Datenschutzrechtliche Schadensersatzklagen sind ein Dauerbrenner. Nachdem sich anfangs vor allem die Instanzgerichte mit ihnen zu beschäftigen hatten, durfte in den vergangenen Monaten im Rahmen von Vorabentscheidungsersuchen gleich mehrmals der EuGH Stellung zu Art. 82 Abs. 1 DSGVO beziehen.

So zuletzt am 20. Juni 2024 geschehen: Das Gericht setzte sich in der Rs. Scalable Capital (Az. C-182/22 und Az. C-189/22, CR 7/2024, 457) mit zahlreichen Fragen rund um den datenschutzrechtlichen Schadensersatzanspruch auseinander. Dabei bestätigt der EuGH einerseits seine bisherige weite Rechtsprechung. Andererseits bietet er neue Anhaltspunkte für die Bemessung immaterieller Schäden bei Datenschutzverletzungen. Der Entscheidung des Gerichts lassen sich 10 Gebote zum Umgang mit Art. 82 DSGVO entnehmen.

Eine umfangreiche Entscheidungsbesprechung von Schneider/Lennartz/Banken findet sich in CR 7/2024, 450 ff.

Hintergrund

Grundlage der Vorabentscheidung des EuGH ist ein Cyber-Angriff auf den Anbieter der Trading-App „Scalable Capital“. Über die Folgen des Angriffs hatte das Amtsgericht München (Az. 132 C 1263/21 und Az. 132 C 737/21) zu entscheiden: Betroffene hatten bei der Trading-App Accounts eröffnet und in diesen zahlreiche personenbezogene Daten, darunter Personalausweiskopien, hinterlegt. Diese Daten wurden 2020 von unbekannten Dritten entwendet, aber bislang nicht zu weitergehenden Schädigungshandlungen verwendet. Die Betroffenen machen insoweit geltend, bereits durch den Datendiebstahl einen immateriellen Schaden erlitten zu haben. Das Amtsgericht München hat daraufhin dem EuGH am 3. März 2022 insgesamt fünf Fragen betreffend den in Frage stehenden Schadensersatzanspruch der Betroffenen aus Art. 82 Abs. 1 DSGVO zur Vorabentscheidung vorgelegt.

Die Entscheidung des EuGH

In seiner Entscheidung setzt sich der EuGH umfangreich mit seiner vergangenen Judikatur zu Art. 82 DSGVO sowie der Systematik und dem Telos der DSGVO auseinander. Zu den fünf Vorlagefragen des Amtsgerichts München positioniert er sich wie folgt:

1. Der EuGH hat erstens festgestellt, dass dem Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO nur eine Ausgleichsfunktion zukommt, nicht aber eine Straffunktion, welche den Betroffenen Genugtuung verschaffen soll. Das Gericht betont insoweit, dass Art. 82 DSGVO – anders als die Bußgeldvorschriften der Art. 83 und 84 DSGVO – keinen Sanktionscharakter hat. (Rn. 21 ff.)

2. Zweitens hat der EuGH untersucht, ob der Grad der Schwere und eine etwaige Vorsätzlichkeit eines Verstoßes gegen die DSGVO bei der Bemessung eines Schadensersatzanspruchs nach Art. 82 Abs. 1 DSGVO zu berücksichtigen sind. Der EuGH verneint dies unter Verweis auf die Ausgleichsfunktion des Art. 82 Abs. 1 DSGVO: Demnach soll ein erlittener Schaden vollumfänglich kompensiert werden. Die Ausgleichsfunktion schließt es indessen aus, die Höhe des Schadensersatzes von der Schwere oder Vorsätzlichkeit eines Verstoßes abhängig zu machen. (Rn. 26 ff.)

3. Als Drittes hat sich der EuGH damit befasst, ob bei der Bemessung der Höhe eines Schadensersatzanspruchs aus Art. 82 Abs. 1 DSGVO davon auszugehen ist, dass ein immaterieller Schaden, der durch eine Datenschutzverletzung entsteht, seiner Natur nach weniger schwerwiegend als eine Körperverletzung ist. Auch hier verweist der EuGH auf die umfassende Kompensationsfunktion des Art. 82 Abs. 1 DSGVO: Die Annahme, dass Körperverletzungen schwerer wiegen als Datenschutzverletzungen, könnte nach Auffassung des Gerichts einen vollständigen Schadensausgleich verhindern. Der EuGH verneint daher, dass Körperverletzungen ihrer Natur nach schwerer wiegen als Datenschutzverletzungen. (Rn. 31 ff.)

