EuGH, Urt. 4.10.2024 - C-200/23
Kein Nachweis spezifischer nachteiliger Folgen bei Datenkontrollverlust
Autor: RA Markus Rössel, LL.M. (Informationsrecht), Köln
Aus: IT-Rechtsberater, Heft 12/2024
Aus: IT-Rechtsberater, Heft 12/2024
Ein zeitlich begrenzter Kontrollverlust über personenbezogene Daten aufgrund der öffentlichen Zugänglichmachung dieser Daten im Handelsregister kann einen immateriellen Schaden i.S.v. Art. 82 Abs. 1 VO (EU) 2016/679 begründen, sofern der Betroffene nachweist, dass er tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat, ohne dass zusätzliche spürbare negative Folgen nachgewiesen werden müssen.
VO (EU) 2016/679 Artt. 4, 6, 17, 58, 82; RL (EU) 2017/1132 Artt. 14, 16, 21 Abs. 2, 161
Löschpflicht: Gemäß Art. 17 Abs. 1 DSGVO habe der Verantwortliche unverzüglich zu löschen, etwa wenn der Betroffene gem. Art. 21 Abs. 1 DSGVO Widerspruch gegen die Verarbeitung einlege und keine „vorrangigen berechtigten Gründe für die Verarbeitung“ vorlägen (lit. c) oder wenn die Daten „unrechtmäßig verarbeitet“ worden seien (lit. d). Die Löschpflicht bestehe nach Art. 17 Abs. 3 lit. b DSGVO nicht, soweit Unions- oder nationales Recht zur Verarbeitung verpflichte oder diese etwa für eine Aufgabe im öffentlichen Interesse erforderlich sei (Rz. 90 ff.).
Keine Einwilligung: Die Einwilligungsvermutung gemäß bulgarischem Registergesetz erfülle nicht Artt. 4 Nr. 11, 6 Abs. 1 Unterabs. 1 lit. a DSGVO. Die Einwilligung solle nämlich durch eine eindeutige bestätigende Handlung (ausdrückliche Erklärung) erfolgen und könne nicht als freiwillig erteilt angesehen werden, wenn die Einwilligung nicht ohne Nachteile verweigert oder zurückgezogen werden könne (Erwgrd. 32, 42, 43 der DSGVO). Außerdem solle sie beim Machtgefälle insb. gegenüber einer Behörde keine gültige Rechtsgrundlage liefern (Rz. 99 ff.).
Weitere Rechtmäßigkeitsgründe: Art. 6 Abs. 1 Unterabs. 1 lit. f DSGVO scheide wegen behördlicher Aufgabenwahrnehmung aus (Unterabs. 2). Lit. c und e setzten nach Abs. 3 eine Gesetzesgrundlage zur angemessenen Verfolgung legitimer öffentlicher Interessen voraus (Rz. 102 ff. m.w.N.).
Rechtliche Verarbeitungspflicht: Bzgl. der Erforderlichkeit zur Erfüllung einer Rechtspflicht i.S.v. lit. c sei zu berücksichtigen, dass sich aus Art. 161 GesR-RL auch die Notwendigkeit vollständiger Erfüllung der DSGVO ergebe, so dass bei der Umsetzung deren Ziele mit den Zielen von Rechtssicherheit und Drittschutz zum Ausgleich zu bringen seien. Die Zugänglichmachung von rechtlich nicht erforderlichen personenbezogenen Daten werde nicht durch die Verpflichtung zur Offenlegung der sie enthaltenen Urkunden gem. Art. 14 GesR-RL (EU) 2017/1132 gerechtfertigt. Da die erwähnte Einwilligungsvermutung nicht der DSGVO entspreche, dürfte es auch an einer Offenlegungsverpflichtung aus bulgarischem Recht fehlen (Rz. 105–108 m.w.N.).
Interessenabwägung: Andernfalls wären die Rechte aus Artt. 7, 8 GRC mit den durch das Unions- oder nationales Recht rechtmäßig verfolgten Verarbeitungszielen abzuwägen (Art. 17 Abs. 3 lit. b DSGVO). Ggf. könne es zugunsten des Betroffenen gerechtfertigt sein, den Zugang zu offenlegungspflichtigen Daten auf Dritte zu beschränken, die ein besonderes Interesse nachwiesen (Rz. 124 ff. m.w.N.).
