Der EuGH hat in zwei neuen Entscheidungen (beide vom 20.06.2024) klargestellt, dass bei Datenschutzverletzungen ein tatsächlicher Schaden vorliegen muss, um Schadensersatz nach Art. 82 DS-GVO fordern zu können. Anlass für das siebte und achte Urteil des EuGH vom 20.06.2024 zum datenschutzrechtlichen Schadenersatzanspruch waren zwei Vorabentscheidungsersuche des AG Wesel und des AG München.
1. Fall: Ein Steuerberater verschickte Steuerunterlagen eines Mandanten versehentlich an einen Dritten (EuGH, Urt. vom 20.06.2024 -AZ: C-590/22).
Die Kanzlei hatte die Steuererklärung der Kläger versehentlich an deren frühere Postadresse gesendet und damit einem anderen Empfänger zugänglich gemacht. Unklar blieb im Verfahren der genaue Inhalt der Sendung und ob der irrtümliche Empfänger tatsächlich Kenntnis von deren Inhalt genommen hatte. ( Link zum Urteil)
2. Fall: Schadensersatzansprüche gegen den Broker Scalable Capital (EuGH, Urt. vom 20.06.2024- AZ: C-182/22).
In einem Verfahren vor dem AG München verklagten zwei Anleger ein Unternehmen einer Trading-App. Die hinterlegten Daten der Anleger (Namen, Geburtsdatum, Postanschrift, E-Mail-Adresse, digitale Kopie des Personalausweises) sowie Daten zum Wertpapier-Depot waren über die App von unbekannten Dritten abgegriffen worden. Die Kläger verlangen ei-nen immateriellen Schadenersatz aufgrund des Diebstahls ihrer persönlichen Daten.
( Link zum Urteil)
Wie hat der EUGH entschieden?
Der EuGH hat Feststellungen vorheriger Entscheidungen bestätigt:
- Der bloße Verstoß gegen die DS-GVO reicht nicht aus, um einen Schadensersatzanspruch zu begründen, es muss zudem ein Schaden und eine Kausalität zwischen Verstoß und Schaden nachgewiesen werden (C-590/22).
- Ein immaterieller Schaden hat keine Erheblichkeitsschwelle (AZ: C-590/22; AZ: C-182/22).
- Die Bußgeldvorschriften dürfen bei der Bemessung der Höhe des Schadens nicht angewendet werden (AZ: C-590/22).
- Der datenschutzrechtliche Schadenersatz erfüllt keine Straf- oder Abschreckungsfunktion, sondern lediglich eine Ausgleichsfunktion (AZ: C-590/22; AZ: C-182/22).
- Schwere und möglicher Vorsatz des DS-GVO-Verstoßes dürfen für die Festlegung der Höhe des Schadenersatzes nicht berücksichtigt werden (AZ: C-182/22).
Diese neuen Feststellungen hat der EuGH getroffen:
- Allein die behauptete Befürchtung eines Datenmissbrauchs ohne nachgewiesene negative Folgen führt nicht zu einem Schadensersatz (AZ: C-590/22).
- Verstöße gegen Normen außerhalb der DS-GVO, wie z. B. berufsrechtliche Verstöße des Steuerberaters, dürfen bei der Festlegung der Höhe des Schadenersatzes nicht berücksichtigt werden (AZ: C-590/22).
- Bei fehlender Schwere des Schadens kann ein geringfügiger Schadensersatz zugesprochen werden (AZ. C-182/22).
- Identitätsdiebstahl und Identitätsbetrug sind synonyme Begriffe und sind erfüllt, wenn ein Dritter die Identität einer Person, deren Daten gestohlen wurde, tatsächlich an-genommen hat (AZ: C-182/22).
- Allein der Zugang eines unberechtigten Dritten zu personenbezogen Daten stellt keinen Identitätsdiebstahl oder -betrug dar, kann aber dennoch zu einem Schadenersatz führen (AZ: C-182/22.
Der Diebstahl personenbezogener Daten kann also selbst ohne eine Aneignung der Daten durch einen Dritten zu einem Schadenersatz führen. Die Befürchtung eines Datenmissbrauchs kann einen immateriellen Schaden darstellen, sofern der Betroffene die negativen Folgen nachweisen kann.
Sofern Datenschutzverstöße auf mangelnde technische und organisatorische Schutzmaßnahmen nach Art. 32 DS-GVO zurückzuführen sind, muss der Verantwortliche, nach Ansicht des EuGHs, die Geeignetheit der technischen und organisatorischen Maßnahmen nachweisen.
Daher sollte hierauf sorgfältig geachtet und alle Maßnahmen genau dokumentiert werden. Auch wenn die Höhe des Schadenersatzes nicht abschreckend und strafend sein darf, sind für Verstöße gegen die DS-GVO hohe Schadenersatzforderungen möglich.
Der EuGH hatte bereits mehrfach entschieden, dass sich Verantwortliche nicht auf Fahrlässigkeit oder Fehlverhalten von Mitarbeitern berufen und somit von der Haftung befreien können. Dies gilt auch für weisungswidriges Handeln der Mitarbeiter. Der Verantwortliche muss sich vergewissern, dass seine Weisungen von seinen Mitarbeitern korrekt ausgeführt werden. Wir empfehlen daher erneut, jährlich eine Datenschutzschulung durchzuführen und das Datenschutzmanagement zu überprüfen.