4. Der EuGH hat sich viertens damit beschäftigt, ob ein Schaden bei fehlender Schwere durch einen geringfügigen Schadensersatz, welcher als „symbolisch“ empfunden werden kann, ausgeglichen werden kann. Der EuGH betont insoweit, dass Betroffene zwar das Bestehen eines Schadens nachweisen müssen. Allerdings muss ein entsprechender Schaden keine „Bagatellgrenze“ überschreiten. Ein „symbolischer“ Schadensersatz in geringfügiger Höhe kann somit zugesprochen werden, wenn er einen dargelegten und bewiesenen Schaden in vollem Umfang ausgleicht. (Rn. 40 ff.)

5. Fünftens hat der EuGH den Begriff „Identitätsdiebstahl“ untersucht. Ein solcher soll nach Auffassung des Gerichts nur dann vorliegen, wenn sich ein Dritter die Identität einer Person tatsächlich angeeignet hat. Ein bloßer Datendiebstahl stelle somit noch keinen Identitätsdiebstahl dar. Allerdings sei ein Identitätsdiebstahl keine Voraussetzung für den Ersatz eines immateriellen Schadens gemäß Art. 82 Abs. 1 DSGVO, sodass ein solcher Anspruch bereits durch einen reinen Datendiebstahl begründet werden könne. (Rn. 47 ff.)

Auswirkungen für die Praxis

Insgesamt bringt das Urteil wenig neue Erkenntnisse. Der EuGH hatte bereits in früheren Urteilen festgestellt, dass Art. 82 Abs. 1 DSGVO eine reine Ausgleichsfunktion hat und dass der Grad des Verschuldens sowie die Schwere des Datenschutzverstoßes nicht bei der Bemessung des Schadensersatzes zu berücksichtigen sind. Auch die Tatsache, dass ein ersatzfähiger Schaden keine Bagatellschwelle überschreiten muss, stellte er bereits fest. Insoweit verbleiben allein die Feststellung, dass Datenschutzverletzungen mit Körperverletzungen vergleichbar sind, sowie, dass ein „Identitätsdiebstahl“ die tatsächliche Annahme einer fremden Identität erfordert, aber nicht zwingend für die Zuerkennung von Schadenersatz erforderlich ist.

Die praktischen Auswirkungen der Rs. Scalable Capital sind damit äußerst gering. Die Gleichstellung von immateriellen Schäden aufgrund einer Datenschutzverletzung mit denjenigen aufgrund einer Körperverletzung hat keine Aussagekraft hinsichtlich der zukünftigen Zuerkennung von Schadensersatz. Es verbleibt bei dem Erfordernis eines aufgetretenen Schadens, welcher von den Betroffenen bewiesen werden muss. Dies stellt Betroffene naturgemäß vor große Herausforderungen, sind immaterielle Schäden doch nur äußerst schwer darzulegen und zu beweisen. Ihre Kompensation wird voraussichtlich nur dann in Betracht kommen, wenn sie „Krankheitswert“ (Ligocki/Sosna, ZD 2024, 150, 156) haben.

Verantwortlichen bleibt die Möglichkeit, sich gemäß Art. 82 Abs. 3 DSGVO zu exkulpieren. Im Falle von Cyber-Angriffen gelingt dies vor allem durch den Nachweis geeigneter technischer und organisatorischer Maßnahmen gemäß Art. 24 und 32 DSGVO (Pohle/Adelberg, ZD 2024, 312, 316).

Überblick über die bisherige EuGH-Rechtsprechung zu Art. 82 DSGVO

Nichtsdestotrotz dürfen Unternehmen ihre Datenschutz-Compliance nicht schleifen lassen. Zwar verbleibt für Betroffene die hohe Hürde der Darlegung und des Beweises eines erlittenen – oft immateriellen – Schadens. Dennoch hat der EuGH in seinen vergangenen Urteilen zum Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO recht weite Voraussetzungen geschaffen.

Die Vorgeschichte

Die Rs. Scalable Capital stellt insoweit den vorläufigen Schlusspunkt einer sich stetig weiterentwickelnden Judikatur des EuGH zu Art. 82 DSGVO dar. Konkret umfasst dies die folgenden Vorabentscheidungsersuchen:

• Österreichische Post (Az. C-300/21), CR 2023, 436
• Natsionalna agentsia za prihodite (Az. C-340/21), CR 2024, 121
• Gemeinde Ummendorf (Az. C-456/22), CR 2024, 296
• Krankenversicherung Nordrhein (Az. C-667/21),
• MediaMarktSaturn (Az. C-687/21), CR 2024, 160
• juris (Az. C-741/21), CR 2024, 304 m. Anm Hondl und
• PS GbR (Az. C-590/22), CR 2024, 460.