Verarbeitung für öffentliche Aufgabe: Die Handelsregisterstelle verarbeite Daten offenbar bei einer im öffentlichen Interesse liegenden Aufgabe i.S.v. lit. e. Dieser setze voraus, dass die Verarbeitung tatsächlich den im allgemeinen Interesse liegenden Zielen entspreche und nicht über das erforderliche Maß hinausgehe. Das bulgarische Recht sehe als weniger grundrechtseingreifendes Mittel nicht die Erstellung einer durch die Handelsregisterstelle bereinigten Kopie für den Fall vor, dass der Betroffene die Kopie nicht in angemessener Frist beschaffen könne. Die Wahrung von Integrität und Zuverlässigkeit der nach GesR-RL offenzulegenden Urkunden könne nicht systematisch Vorrang vor dem Datenschutz haben, zumal die Handelsregisterstelle die Kopie selbst erstellen könne (Rz. 109–116 m.w.N.).
Widerspruchsrecht: Sollte gem. lit. e auch die Online-Bereitstellung von gesetzlich nicht erforderlichen personenbezogenen Daten im Handelsregister zur Vermeidung einer Verzögerung der Gesellschaftseintragung im Drittinteresse notwendig gewesen sein, seien Artt. 17 Abs. 1 lit. c, 21 Abs. 1 DSGVO anwendbar. Danach bestehe ein Widerspruchs- und Löschungsrecht, sofern keine überwiegenden schutzwürdigen Gründe vorlägen. Solche seien hier nicht ersichtlich, zumal die Handelsregistereintragung bereits erfolgt sei (Rz. 117–123 m.w.N.).
Kein Löschungsvorbehalt: Art. 17 DSGVO und Art. 16 GesR-RL untersagten, dass die Handelsregisterstelle jeden Löschungsantrag bzgl. nach Unions- oder nationalem Recht nicht erforderlicher personenbezogener Daten ablehne, die im offenzulegenden Gesellschaftsvertrag enthalten seien, wenn keine entsprechend geschwärzte Vertragskopie vorgelegt werde. Die eigenhändige Unterschrift falle unter Art. 4 Nr. 1 DSGVO (Rz. 127, 135 f. m.w.N.; Ls. 3 und 4).
Schadensbegriff: Art. 82 Abs. 1 DSGVO setze den Nachweis voraus, dass ein DSGVO-Verstoß nachteilige Folgen hervorgerufen habe, die einen Schaden darstellten. Die Befürchtung eines Datenmissbrauchs könne „für sich genommen einen ‚immateriellen Schaden‘ darstellen“, wenn sie „unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann“. Ein Datenmissbrauch müsse nicht eingetreten sein, da wegen hohen Schutzniveaus und nach Erwgrd. 85 der DSGVO auch der bloße Datenkontrollverlust ein Schaden sein könne (Rz. 140–146 m.w.N.).
Keine Zusatzvoraussetzungen: Der unionsautonom auszulegende Schadensbegriff setze keine Erheblichkeitsschwelle bzgl. Ausmaß und Dauer nachteiliger Folgen voraus. Der Nachteil müsse weder spürbar noch die Beeinträchtigung objektiv sein und ein kurzzeitiger Verlust der Datenhoheit könne genügen (Rz. 139, 147 ff. m.w.N., 156; Ls. 5).
Ersatzbemessung: Der Ersatzumfang sei bei der Datenschutzverletzung nicht generell niedriger als bei einer Körperverletzung anzusetzen. Der Ersatzanspruch habe nur eine Ausgleichs- und keine abschreckende oder strafende Funktion. Das Verschuldensgewicht sei nicht zu berücksichtigen. Dem Anspruchsgegner stehe aber der Nachweis vollständig fehlenden Verschuldens als rechtshindernde Einwendung offen (Rz. 151–154 m.w.N.).
Sorge vor Datenmissbrauch: Vorliegend sei der immaterielle Schaden festgestellt worden, der in den „negativen psychologischen und emotionalen Erfahrungen [der Betroffenen] bestanden habe, nämlich der Angst und Sorge vor möglichem Missbrauch sowie der Hilflosigkeit und Enttäuschung über die Unmöglichkeit, ihre persönlichen Daten zu schützen“. Ferner sei festgestellt worden, dass der Schaden durch die Löschungsverweigerung hervorgerufen worden sei (Rz. 155).
