IT/Datenschutz
EuGH konkretisiert Schadensersatzanspruch im Datenschutzrecht
Bei Datenschutzverstößen können Unternehmen neben Bußgeldern auch teure Schadenersatzklagen Betroffener drohen. Der Europäische Gerichtshof (EuGH) hat nun solche datenschutzrechtlichen Schadenersatzansprüche in zwei aktuellen Urteilen erneut präzisiert.
Dabei wurden insbesondere Präzisierungen zum immateriellen Schaden bezüglich der Befürchtung eines Datenmissbrauchs und zur Definition des Identitätsdiebstahls getroffen. Es wurde zudem klargestellt, dass eine Körperverletzung nicht dem Grunde nach schwerwiegender als ein immaterieller Schaden zu bewerten ist und auch geringe Schäden zu einem – wenn auch geringen Schadenersatz – führen können.
Unternehmen sollten vor diesem Hintergrund ein besonderes Augenmerk auf die Einführung und Dokumentation technischer und organisatorischer Standards zum Datenschutz (Art. 32 DS-GVO) richten. Dabei gilt: Datenschutz ist immer Chefsache, Fehler von Mitarbeitern entbinden nicht von dieser Verantwortung.
Die Entscheidungen im Detail
Anlass für das siebte und achte Urteil des EuGH vom 20.06.2024 zum datenschutzrechtlichen Schadenersatzanspruch waren zwei Vorabentscheidungsersuche des AG Wesel und des AG München.
Hintergrund des Verfahrens des AG Wesel (Rechtssache C-590/22)
In einem Verfahren vor dem AG Wesel verklagten zwei ehemalige Mandanten eine Steuerberatungskanzlei auf immateriellen Schadensersatz in Höhe von 15.000 Euro. Die Kanzlei hatte die Steuererklärung der Kläger versehentlich an deren frühere Postadresse gesendet und damit einem anderen Empfänger zugänglich gemacht. Unklar blieb im Verfahren der genaue Inhalt der Sendung und ob der irrtümliche Empfänger tatsächlich Kenntnis von deren Inhalt genommen hatte.
Hintergrund des Verfahrens des AG München (Rechtssachen C-182/22 und C-189/22)
In einem Verfahren vor dem AG München verklagten zwei Anleger ein Unternehmen einer Trading-App. Die hinterlegten Daten der Anleger (Namen, Geburtsdatum, Postanschrift, E-Mail-Adresse, digitale Kopie des Personalausweises) sowie Daten zum Wertpapier-Depot waren über die App von unbekannten Dritten abgegriffen worden. Die Kläger verlangen einen immateriellen Schadenersatz aufgrund des Diebstahls ihrer persönlichen Daten.
Was hat der EUGH entschieden?
Bekräftigung von Feststellungen vorheriger EuGH-Urteile:
- Der bloße Verstoß gegen die DS-GVO reicht nicht aus, um einen Schadensersatzanspruch zu begründen, es muss zudem ein Schaden und eine Kausalität zwischen Verstoß und Schaden nachgewiesen werden (C-590/22).
- Ein immaterieller Schaden hat keine Erheblichkeitsschwelle (C-590/22; C-182/22, C-189/22).
- Bei der Festlegung der Höhe des Schadenersatzes dürfen die Bußgeldvorschriften nicht entsprechend angewendet werden (C-590/22).
- Der datenschutzrechtliche Schadenersatz erfüllt keine Straf- oder Abschreckungsfunktion, sondern lediglich eine Ausgleichsfunktion (C-590/22; C-182/22, C-189/22).
- Die Schwere und die etwaige Vorsätzlichkeit des DS-GVO-Verstoßes dürfen für die Festlegung der Höhe des Schadenersatzes nicht berücksichtigt werden (C-182/22, C-189/22).
Neue Feststellungen:
- Die bloße Behauptung einer Befürchtung eines Datenmissbrauchs ohne nachgewiesene negative Folgen führt nicht zu einem Schadensersatz (C-590/22).
- Verstöße gegen Normen außerhalb der DS-GVO, die diese nicht präzisieren, wie zum Beispiel berufsrechtliche Verstöße des Steuerberaters, dürfen bei der Festlegung der Höhe des Schadenersatzes nicht berücksichtigt werden (C-590/22).
- Ein immaterieller Schaden ist nicht weniger schwerwiegend als eine Körperverletzung
(C-182/22, C-189/22). - Bei fehlender Schwere des Schadens kann ein geringfügiger Schadensersatz zugesprochen werden (C-182/22, C-189/22).
- Identitätsdiebstahl und Identitätsbetrug sind synonyme Begriffe und sind erfüllt, wenn ein Dritter die Identität einer Person, deren Daten gestohlen wurde, tatsächlich angenommen hat (C-182/22, C-189/22).
- Der Zugang eines unberechtigten Dritten zu personenbezogen Daten stellt keinen Identitätsdiebstahl oder ‑betrug dar, kann aber dennoch zu einem Schadenersatz führen (C-182/22, C-189/22).
Ein Diebstahl personenbezogener Daten etwa im Rahmen eines Cyberangriffs kann also selbst ohne eine Aneignung der Daten durch einen Dritten zu einem Schadenersatz führen. Bereits die Befürchtung eines Datenmissbrauchs durch Betroffene kann einen immateriellen Schaden darstellen, sofern dieser und die negativen Folgen nachgewiesen werden.
Datenschutzverstöße lassen sich in der Regel auf mangelnde technische und organisatorische Schutzmaßnahmen nach Art. 32 DS-GVO zurückführen. Da der Verantwortliche nach dem EuGH die Geeignetheit der technischen und organisatorischen Maßnahmen nachweisen muss, sollte hierauf ein großes Augenmerk gelegt werden und alle Maßnahmen intern möglichst genau dokumentiert werden. Auch wenn die Höhe des Schadenersatzes nicht abschreckend und strafend sein darf, sind für DS-GVO-Verstöße hohe Schadenersatzforderungen möglich.
Zudem sind die Feststellungen vorheriger EuGH-Urteile zu berücksichtigen. So können sich Verantwortliche nicht durch auf Fahrlässigkeit oder Fehlverhalten von Mitarbeitern berufen und von der Haftung befreien. Dies gilt auch für weisungswidriges Handeln der Mitarbeiter. Es ist Sache des Verantwortlichen, sich zu vergewissern, dass seine Weisungen von seinen Mitarbeitern korrekt ausgeführt werden. Es empfiehlt sich, jährlich eine Datenschutzschulung durchzuführen und das Datenschutzmanagement zu überprüfen.