Prof. Dr. Hervé Edelmann, Fachanwalt für Bank- und Kapitalmarktrecht, Thümmel, Schütze & Partner, Stuttgart
In seiner Entscheidung vom 14.12.2023, C 340/21 (vgl. hierzu Anm. Arning/Dirkers, DB 2024, 381 sowie Spittka/Zirnstein, GRUR-R-Prax 2024, 51) hält der EuGH zunächst fest, dass allein die Tatsache, dass auf personenbezogene Daten im Rahmen eines Cyberangriffs unbefugt zugegriffen wurde, nicht automatisch zu einem DSGVO-Verstoß führt. Vielmehr müsse das nationale Gericht in jedem konkreten Einzelfall anhand der konkreten Einzelfallumstände festgestellt werden, ob ein solcher DSGVO-Verstoß vorliegt, wobei die Beweislast für die Geeignetheit der getroffenen Sicherheitsmaßnahmen und damit für das Nichtvorliegen eines DSGVO-Verstoßes beim Verantwortlichen liegt (ähnlich auch EuGH, Urteil vom 25.01.2024, C-687/21, Beck RS 2024, 530 Rn. 42 f.).
Sodann führt der EuGH aus, dass die Verletzung des Schutzes personenbezogener Daten durch Cyberkriminelle dem Verantwortlichen nur dann zugerechnet werden kann, wenn der Verantwortliche die Verletzung unter Verstoß gegen die DSGVO ermöglicht hat. Die Beweislast dafür, dass eine etwa vorhandene Lücke im Sicherheitssystem nicht ursächlich für den behaupteten Schaden war, muss wiederum auch der Verantwortliche selbst beweisen.
Schließlich hält der EuGH fest, dass allein die Befürchtung einer Person, dass ihre personenbezogenen Daten in Folge eines Verstoßes gegen die DSGVO missbräuchlich verwendet werden könnten, unter besonderen Umständen des Einzelfalls einen immateriellen Schaden i. S. v. Art. 82 Abs. 1 DSGVO darstellen kann, wobei die Beweislast dafür, dass ein immaterieller Schaden tatsächlich vorliegt, bei der betroffenen Person liegt (so auch EuGH, Urteil v. 25.01.2024, a. a. O., Rn. 65 u. 69, wo das Vorliegen eines Schadens wegen „Befürchtung“ abgelehnt wurde).
In seiner weiteren Entscheidung vom 14.12.2023, C-456/22, stellt der EuGH klar, dass Art. 82 Abs. 1 DSGVO einer nationalen Vorschrift oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Norm davon abhängig macht, dass der der betroffenen Person i. S. v. Art. 4 Nr. 1 DSGVO entstandene Schaden eine gewisse Schwere erreicht (Rn. 16). Damit stellt der EuGH zugleich fest, dass es für die Annahme eines immateriellen Schadens nicht der Überschreitung einer bestimmten Bagatellgrenze bedarf (zur EuGH-Entscheidung vgl. auch Eppig, GRUR-Prax 2024, 75; bestätigend auch EuGH, Urteil vom 25.01.2024, C-687/21, Beck RS 2024, 530, Rn. 59).
In seiner weiteren bereits oben erwähnten Entscheidungen vom 25.01.2024, C-687/21, stellt der EuGH zudem nochmals klar, dass der in Art. 82 Abs. 1 DSGVO vorgesehene Schadensersatzanspruch keine abschreckende oder gar eine Straffunktion erfüllt, dem Schadensersatzanspruch i. S. v. Art. 82 DSGVO, insbesondere im Falle eines immateriellen Schadens, lediglich eine Ausgleichsfunktion zukommt. Dies deshalb, weil eine hierauf gestützte Entschädigung in Geld es ermöglichen soll, den konkret aufgrund des Verstoßes gegen die DSGVO erlittenen Schaden vollständig auszugleichen (Rn. 48 ff.).
Was die Bemessung der Höhe des etwaigen gemäß Art. 82 DSGVO geschuldeten Schadensersatzes anbelangt, so erinnert der EuGH nochmals daran, dass Art. 82 DSGVO in Anbetracht der Ausgleichsfunktion des darin verankerten Schadensersatzanspruches nicht verlangt, dass die Schwere des Verstoßes gegen die DSGVO bei der Bemessung des Betrages des zum Ausgleich eines immateriellen Schadens zu gewährenden Schadensersatzanspruchs nicht zu berücksichtigen ist (Rn. 51 ff.). Vielmehr verlange die Ausgleichsfunktion des Schadensersatzanspruches, den Betrag so festzulegen, dass er den konkret aufgrund des Verstoßes gegen die DSGVO erlittenen Schadens vollständig ausgleicht (Rn. 54).
Hieran anschließend hält der EuGH speziell in Bezug auf die materiellen Schäden nochmals fest (vgl. oben Ziff. 2), dass Art. 82 DSGVO einer nationalen Vorschrift oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person i. S. v. Art. 4 Nr. 1 DSGVO entstandene Schaden eine gewisse Schwere erreicht (Rn. 59).
PRAXISTIPP
Mit seinen vorstehenden Entscheidungen vom 14.12.2023, 340/21 u. 456/22 sowie vom 25.01.2024, C-687/21, stellt der EuGH einmal mehr (zum DSGVO-Schadensersatz-, Unterlassungs- und Auskunftsanspruch vgl. bereits Edelmann, BTS Ausgabe Oktober 2023, S. 80 f.) Grundsätze insbesondere zur Beurteilung dessen auf, wann ein DSGVO-Verstoß beim Verbraucher zu einem Anspruch auf immateriellen Schadensersatz führt. So steht nunmehr fest, dass die Gewährung eines immateriellen Schadensersatzes nicht vom Erreichen einer bestimmten Bagatellgrenze abhängig gemacht werden kann. Zudem steht fest, dass allein die Befürchtung, dass die aufgrund eines Verstoßes gegen die DSGVO weitergegebenen personenbezogenen Daten missbräuchlich verwendet werden, einen ersatzfähigen materiellen Schaden i. S. v. Art. 82 Abs. 1 DSGVO in besonderen Fällen darstellen kann, wobei es dem nationalen Gericht obliegt, in jedem Einzelfall zu prüfen, ob ein solcher Schaden vorliegt. Ferner steht fest, dass der Schadensersatzanspruch nach Art. 82 DSGVO keine abschreckende oder gar Straffunktion erfüllt, diesem vielmehr nur Ausgleichsfunktion zukommt. Zudem steht fest, dass diejenige Person, die aufgrund eines DSGVO-Verstoßes Schadensersatz verlangt, nicht nur den Verstoß gegen Bestimmungen der DSGVO nachweisen muss, sondern auch, dass ihr dadurch ein materieller oder immaterieller Schaden entstanden ist. Demgegenüber obliegt es dem Verantwortlichen, den Kausalzusammenhang zwischen DSGVO-Verstoß und Schaden zu widerlegen und auch zu beweisen, dass die von ihm getroffenen Sicherheitsmaßnahmen i. S. v. Art. 32 DSGVO geeignet waren.
Damit werden nationale Gerichte unter Beachtung dieser Beweislast sowie unter Berücksichtigung der vom EuGH aufgestellten weiteren Vorgaben hinsichtlich der Bestimmung des immateriellen Schadens in jedem Einzelfall konkret prüfen müssen, ob die Befürchtung, dass personenbezogene Daten missbräuchlich verwendet werden könnten, im konkreten Einzelfall unter Berücksichtigung der besonderen Umstände und im Hinblick auf die betroffene Person als ein immaterieller Schaden angesehen werden kann.
Beitragsnummer: 22513