Umfang der Verschuldensvermutung: Die Haftung entfalle nach Art. 82 Abs. 1-3 DSGVO, wenn die Verschuldensvermutung dadurch widerlegt werde, dass nach Art. 82 Abs. 2 DSGVO keinerlei Verantwortlichkeit für den schadenskausalen Umstand bestanden habe. Der Verantwortliche könne sich bei einer Datenschutzverletzung durch Dritte (z.B. Cyberkriminelle) oder durch eine von ihm beaufsichtigte Person i.S.v. Art. 82 Abs. 3 DSGVO nur dann von seiner Haftung befreien, wenn er nachweise, dass kein Kausalzusammenhang zwischen einer eigenen Pflichtverletzung und dem Schaden bestanden habe. Unzureichend sei der Nachweis, dass der Beaufsichtigte durch missachtete Weisungen zum Schaden beigetragen habe (Rz. 160–167 m.w.N.).
Keine exkulpierende behördliche Stellungnahme: Nach Art. 82 Abs. 3 DSGVO reiche eine Stellungnahme der Aufsichtsbehörde i.S.v. Art. 58 Abs. 3 lit. b DSGVO wegen ihres nicht bindenden Charakters (vgl. Erwgrd. 143 Abs. 1 Satz 6 der DSGVO) für eine Haftungsbefreiung nach Art. 82 Abs. 2 DSGVO nicht aus (Rz. 169–176; Ls. 6).
VO (EU) 2016/679 Artt. 4, 6, 17, 58, 82; RL (EU) 2017/1132 Artt. 14, 16, 21 Abs. 2, 161
Das Problem
Ein zur Gesellschaftsanmeldung von den Gesellschaftern eingereichter Gesellschaftsvertrag, der insb. deren Identifikationsdaten samt Unterschriften enthielt, wurde online der Öffentlichkeit von der bulgarischen Handelsregisterstelle zugänglich gemacht. Am 8.7.2021 beantragte eine Gesellschafterin nach Einwilligungswiderruf die Löschung ihrer Daten dort. Nach erfolgreicher Untätigkeitsklage setzte die Stelle für die Löschung gemäß nationalem Recht die Zusendung einer beglaubigten geschwärzten Kopie des Gesellschaftsvertrags voraus. Ein Eintragungshindernis ist das Fehlen einer solchen Kopie nach einer Stellungnahme der Aufsichtsbehörde i.S.v. Art. 58 Abs. 3 lit. b DSGVO nicht. Nach erneuter Klageerhebung löschte die Stelle am 1.2.2022 von Amts wegen einige Daten, nicht aber Namen und Unterschrift. Schließlich wurde die Stelle erstinstanzlich wegen Verweigerung der Löschung zu immateriellem Schadensersatz i.H.v. umgerechnet ca. 255 € gem. Art. 82 DSGVO verurteilt.Die Entscheidung des Gerichts
Unerheblicher Pseudonymisierungsverzicht: Dass keine bzgl. nicht offenzulegender Daten geschwärzte Kopie gem. bulgarischem Recht übermittelt worden sei, sei für die Einordnung der Handelsregisterstelle als Verantwortliche i.S.d. Art. 4 Nr. 9 DSGVO unerheblich (Rz. 80–83; Ls. 2).Löschpflicht: Gemäß Art. 17 Abs. 1 DSGVO habe der Verantwortliche unverzüglich zu löschen, etwa wenn der Betroffene gem. Art. 21 Abs. 1 DSGVO Widerspruch gegen die Verarbeitung einlege und keine „vorrangigen berechtigten Gründe für die Verarbeitung“ vorlägen (lit. c) oder wenn die Daten „unrechtmäßig verarbeitet“ worden seien (lit. d). Die Löschpflicht bestehe nach Art. 17 Abs. 3 lit. b DSGVO nicht, soweit Unions- oder nationales Recht zur Verarbeitung verpflichte oder diese etwa für eine Aufgabe im öffentlichen Interesse erforderlich sei (Rz. 90 ff.).
