Am 20.06.2024 veröffentlichte der Europäische Gerichtshof (EuGH) mit den Urteilen in den Rechtssachen C-182/22, C-189/22, Scalable Capital, und C‑590/22, PS GbR, bereits das siebte und achte Urteil zum datenschutzrechtlichen Schadensersatzanspruch nach Art. 82 Datenschutz-Grundverordnung (DSGVO). Zuvor erschienen bereits die Urteile C‑300/21 vom 04.05.2024, Österreichische Post AG, C-456/22 vom 14.12.2023, Gemeinde Ummendorf, C-340/21 vom 14.12.2023, Natsionalna agentsia za prihodite, C‑667/21 vom 21.12.2023, Medizinischer Dienst der Krankenversicherung Nordrhein, C 687/21 vom 25.01.2024, MediaMarktSaturn GmbH, und C‑741/21 vom 11.04.2024, juris GmbH.
Scalable Capital – Diebstahl personenbezogener Daten
Zwei Anleger erhoben Klage auf Ersatz des immateriellen Schadens gegen die Trading-App der Scalable Capital GmbH. Hintergrund war der Diebstahl von personenbezogenen Daten von Anlegern durch einen unbekannten Dritten im Jahr 2020. Neben Kontakt- und Adressdaten waren auch eine digitale Kopie des Personalausweises sowie Daten zum Wertpapierdepot betroffen, diese wurden aber noch nicht in betrügerischer Weise verwendet. Der EuGH beantwortete die vorgelegten Fragen folgendermaßen:
Art. 82 DSGVO erfüllt ausschließlich eine Ausgleichsfunktion
Der EuGH betonte mit Verweis auf vorherige EuGH-Urteile in den Rs. Österreichische Post AG und juris GmbH, dass Art. 82 DSGVO, anders als die Bußgeldvorschriften von Art. 83 DSGVO, nur eine Ausgleichsfunktion und gerade keine Abschreckungsfunktion enthalte.
Bereits in der Rs. Österreichische Post AG führte der EuGH aus, dass Art. 82 DSGVO keinen Strafschadensersatz erfordere. Dies wurde durch die EuGH-Urteile in den Rs. Krankenversicherung Nordrhein, MediaMarktSaturn GmbH und juris GmbH bestätigt und dabei ausgeführt, dass die Höhe des Schadensersatzes nach Art. 82 DSGVO keine abschreckende Wirkung entfalten müsse.
Grad des Verschuldens ist bei der Bemessung des Schadensersatzes nicht zu berücksichtigen
Nach dem EuGH darf das Verschulden nicht bei der Bemessung der Schadensersatzhöhe berücksichtigt werden, da dies lediglich im Bereich der Haftungsbefreiung relevant ist. Art. 82 Abs. 3 DSGVO enthalte eine Verschuldenshaftung mit widerleglich vermutetem Verschulden. Außerdem würde eine Berücksichtigung des Grads eines Verschuldens gegen die Ausgleichfunktion verstoßen, da lediglich der erlittene Schaden in vollem Umfang auszugleichen ist. Diese Feststellung ist nicht neu und wurde bereits in den Rs. Krankenversicherung Nordrhein und MediaMarktSaturn getroffen.
Immaterieller Schaden nicht weniger schwerwiegend als eine Körperverletzung
Mit seiner ersten neuen Feststellung kommt der EuGH zu dem Schluss, dass ein immaterieller Schaden seiner Natur nach nicht weniger schwerwiegend ist als eine Körperverletzung.
Der EuGH stellt mit Verweis auf die Rs. Österreichische Post klar, dass die DSGVO keine „Regeln für die Bemessung des Schadensersatzes“ beinhalte und dass der Äquivalenz- und der Effektivitätsgrundsatz beachtet werden müssten, wobei in diesem Fall nur der Effektivitätsgrundsatz relevant sei. Nach dem Erwägungsgrund (ErwG) 146 Satz 6 DSGVO sollen Betroffene einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Die Annahme, dass eine Körperverletzung schwerwiegender als ein immaterieller Schaden anzusehen ist, würde nach dem EuGH den Grundsatz des vollständigen und wirksamen Schadensersatzes für den erlittenen Schaden in Frage stellen und verstoße insofern gegen den Effektivitätsgrundsatz.
