenden, sofern die unionsrechtlichen Grundsätze von Äquivalenz und Effektivität beachtet würden. Die Vorschrift verlange wegen ihrer Ausgleichsfunktion nicht, dass die Schwere des DSGVO-Verstoßes bei der Bemessung berücksichtigt werde (Rz. 52–55 m.w.N.; Ls. 3).
Antwort zum Schadensnachweis: Art. 82 Abs. 1 DSGVO setze zusätzlich zum DSGVO-Verstoß auch einen Schaden und einen Kausalzusammenhang zwischen ihnen voraus, wobei es beim immateriellen Schaden auf ein gewisses Schadensgewicht nicht ankomme, aber der Betroffene den Nachweis des Schadenscharakters negativer Folgen zu führen habe (Rz. 58–61 m.w.N. zur st. Rspr.; Ls. 4).
Antwort zur Besorgnis eines Datenmissbrauchs: Der unionsautonom auszulegende Begriff des immateriellen Schadens könne – vorbehaltlich nachgewiesenen Schadenscharakters – durch den kurzzeitigen Verlust der Datenkontrolle (so EuGH v. 14.12.2023 – C-456/22 – Gemeinde Ummendorf Rz. 18–23, NZA 2024, 56) oder ausgelöste Befürchtung eines Datenmissbrauchs erfüllt werden. Daher könne einen Schaden begründen, dass der Betroffene die gerichtlich zu prüfende Befürchtung hege, dass einige Daten künftig verbreitet oder missbraucht würden, weil vor Rückgabe des sie enthaltenen Dokuments Kopien hätten angefertigt werden können (Rz. 64–67 m.w.N.).
Unzureichende theoretische Gefahr: Jedenfalls sei der Schadensnachweis zu erbringen, für den ein rein hypothetisches Risiko eines Datenmissbrauchs nicht genüge. Eine Entschädigung sei ausgeschlossen, wenn kein Dritter die Daten zur Kenntnis genommen habe (Rz. 68 f.; Ls. 5).
VO (EU) 2016/679 Artt. 2 Abs. 1, 4 Nr. 7, 5 Abs. 1 lit. f, 6 Abs. 1, 24, 32 Abs. 1 lit. b, Abs. 2, 82
Das Problem
Ein Betroffener übergab ausgedruckte, mit dem Kaufvertrag bzgl. eines Elektrohaushaltsgeräts zusammengehefteten Kreditunterlagen, die u.a. Daten zu Arbeitgeber, Einkünften und Bankkonto enthielten, Hilfsmitarbeitern eines Elektronikmarkts an der Warenausgabe. Ein vordrängelnder Kunde erhielt daraufhin irrtümlich die Unterlagen nebst Ware, deren Rückgabe eine halbe Stunde später erwirkt wurde. Der Betroffene klagt auf immateriellen Schadensersatz wegen des Risikos der Weitergabe oder des Missbrauchs der Daten.Die Entscheidung des Gerichts
Ungeklärte Bestimmtheit: Die Vorlagefrage 1 zur Ungültigkeit von Art. 82 DSGVO wegen fehlender „nähere[r] Angaben zu seinen Rechtswirkungen“ sei mangels Darlegung der Gründe i.S.v. Art. 94 lit. c EuGH-VerfO unzulässig (Rz. 21, 28–34 m.w.N.).Antwort zur Sicherungseignung: Nach Artt. 24, 32 DSGVO sei die Geeignetheit der nachzuweisenden technisch-organisatorischen Maßnahmen (TOM) nach aufgeführten Kriterien und Datenschutzbedürfnissen der konkreten Verarbeitung zu bewerten. Gem. Artt. 5 Abs. 2, 24, 32, 82 DSGVO i.V.m. Erwgrd. 74, 76, 83 bestehe die Verpflichtung, die Risiken einzudämmen, ohne jede Verletzung verhindern zu müssen. Daher reichten unbefugte Offenlegung oder Drittzugang allein nicht für die Annahme ungeeigneter TOM aus. Indiziell für Fahrlässigkeit oder Organisationsmängel sei aber, dass Mitarbeiter des Verantwortlichen irrtümlich die Daten an Unbefugte i.S.v. Art. 4 Nr. 10 DSGVO weitergegeben hätten (Rz. 38–41 m.w.N.).