Keine Einwilligung: Die Einwilligungsvermutung gemäß bulgarischem Registergesetz erfülle nicht Artt. 4 Nr. 11, 6 Abs. 1 Unterabs. 1 lit. a DSGVO. Die Einwilligung solle nämlich durch eine eindeutige bestätigende Handlung (ausdrückliche Erklärung) erfolgen und könne nicht als freiwillig erteilt angesehen werden, wenn die Einwilligung nicht ohne Nachteile verweigert oder zurückgezogen werden könne (Erwgrd. 32, 42, 43 der DSGVO). Außerdem solle sie beim Machtgefälle insb. gegenüber einer Behörde keine gültige Rechtsgrundlage liefern (Rz. 99 ff.).
Weitere Rechtmäßigkeitsgründe: Art. 6 Abs. 1 Unterabs. 1 lit. f DSGVO scheide wegen behördlicher Aufgabenwahrnehmung aus (Unterabs. 2). Lit. c und e setzten nach Abs. 3 eine Gesetzesgrundlage zur angemessenen Verfolgung legitimer öffentlicher Interessen voraus (Rz. 102 ff. m.w.N.).
Rechtliche Verarbeitungspflicht: Bzgl. der Erforderlichkeit zur Erfüllung einer Rechtspflicht i.S.v. lit. c sei zu berücksichtigen, dass sich aus Art. 161 GesR-RL auch die Notwendigkeit vollständiger Erfüllung der DSGVO ergebe, so dass bei der Umsetzung deren Ziele mit den Zielen von Rechtssicherheit und Drittschutz zum Ausgleich zu bringen seien. Die Zugänglichmachung von rechtlich nicht erforderlichen personenbezogenen Daten werde nicht durch die Verpflichtung zur Offenlegung der sie enthaltenen Urkunden gem. Art. 14 GesR-RL (EU) 2017/1132 gerechtfertigt. Da die erwähnte Einwilligungsvermutung nicht der DSGVO entspreche, dürfte es auch an einer Offenlegungsverpflichtung aus bulgarischem Recht fehlen (Rz. 105–108 m.w.N.).
Interessenabwägung: Andernfalls wären die Rechte aus Artt. 7, 8 GRC mit den durch das Unions- oder nationales Recht rechtmäßig verfolgten Verarbeitungszielen abzuwägen (Art. 17 Abs. 3 lit. b DSGVO). Ggf. könne es zugunsten des Betroffenen gerechtfertigt sein, den Zugang zu offenlegungspflichtigen Daten auf Dritte zu beschränken, die ein besonderes Interesse nachwiesen (Rz. 124 ff. m.w.N.).
Verarbeitung für öffentliche Aufgabe: Die Handelsregisterstelle verarbeite Daten offenbar bei einer im öffentlichen Interesse liegenden Aufgabe i.S.v. lit. e. Dieser setze voraus, dass die Verarbeitung tatsächlich den im allgemeinen Interesse liegenden Zielen entspreche und nicht über das erforderliche Maß hinausgehe. Das bulgarische Recht sehe als weniger grundrechtseingreifendes Mittel nicht die Erstellung einer durch die Handelsregisterstelle bereinigten Kopie für den Fall vor, dass der Betroffene die Kopie nicht in angemessener Frist beschaffen könne. Die Wahrung von Integrität und Zuverlässigkeit der nach GesR-RL offenzulegenden Urkunden könne nicht systematisch Vorrang vor dem Datenschutz haben, zumal die Handelsregisterstelle die Kopie selbst erstellen könne (Rz. 109–116 m.w.N.).
Widerspruchsrecht: Sollte gem. lit. e auch die Online-Bereitstellung von gesetzlich nicht erforderlichen personenbezogenen Daten im Handelsregister zur Vermeidung einer Verzögerung der Gesellschaftseintragung im Drittinteresse notwendig gewesen sein, seien Artt. 17 Abs. 1 lit. c, 21 Abs. 1 DSGVO anwendbar. Danach bestehe ein Widerspruchs- und Löschungsrecht, sofern keine überwiegenden schutzwürdigen Gründe vorlägen. Solche seien hier nicht ersichtlich, zumal die Handelsregistereintragung bereits erfolgt sei (Rz. 117–123 m.w.N.).
