Das juristische Streitthema, wann nach einer Datenpanne Schmerzensgeld zu leisten ist, hat mit dem Urteil des EuGH vom 25.01.2024 – C-687/21 – eine weitere Facette hinzugewonnen.
Mit dieser Entscheidung begrenzt der EuGH nach einer Vielzahl von betroffenenfreundlichen Entscheidungen die Reichweite des Art. 82 DSGVO etwas. Ein Grund zum Aufatmen ist dies für Unternehmer und Behörden jedoch nicht.
Worüber hat der EuGH entschieden?
Hintergrund der EuGH Entscheidung war eine Schadenersatzklage eines Saturn-Elektromarkt-Kunden (heute MediaMarktSaturn) in Hagen.
Bei der Warenausgabe kam zu einer Verwechslung, infolgedessen ein anderer Kunde Ware und Lieferschein mit personenbezogenen Daten an sich nahm und den Markt verließ.
Der falsche Kunde konnte rund 30 Minuten später identifiziert werden. Die Waren- und Lieferscheinrückgabe erfolgt ebenfalls unmittelbar. Die Daten auf dem Lieferschein habe der andere Kunde nicht zur Kenntnis genommen.
Dennoch erhob der Betroffene Klage auf Schmerzensgeld, weil er die Weitergabe seiner personenbezogenen Daten befürchte.
Entscheidung C-687/21
Das Amtsgericht Hagen legte dem EuGH einen umfangreichen Fragenkatalog vor. Während eine Frage bereits unzulässig war (Ist Art. 82 DSGVO bestimmt genug?), sind andere Fragen inzwischen durch den EuGH bereits beantwortet worden.
Dennoch enthält die Entscheidung – bekräftigend oder nuancierend – einige Punkte, die für die Verteidigung und Abwehr des andernfalls weiten Verständnisses der Schadenersatzansprüche nach Datenschutzvorfällen von Bedeutung sind.
1. Eine Datenpanne macht noch keine ungeeigneten TOMs
Der EuGH unterstrich, dass es bei der Beurteilung eines DSGVO Verstoßes nicht nur auf die isolierte Betrachtung der unbeabsichtigten Offenbarung personenbezogener Daten ankommt:
„Somit darf ein Gericht, das mit einer solchen auf Art. 82 DSGVO gestützten Schadensersatzklage befasst ist, bei der Klärung der Frage, ob ein Verstoß gegen eine in dieser Verordnung vorgesehene Verpflichtung vorliegt, nicht allein den Umstand berücksichtigen, dass Mitarbeiter des Verantwortlichen irrtümlich ein Dokument mit personenbezogenen Daten an einen unbefugten Dritten weitergegeben haben. Es muss vielmehr auch sämtliche Beweise heranziehen, die der für die Verarbeitung Verantwortliche vorgelegt hat, um die Geeignetheit der technischen und organisatorischen Maßnahmen nachzuweisen, die er getroffen hat, um seinen Verpflichtungen aus den Art. 24 und 32 DSGVO nachzukommen.“
Damit wird die im Verfahren C‑340/21 entwickelte Rechtsprechungslinie bestätigt:
Verantwortliche können im Rahmen der Beweislastumkehr darlegen und entlastend beweisen, dass trotz des Verstoßes sonst geeignete, technisch-organisatorische Maßnahmen vorhanden sind und deshalb ein Datenschutzverstoß doch entfällt.
Mit der weiteren Formulierung mach der EuGH aber auch noch einmal deutlich, dass es die Aufgabe des Verantwortlichen ist, umfangreich zu den TOM vorzutragen. Gelingt ihm dies nicht, bleibt es bei einem Verstoß gegen die DSGVO.
2. Hypothetischer Schaden nicht ausreichend
Der EuGH hat in der Entscheidung C‑340/21 den Kontrollverlust als Schaden ausreichen lassen und damit erhebliche Praxisprobleme begründet:
Einerseits muss es immer noch einen Schaden geben, der vom Kläger auch bewiesen werden muss.
Andererseits ist das Gefühl eines Kontrollverlusts ausreichend, um diesen Schaden zu begründen.
