DE/EN
Legal News
27. Februar 2024

EuGH trifft Klarstellungen zu Schadenersatz und Geldbußen nach DSGVO

In den letzten Wochen ergingen gleich mehrere EuGH Urteile zur DSGVO. Sie behandeln aus Unternehmenssicht besonders wichtige Haftungsfragen, insbesondere die Haftung für immaterielle Schäden und für Geldbußen sowie damit verbundene Fragen zu Verschulden und Beweislast. Die wichtigsten Erkenntnisse daraus haben wir im Folgenden für Sie zusammengefasst.

Haftung einer Organisation nach einem Cyberangriff. In der Entscheidung vom 14.12.2023, C-340/21, geht es um immaterielle Schadenersatzansprüche nach einem Cyberangriff auf eine bulgarische Behörde. Die Klägerin des Ausgangsverfahrens erfuhr aus den Medien von dem Cyberangriff und davon, dass personenbezogene Daten von mehreren Millionen Personen im Internet veröffentlicht worden seien. Die Klägerin forderte rund EUR 510 Schadenersatz für immaterielle Schäden aus der Verletzung des Schutzes personenbezogener Daten. Ihr immaterieller Schaden bestehe in der Befürchtung, dass ihre personenbezogenen Daten künftig missbräuchlich verwendet würden oder dass sie selbst erpresst, angegriffen oder sogar entführt werde. Die Behörde verteidigte sich damit, dass sie ihre IT-Systeme angemessen geschützt hätte und für die Folgen des Cyberangriffs nicht verantwortlich gemacht werden könne. Die Behörde sei selbst Geschädigte. Der EuGH traf folgende Klarstellungen:

  • Eine unbefugte Offenlegung von Daten bzw. ein unbefugter Zugang zu Daten durch Dritte allein reicht noch nicht aus, um anzunehmen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche (hier die Behörde) getroffen hat, nicht „geeignet“ waren. Vielmehr muss die Geeignetheit der Sicherheitsmaßnahmen von den nationalen Gerichten anhand der Umstände des jeweiligen Einzelfalls konkret geprüft und beurteilt werden, wobei die mit der betreffenden Verarbeitung verbundenen Risiken zu berücksichtigen sind und zu beurteilen ist, ob Art, Inhalt und Umsetzung dieser Maßnahmen diesen Risiken angemessen sind.
  • Der Verantwortliche trägt im Falle einer Schadenersatzklage einer betroffenen Person die Beweislast dafür, dass die von ihm getroffenen Sicherheitsmaßnahmen im Sinne von Art 32 DSGVO geeignet waren um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Um von der Haftung befreit zu werden, muss der Verantwortliche nachweisen, dass er in keinerlei Hinsicht für den Umstand, durch den der betreffende Schaden eingetreten ist, verantwortlich ist.
  • Die Befürchtung einer betroffenen Person ihre personenbezogenen Daten könnten infolge eines Verstoßes gegen die DSGVO durch Dritte missbräuchlich verwendet werden, kann einen „immateriellen Schaden“ darstellen. Allerdings muss eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, konkret nachweisen, dass diese Folgen einen immateriellen Schaden nach Art 82 DSGVO darstellen. Das nationale Gericht hat zu prüfen, ob die Befürchtung unter den gegebenen besonderen Umständen begründet war.