Kein Löschungsvorbehalt: Art. 17 DSGVO und Art. 16 GesR-RL untersagten, dass die Handelsregisterstelle jeden Löschungsantrag bzgl. nach Unions- oder nationalem Recht nicht erforderlicher personenbezogener Daten ablehne, die im offenzulegenden Gesellschaftsvertrag enthalten seien, wenn keine entsprechend geschwärzte Vertragskopie vorgelegt werde. Die eigenhändige Unterschrift falle unter Art. 4 Nr. 1 DSGVO (Rz. 127, 135 f. m.w.N.; Ls. 3 und 4).
Schadensbegriff: Art. 82 Abs. 1 DSGVO setze den Nachweis voraus, dass ein DSGVO-Verstoß nachteilige Folgen hervorgerufen habe, die einen Schaden darstellten. Die Befürchtung eines Datenmissbrauchs könne „für sich genommen einen ‚immateriellen Schaden‘ darstellen“, wenn sie „unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann“. Ein Datenmissbrauch müsse nicht eingetreten sein, da wegen hohen Schutzniveaus und nach Erwgrd. 85 der DSGVO auch der bloße Datenkontrollverlust ein Schaden sein könne (Rz. 140–146 m.w.N.).
Keine Zusatzvoraussetzungen: Der unionsautonom auszulegende Schadensbegriff setze keine Erheblichkeitsschwelle bzgl. Ausmaß und Dauer nachteiliger Folgen voraus. Der Nachteil müsse weder spürbar noch die Beeinträchtigung objektiv sein und ein kurzzeitiger Verlust der Datenhoheit könne genügen (Rz. 139, 147 ff. m.w.N., 156; Ls. 5).
Ersatzbemessung: Der Ersatzumfang sei bei der Datenschutzverletzung nicht generell niedriger als bei einer Körperverletzung anzusetzen. Der Ersatzanspruch habe nur eine Ausgleichs- und keine abschreckende oder strafende Funktion. Das Verschuldensgewicht sei nicht zu berücksichtigen. Dem Anspruchsgegner stehe aber der Nachweis vollständig fehlenden Verschuldens als rechtshindernde Einwendung offen (Rz. 151–154 m.w.N.).
Sorge vor Datenmissbrauch: Vorliegend sei der immaterielle Schaden festgestellt worden, der in den „negativen psychologischen und emotionalen Erfahrungen [der Betroffenen] bestanden habe, nämlich der Angst und Sorge vor möglichem Missbrauch sowie der Hilflosigkeit und Enttäuschung über die Unmöglichkeit, ihre persönlichen Daten zu schützen“. Ferner sei festgestellt worden, dass der Schaden durch die Löschungsverweigerung hervorgerufen worden sei (Rz. 155).
Umfang der Verschuldensvermutung: Die Haftung entfalle nach Art. 82 Abs. 1-3 DSGVO, wenn die Verschuldensvermutung dadurch widerlegt werde, dass nach Art. 82 Abs. 2 DSGVO keinerlei Verantwortlichkeit für den schadenskausalen Umstand bestanden habe. Der Verantwortliche könne sich bei einer Datenschutzverletzung durch Dritte (z.B. Cyberkriminelle) oder durch eine von ihm beaufsichtigte Person i.S.v. Art. 82 Abs. 3 DSGVO nur dann von seiner Haftung befreien, wenn er nachweise, dass kein Kausalzusammenhang zwischen einer eigenen Pflichtverletzung und dem Schaden bestanden habe. Unzureichend sei der Nachweis, dass der Beaufsichtigte durch missachtete Weisungen zum Schaden beigetragen habe (Rz. 160–167 m.w.N.).
Keine exkulpierende behördliche Stellungnahme: Nach Art. 82 Abs. 3 DSGVO reiche eine Stellungnahme der Aufsichtsbehörde i.S.v. Art. 58 Abs. 3 lit. b DSGVO wegen ihres nicht bindenden Charakters (vgl. Erwgrd. 143 Abs. 1 Satz 6 der DSGVO) für eine Haftungsbefreiung nach Art. 82 Abs. 2 DSGVO nicht aus (Rz. 169–176; Ls. 6).