Zudem wies der EuGH darauf hin, dass in den ErwG 75 und 85 DSGVO verschiedene Umstände aufgeführt sind, die als „physische, materielle oder immaterielle Schäden“ eingestuft werden können, ohne dass eine Hierarchie zwischen ihnen vorgenommen oder darauf hingewiesen würde, dass die aus einer Verletzung des Schutzes von Daten resultierenden Beeinträchtigungen ihrer Natur nach weniger schwerwiegend seien als Körperverletzungen.
Die Ansicht des EuGH ist schlüssig. Art. 82 Abs. 1 DSGVO soll ausdrücklich materielle und immaterielle Schäden in gleicher Weise schützen.
Geringfügiger Schaden kann zu einem geringfügigen symbolischen Schadensersatz führen
Das Amtsgericht (AG) München wollte wissen, ob nationale Gerichte bei fehlender Schwere des Schadens nur einen geringfügigen Schadensersatz zusprechen dürfen, der als symbolisch empfunden werden könnte. Hierbei handelt es sich wiederum um eine Frage, die dem EuGH noch nicht vorgelegt wurde. Bezüglich der Beantwortung der Frage erläuterte der EuGH die bereits getroffenen Feststellungen zum Schadensersatz nach Art. 82 DSGVO. Ein bloßer Verstoß gegen die DSGVO ist nicht ausreichend, vielmehr müssen die drei Anspruchsvoraussetzungen „Verstoß“, „materieller bzw. immaterieller Schaden“ und ein „Kausalzusammenhang zwischen dem Schaden und dem Verstoß“ vorliegen. Hierbei ist zwar keine Erheblichkeitsschwelle für den immateriellen Schaden erforderlich, aber der Schaden müsse nachgewiesen werden. Dieser Schaden müsse wiederum durch den Schadensersatz ausgeglichen werden. Ein Schadensersatz in geringfügiger Höhe kann nach dem EuGH somit zugesprochen werden, wenn er einen dargelegten und bewiesenen Schaden in vollem Umfang ausgleicht.
Die Ausführungen des EuGH sind überzeugend, denn es ergibt sich aus der Ausgleichfunktion von Art. 82 DSGVO, dass ein geringer Schadensersatz bei einem geringen Schadenseingriff ausreichend ist.
„Identitätsdiebstahl“ und „Identitätsbetrug“ sind synonym
Die ErwG 75 und 85 DSGVO führen einen „Identitätsdiebstahl“ und „Identitätsbetrug“ als möglichen Schaden auf. Das AG München bat um eine Klarstellung des Begriffs „Identitätsdiebstahl“. Der EuGH folgte der Ansicht des Generalanwalts, dass aufgrund der verschiedenen Sprachfassungen die Begriffe „Identitätsdiebstahl“ und „Identitätsbetrug“ austauschbar sind. Diese Begriffe begründen die Vermutung eines Willens, sich die Identität einer Person, deren personenbezogene Daten zuvor gestohlen wurden, anzueignen. In Abgrenzung des „Kontrollverlustes“ als weiteren möglichen Schaden liege ein „Identitätsdiebstahl“ bzw. „Identitätsbetrug“ aber nur dann vor, wenn ein Dritter die Identität einer Person, die von einem Diebstahl personenbezogener Daten betroffen ist, tatsächlich angenommen hat. Ist dies nicht der Fall, liegt nach dem EuGH lediglich ein Datendiebstahl vor, der aber auch einen Schaden i.S.d. Art. 82 Abs. 1 DSGVO begründen könne.
Die Klarstellung des EuGH ist begrüßenswert, dennoch ist fraglich, ob dies wirklich Auswirkung auf die Praxis haben wird, da die Nichtannahme eines Identitätsdiebstahls bzw. Identitätsbetrugs keinen Schaden aufgrund eines Datendiebstahls ausschließt.