Die 10 Gebote des EuGH zu Art. 82 DSGVO

Die Erkenntnisse des EuGH aus seinen vorangegangenen Urteilen lassen sich, kombiniert mit der Beantwortung der Vorlagefragen in der Rs. Scalable Capital, insgesamt in folgende zehn Leitlinien konsolidieren:

1. Schaden: Anspruchsteller müssen für die Zuerkennung eines Schadensersatzanspruchs nach Art. 82 Abs. 1 DSGVO das Vorliegen eines Schadens nachweisen; der bloße Verstoß gegen die DSGVO führt nicht automatisch zu einem Schaden.

2. Ausgleich: Art. 82 Abs. 1 DSGVO hat nur eine Ausgleichs- und keine Abschreckungsfunktion. Die Zuerkennung von Strafschadensersatz scheidet somit aus.

3. Höhe: Weder die Schwere noch die Vorsätzlichkeit eines Datenschutzverstoßes haben Einfluss auf die Höhe eines Anspruchs aus Art. 82 Abs. 1 DSGVO.

4. Maß: Datenschutzverletzungen können genauso schwer wiegen wie Körperverletzungen.

5. Minimum: Auch bei nur geringen Schäden ist die Zuerkennung eines symbolischen Schadensersatzes gemäß Art. 82 Abs. 1 DSGVO möglich.

6. Befürchtung: Bereits die Befürchtung einer Datenweitergabe kann einen immateriellen Schadensersatzanspruch begründen, solange diese Befürchtung nicht rein hypothetisch ist. Der Betroffene muss eine solche Befürchtung und einen korrespondierenden Schaden jedoch darlegen und beweisen. Ein Schadensersatzanspruch scheidet aus, wenn feststeht, dass kein Dritter die betroffenen Daten zur Kenntnis genommen haben kann.

7. Bemessungskriterien: Zur Bemessung der Höhe eines Schadensersatzanspruchs gemäß Art. 82 Abs. 1 DSGVO darf nicht auf die Kriterien des Art. 83 Abs. 2 DSGVO zurückgegriffen werden. Vielmehr sind die jeweils nationalen Kriterien zur Bestimmung der Schadenshöhe anzuwenden. Hierbei sind der Äquivalenz- und Effektivitätsgrundsatz zu berücksichtigen.

8. Verstöße gegen nationales Datenschutzrecht können nicht mit Art. 82 Abs. 1 DSGVO abgegolten werden. Sie müssen über das nationale Anspruchsregime durchgesetzt werden, welches neben Art. 82 Abs. 1 DSGVO anwendbar ist.

9. Exkulpation: Verantwortliche können sich gemäß Art. 82 Abs. 3 DSGVO exkulpieren. Hierfür genügt allerdings nicht der bloße Verweis auf den unbefugten Datenzugriff seitens Dritter oder das Fehlverhalten einer ihm unterstellten Person.

10. Identitätsdiebstahl: Ein Identitätsdiebstahl i. S. d. ErwG 75 und 85 DSGVO liegt nur dann vor, wenn eine fremde Person tatsächlich die Identität des Betroffenen annimmt.

Ausblick auf die zukünftige Entwicklung

Trotz der umfassenden Judikatur Art. 82 Abs. 1 DSGVO verbleiben zahlreiche offene Fragen. Diese wird der EuGH in weiteren Vorabentscheidungsverfahren klären (müssen). Ein Augenmerk sollte hierbei insbesondere auf die Rs. Quirin Privatbank (Az. C-655/23) und die Rs. Patērētāju tiesību aizsardzības centrs (Az. C-507/23) gelegt werden.

Der EuGH wird in deren Kontext u. a. darüber zu entscheiden haben, ob:

• für die Annahme eines immateriellen Schadens bloße negative Gefühle wie z. B. Ärger, Unmut, Unzufriedenheit, Sorge und Angst, die Teil des allgemeinen täglichen Lebensrisikos sind, genügen oder ob für die Annahme eines Schadens ein über diese Gefühle hinausgehender Nachteil für den Betroffenen erforderlich ist.
• bei der Schadensbemessung anspruchsmindernd berücksichtigt werden kann, dass dem Betroffenen neben dem Schadensersatzanspruch ein Unterlassungsanspruch zusteht.
• wenn keine Möglichkeit zur Naturalrestitution besteht, als einziger Ersatz für den immateriellen Schaden die Verpflichtung auferlegt werden kann, sich zu entschuldigen.