Beweislastumkehr zu TOM: Nach Artt. 5, 24, 32 DSGVO i.V.m. Erwgrd. 74 bzw. Artt. 5 Abs. 2, 24 DSGVO trage der Verantwortliche i.R.e. Schadensersatzklage die Beweislast für die angemessene Datensicherheit i.S.v. Artt. 5 Abs. 1 lit. f, 32 DSGVO bzw. für die Geeignetheit der getroffenen Sicherheitsmaßnahmen i.S.v. Art. 32 DSGVO (Rz. 42–45; Ls. 1; EuGH v. 14.12.2023 – C-340/21 – NAP Rz. 49–57, ITRB 2024, 32 [Grosmann/Bausewein] = CR 2024, 121).
Antwort zur Straffunktion: Art. 82 DSGVO habe anders als Geldbußen und andere Sanktionen gem. Artt. 83, 84 DSGVO keine Straf‑, sondern eine Ausgleichsfunktion. Diese Unterschiede ergänzten sich beim Anreiz zur Einhaltung der DSGVO, wobei der Schadensersatz geeignet sei, „von der Wiederholung rechtswidriger Verhaltensweisen abzuschrecken“ (seit EuGH v. 4.5.2023 – C-300/21 – Österreichische Post II Rz. 38, 40, CR 2023, 436 = ITRB 2023, 170 [Rössel]). „Da der in Art. 82 Abs. 1 DSGVO vorgesehene Anspruch auf Schadenersatz keine abschreckende oder sogar Straffunktion“ erfülle, könne sich die Schwere des Verstoßes gegen die DSGVO auch beim immateriellen Schaden nicht auf die Ersatzhöhe auswirken (Rz. 47–50 m.w.N.; Ls. 2; EuGH v. 21.12.2023 – C-667/21 – KV Nordrhein Rz. 86 f.).
Antwort zur Irrelevanz des Verstoßgewichts: Nach Art. 82 DSGVO hänge die Haftung des Verantwortlichen von seinem Verschulden ab, das vermutet werde, sofern er nicht nachweise, dass ihm die Schadensursache nicht zuzurechnen sei. Ferner fordere die Rechtsvorschrift nicht die Berücksichtigung der Schwere dieses Verschuldens bei der Ersatzbemessung. Die nationalen Gerichte hätten bzgl. der Bemessung die innerstaatlichen Vorschriften anzuwenden, sofern die unionsrechtlichen Grundsätze von Äquivalenz und Effektivität beachtet würden. Die Vorschrift verlange wegen ihrer Ausgleichsfunktion nicht, dass die Schwere des DSGVO-Verstoßes bei der Bemessung berücksichtigt werde (Rz. 52–55 m.w.N.; Ls. 3).
Antwort zum Schadensnachweis: Art. 82 Abs. 1 DSGVO setze zusätzlich zum DSGVO-Verstoß auch einen Schaden und einen Kausalzusammenhang zwischen ihnen voraus, wobei es beim immateriellen Schaden auf ein gewisses Schadensgewicht nicht ankomme, aber der Betroffene den Nachweis des Schadenscharakters negativer Folgen zu führen habe (Rz. 58–61 m.w.N. zur st. Rspr.; Ls. 4).
Antwort zur Besorgnis eines Datenmissbrauchs: Der unionsautonom auszulegende Begriff des immateriellen Schadens könne – vorbehaltlich nachgewiesenen Schadenscharakters – durch den kurzzeitigen Verlust der Datenkontrolle (so EuGH v. 14.12.2023 – C-456/22 – Gemeinde Ummendorf Rz. 18–23, NZA 2024, 56) oder ausgelöste Befürchtung eines Datenmissbrauchs erfüllt werden. Daher könne einen Schaden begründen, dass der Betroffene die gerichtlich zu prüfende Befürchtung hege, dass einige Daten künftig verbreitet oder missbraucht würden, weil vor Rückgabe des sie enthaltenen Dokuments Kopien hätten angefertigt werden können (Rz. 64–67 m.w.N.).
Unzureichende theoretische Gefahr: Jedenfalls sei der Schadensnachweis zu erbringen, für den ein rein hypothetisches Risiko eines Datenmissbrauchs nicht genüge. Eine Entschädigung sei ausgeschlossen, wenn kein Dritter die Daten zur Kenntnis genommen habe (Rz. 68 f.; Ls. 5).