PS GbR – Versand der Steuererklärung an frühere Adresse
Zwei ehemalige Mandanten verklagten eine Steuerberatungskanzlei auf immateriellen Schadensersatz, da diese die Steuererklärung versehentlich an deren frühere Postadresse versendete. Es konnte dabei nicht geklärt werden, ob der irrtümliche Empfänger tatsächlich Kenntnis von dem Inhalt genommen hatte. Der EuGH beantwortete die vorgelegten Fragen folgendermaßen:
Bloßer Verstoß gegen die DSGVO reicht für Schadensersatz nicht aus
Der EuGH stellte erneut fest, dass ein bloßer Verstoß gegen die DSGVO nicht für einen Schadensersatz nach Art. 82 DSGVO ausreicht, vielmehr muss auch ein kausaler Schaden vorliegen. Dies begründete er damit, dass ansonsten die gesonderte Unterscheidung zwischen „Verstoß“ und „Schaden“ überflüssig sei. Dies wurde bereits im EuGH-Urteil vom 04.05.2023, Österreichische Post AG, festgestellt und durch die nachfolgenden EuGH-Urteile bestätigt.
Art. 82 DSGVO enthält keine Erheblichkeitsschwelle für immaterielle Schäden
Des Weiteren stellte der EuGH mit Verweis auf die bisherige Rechtsprechung erneut fest, dass es bezüglich des immateriellen Schadens keine Erheblichkeitsschwelle gibt.
Befürchtung der Weitergabe von personenbezogenen Daten für immateriellen Schaden ausreichend
Der EuGH verwies auf die vorherige Rechtsprechung in der Rs. Natsionalna agentsia za prihodite, nach der bereits die Befürchtung vor Datenmissbrauch ohne nachgewiesene missbräuchliche Verwendung der Daten einen immateriellen Schaden darstellen kann, stellte aber ergänzend dazu klar, dass die bloße Behauptung einer Befürchtung ohne nachgewiesene „negative Folgen“ nicht zu einem Schadensersatz führe.
Dabei stellt der EuGH strengere Anforderungen an den Schadensbegriff. Es kommt insbesondere darauf an, die Befürchtung des Eintritts zukünftiger Schäden nachvollziehbar darzulegen. Der EuGH erläuterte nicht, was unter „negativen Folgen“ zu verstehen ist. Es ist aber davon auszugehen, dass darunter Schäden, die in den ErwG 75 und 85 DSGVO genannt werden, zu verstehen sind.
Keine Berücksichtigung der Kriterien für Bußgeldbemessung für Höhe des Schadensersatzes
Mit Verweis auf das EuGH-Urteil vom 11.05.2024, juris GmbH, stellte der EuGH erneut fest, dass die Kriterien, nach denen die Höhe des Bußgeldes zu bestimmen ist, nicht für die Bemessung der Höhe des Schadensersatzes analog herangezogen werden dürfen, da eine Geldbuße im Gegensatz zum datenschutzrechtlichen Schadensersatz abschreckend sein soll.
Keine Berücksichtigung von Verstößen gegen Vorschriften außerhalb der DSGVO für Höhe des Schadensersatzes
Abschließend stellte der EuGH klar, dass für die Bemessung der Schadensersatzhöhe nur DSGVO-Verstöße und sonstige Normen zu berücksichtigen sind, die aufgrund von sogenannten Öffnungsklauseln DSGVO-Normen präzisieren. Sonstige Verstöße gegen berufsrechtliche Normen, wie z.B. gegen § 57 StBerG, § 5 BOStB, § 2 BORA und § 43a Abs. 2 BRAO, die sich ebenfalls auf den Schutz personenbezogener Daten beziehen, sind nicht zu berücksichtigen.
Fazit: Folgen für Unternehmen
Unternehmen drohen neben Geldbußen nach Art. 83 DSGVO auch zivilrechtliche Schadensersatzklagen Betroffener nach Art. 82 DSGVO. Praxisrelevant sind insbesondere Datenschutzverstöße infolge von Cyberangriffen. Ein Schadensersatzanspruch kann bei einem Identitätsdiebstahl bzw. -betrug aber auch bereits bei einem Datendiebstahl bestehen. Darüber hinaus kann eine Befürchtung einer unberechtigten Weitergabe von personenbezogenen Daten bei dem Nachweis der zu erwartenden negativen Folgen zu einem Schadensersatzspruch führen. Insofern sollten Unternehmen ihre Datensicherheit und ihre Datenschutzprozesse überprüfen, um Schadensersatzklagen zu vermeiden.
Autor
Robert Faußner, M.A.
HEUSSEN Rechtsanwaltsgesellschaft, München
Rechtsanwalt, Partner