Immaterieller Schaden bei begründeter Befürchtung eines Datenmissbrauchs. Die jüngste Entscheidung vom 25.01.2024, C-687/21, betrifft einen Käufer, der in einem Elektromarkt einen Kauf- und Kreditvertrag über ein Haushaltsgerät abgeschlossen hatte. In dem Vertrag waren Name, Anschrift, Arbeitgeber, Einkünfte und Bankdaten des Klägers angeführt. Versehentlich wurde das Gerät samt Vertrag einem anderen Kunden ausgehändigt. Der Fehler wurde wenig später erkannt und das Gerät samt Vertrag binnen 30 Minuten retourniert. Der verärgerte Käufer begehrte den Ersatz seines immateriellen Schadens, den er aufgrund der Weitergabe seiner personenbezogenen Daten und des damit verbundenen Kontrollverlusts erlitten habe. Der EuGH verwies auf obige Entscheidung (C-340/21), wonach die Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten nach einem DSGVO Verstoß von Dritten missbräuchlich verwendet werden, für sich genommen einen immateriellen Schaden darstellen könne. Im konkreten Fall stand allerdings fest, dass der andere Kunde die Daten des Käufers tatsächlich nicht gesehen hat. Der EuGH stellte klar, dass ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten nicht zu einer Entschädigung führen könne. Im Ergebnis verneinte der EuGH daher einen Schadenersatzanspruch.

Bemessung der Höhe des immateriellen Schadenersatzes. In der Entscheidung vom 21.12.2023, C‑667/21, betonte der EuGH – unter Verweis auf frühere Urteile - die Ausgleichsfunktion des Schadenersatzes. Der Schadenersatzbetrag sei so festzulegen, dass er den konkret erlittenen Schaden vollständig ausgleicht. Der Schadenersatz erfülle ausdrücklich keine abschreckende oder Straffunktion. Daher sei der Grad des Verschuldens bei der Bemessung der Höhe der Entschädigung für einen immateriellen Schaden nicht zu berücksichtigen.

Verschuldensfragen bei der Verhängung von Geldbußen. In der Entscheidung vom 5.12.2023, C‑807/21, traf der EuGH einige wichtige Klarstellungen zur Verhängung von Geldbußen gegen juristische Personen. Voraussetzung für die Verhängung einer Geldbuße ist ein Verschulden, d.h. ein vorsätzlicher oder fahrlässiger Verstoß gegen die DSGVO. Juristische Personen haften nicht nur für Verstöße, die von ihren Geschäftsführern, Leitern oder sonstigen zur Vertretung nach Außen befugten Personen begangen wurden, sondern auch für Verstöße, die von jeder anderen Person begangen wurden, die im Rahmen der unternehmerischen Tätigkeit und im Namen dieser juristischen Personen handelt. Sohin kann auch ein schuldhaftes Verhalten „einfacher“ Angestellter dem Unternehmen als Verschulden angelastet werden, selbst wenn das Leitungsorgan keine Kenntnis hiervon hatte. Eine Geldbuße kann im Übrigen auch verhängt werden, ohne den Verstoß zuvor einer identifizierten natürlichen Person zuzurechnen. In einer weiteren Entscheidung vom 5.12.2023, C-683/21, stellte der EuGH klar, dass ein Verantwortlicher auch für Verstöße eines Auftragsverarbeiters haftet, außer der Auftragsverarbeiter verarbeitet Daten entgegen der Vereinbarung oder auf eine Weise, bei der vernünftigerweise nicht davon ausgegangen werden könne, dass der Verantwortliche ihr zugestimmt hätte. In diesem Fall gilt der Auftragsverarbeiter nämlich selbst als Verantwortlicher für die Datenverarbeitung.

Fazit. Tendenziell ebnet der EuGH den Weg für eine leichtere Durchsetzung von Schadenersatzansprüchen und für die Verhängung von Geldbußen nach der DSGVO. Allein die begründete Befürchtung eines Datenmissbrauchs infolge einer DSGVO-Verletzung kann Schadenersatzansprüche begründen. Zudem müssen Datenschutzbehörden für die Verhängung einer Geldbuße künftig nicht mehr ein Verschulden der Geschäftsführung nachweisen. Für Unternehmen ist es daher umso wichtiger, klare datenschutzrechtliche Vorgaben und Prozesse zu implementieren und zu überwachen. Das Fehlen eines Datenschutzmanagements könnte als fahrlässiges Verhalten ausgelegt werden.