Der Europäische Datenschutzausschuss (EDSA) hat seinen Bericht über die erste Überprüfung des EU-US-Angemessenheitsbeschlusses am 4. November 2024 veröffentlicht. Die Überprüfung selbst erfolgte bereits am 18. und 19. Juli 2024 in Washington. Der Bericht fällt positiv aus. Der EDSA lobt die schnelle Implementierung des EU-US-Data-Privacy-Framework (DPF) und stellt positive Entwicklungen zum Datenschutz in den USA fest, insbesondere im Hinblick auf die Stärkung des Data Protection Review Court zur Durchsetzung der Datenschutzrechte.
Neues zu Schadensersatzansprüchen infolge der Verletzung des Schutzes personenbezogener Daten
Tuesday, 19. December 2023
Über die Frage, wann ein Datenschutzverstoß zu einem Schaden(s)ersatzanspruch der Betroffenen nach der DSGVO führt, wird unter Juristen eifrig diskutiert. Insbesondere in der Literatur - wohl auch, um den Datenschutzvorschriften noch mehr Nachdruck zu verleihen - wird vielerorts vertreten, dass das reine Vorliegen eines Datenschutzverstoßes auch immer einen immateriellen Schaden herbeiführt und damit einen Schadensersatzanspruch auslöst - jedenfalls solange es sich nicht nur um einen reinen Formverstoß wie bspw. eine fehlende oder unvollständige Dokumentation handelt. Gerichte hingegen (auch in Deutschland) hielten es bisher überwiegend für erforderlich, dass ein konkreter Schaden beim Betroffenen eingetreten ist, wobei das bloße „Unbehagen“ oder die reine Befürchtung, die Daten könnten aufgrund des Datenschutzverstoßes missbräuchlich verwendet werden, nicht ausreichend sein soll. Auch reine Bagatellschäden führen laut Ansicht einiger Gerichte nicht zum Vorliegen eines Schadensersatzanspruchs nach der DSGVO. Gleichwohl wurde von den Gerichten aber anerkannt, dass der Schadensbegriff in Art. 82 Abs. 1 DSGVO offenbar einiger Klarstellung bedarf und - da es sich um Regelungen aus der Feder des EU-Gesetzgebers handelt - eine solche Klärung von Seiten des Europäischen Gerichtshofes (EuGH) zu erfolgen hat. Die Vorlage dieser Frage beim EuGH erfolgte schließlich durch ein bulgarisches Gericht im Zusammenhang mit einem Fall, bei dem personenbezogene Daten nach einem Angriff von Cyberkriminellen im Internet veröffentlicht wurden.
Der EuGH hat nun in seinem Urteil vom 14. Dezember 2023 (C-340/21) entschieden, Art. 82 Abs. 1 DSGVO sei dahin auszulegen, dass „allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen diese Verordnung [Anm. d. Verf.: also gegen die DSGVO] befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, einen "immateriellen Schaden" im Sinne dieser Bestimmung darstellen kann“ (Auszug aus dem Tenor des Urteils).
Die Erwägungen des EuGH im Einzelnen
Der EuGH stellt zunächst fest, dass nach dem Wortlaut der Norm ein immaterieller oder materieller „Schaden“ entstanden sein muss, damit ein Anspruch auf Schadensersatz bestehen kann. Weitere Voraussetzungen für das Vorliegen des Anspruchs sind ein Verstoß gegen die DSGVO und ein Kausalzusammenhang zwischen dem Verstoß und dem Schaden.
Weiter stellt der EuGH fest, dass
- es nach dem Wortlaut, der Systematik und dem Sinn und Zweck der Norm nicht darauf ankommt, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat.
- die Norm nicht danach unterscheidet, ob der erwiesene DSGVO-Verstoß bereits zu einer missbräuchlichen Verwendung der personenbezogenen Daten geführt hat oder er nur mit der Angst verknüpft ist, dass eine solche Verwendung in Zukunft erfolgen könnte.
Diese weite Auslegung ergebe sich auch aus Erwägungsgrund 146 der DSGVO. Danach ist der Begriff des Schadens „im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise [auszulegen], die den Zielen dieser Verordnung in vollem Umfang entspricht". Zudem sehe Erwägungsgrund 85 der DSGVO Beispiele für materiellen und immateriellen Schaden vor und spricht hier auch von dem „Verlust der Kontrolle“ über personenbezogene Daten, ohne den Schaden auch an die tatsächliche missbräuchliche Verwendung der betreffenden Daten zu knüpfen. Zuletzt argumentiert der EuGH noch mit dem Ziel der DSGVO, ein hohes Schutzniveau für natürliche Personen bei der Verarbeitung personenbezogener Daten in der Union sicherzustellen.
Der EuGH weist jedoch noch einmal deutlich daraufhin, dass die Beweislast für das Vorliegen eines (materiellen oder immateriellen) Schadens im Sinne des Art. 82 Abs. 1 DSGVO weiterhin bei den Betroffenen liegt.
Fazit
Im Ergebnis handelt es sich bei der Auffassung des EuGH um eine im Verhältnis zu den beiden eingangs beschriebenen Positionen um eine vermittelnde: Weder besteht immer auch ein immaterieller Schaden beim Betroffenen, wenn dieser befürchtet, dass ein DSGVO-Verstoß zu einer missbräuchlichen Verwendung der Daten führt, noch ist das Vorliegen eines Schadens in den Fällen der reinen „Befürchtung“ per se ausgeschlossen. Allerdings ist weiterhin unklar, wann genau nun ein Schaden im Sinne der Norm vorliegt - der EuGH sagt nur, dass dies der Fall sein kann. Klar ist einzig und allein, dass Rechtsanwender granularer differenzieren müssen als im Rahmen der eingangs beschriebenen Rechtsauffassungen und dass der Begriff des Schadens nach der DSGVO weit auszulegen ist. Zukünftig muss wohl auch auf die Wahrscheinlichkeit einer missbräuchlichen Verwendung aufgrund des DSGVO-Verstoßes abgestellt werden, mithin auch darauf, wie glaubhaft Betroffene das Bestehen einer begründeten Befürchtung, die Daten könnten aufgrund des DSGVO-Verstoßes missbräuchlich verwendet werden, machen können. Schwierigkeiten könnten sich daraus ergeben, dass Befürchtungen und Angst immer ein subjektives Element innewohnt. Hier stellt sich die Frage, in welchem Maße diese Subjektivität von den Gerichten zu berücksichtigen ist. Es lässt sich jedenfalls festhalten, dass das EuGH-Urteil die Entscheidungslinie der Gerichte der Mitgliedsstaaten in Schadensersatzstreitigkeiten aufgrund von DSGVO-Verstößen maßgeblich beeinflussen dürfte und in Zukunft gerade auch in Deutschland mit deutlich mehr Urteilen zugunsten der Betroffenen zu rechnen ist.