Diese Kombination ist damit faktisch einem weiten Beurteilungsspielraum des Gerichts ausgesetzt, der insbesondere mit der Art des Datenschutzverstoßes zusammenhängen wird.
So hat beispielsweise das Arbeitsgericht Suhl, Urteil vom 20.12.2023 – 6 Ca 704/23 – zwar einen Datenschutzverstoß festgestellt, zugleich einen Schaden wegen nur abstrakter Möglichkeiten einer Offenbarung gegenüber Dritten abgelehnt.
Diese Ausnahme wendet der EuGH in seiner Entscheidung ebenfalls an:
„Gleichwohl obliegt es demjenigen, der eine auf Art. 82 DSGVO gestützte Schadensersatzklage erhebt, das Vorliegen eines solchen Schadens nachzuweisen. Insbesondere kann ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten nicht zu einer Entschädigung führen. Dies ist der Fall, wenn kein Dritter die fraglichen personenbezogenen Daten zur Kenntnis genommen hat.“
Eine nur hypothetische Möglichkeit eines Datenabflusses reicht damit grundsätzlich nicht aus.
Denn andernfalls scheitert es an einem Kontrollverlust, wenn kein Dritter die „Kontrolle“ über die Daten gewinnen konnte.
Rechtlich offen bleibt jedoch, wann nur eine nicht ausreichende, hypothetische Möglichkeit eines schadenbegründenden Kontrollverlusts besteht und wann der Kontrollverlust eingetreten ist.
Denn während der EuGH in der Entscheidungsbegründung die Frage eines hypothetischen Risikos als nicht ausreichend erachtet, heißt es in der Entscheidung selbst:
„Art. 82 Abs. 1 der Verordnung 2016/679
ist dahin auszulegen, dass in einem Fall, in dem ein Dokument, das personenbezogene Daten enthält, an einen unbefugten Dritten weitergegeben wurde, der diese Daten erwiesenermaßen nicht zur Kenntnis genommen hat, nicht schon deshalb ein „immaterieller Schaden“ im Sinne dieser Bestimmung vorliegt, weil die betroffene Person befürchtet, dass im Anschluss an die Weitergabe, die es ermöglichte, vor der Rückgabe des Dokuments eine Kopie von ihm anzufertigen, in der Zukunft eine Weiterverbreitung oder gar ein Missbrauch ihrer Daten stattfindet.“
Damit bleibt die Frage offen, ob ein Schadenersatzanspruch (nur dann) entfällt, wenn „erwiesenermaßen“ keine Kenntnisnahme konkreter Dritter bestand bzw. bestehen konnte, dies also positiv ausgeschlossen werden kann oder ob niedrigere Maßstäbe anzusetzen sind, um einen Schaden aufgrund rein hypothetischer Risiken ablehnen zu können. Diese offen gelassene Frage wird aufgrund der hohen Praxisrelevanz durch den EuGH weiter zu konturieren sein.
Praxisfolgen für Unternehmen
Als Begründung des Schadens, für den der Betroffene beweispflichtig ist, wird er den Datenabfluss / die Offenbarung seiner personenbezogenen Daten oder zumindest den naheliegenden Eintritt des Datenabflusses beweisen müssen
Der schadensbegründende Kontrollverlust soll sich dabei nicht uferlos auch auf hypothetische Erwägungen stützen können, die keinen Anknüpfungspunkt in der Wirklichkeit haben.
Wenn, wie hier, die Kenntnisnahme der Personendaten ausgeschlossen werden kann, entfällt auch die Möglichkeit, dass diese – nicht zur Kenntnis genommenen Daten – vervielfältigt oder weitergegeben worden sind.
Konsequenzen für Unternehmen
Wer als Verantwortlicher nun auf erschwerte Bedingungen bei der Geltendmachung von Schmerzensgeldansprüchen gem. Art. 82 DSGVO hofft, der wird enttäuscht werden:
Der zu beurteilende Fall war besonders positiv für das Elektronikgeschäft:
- die Daten waren ausgedruckt und nicht auf multiplizier- und kopierbaren Speichermedien offenbart,
- die Daten waren gerade einmal 30 Minuten in der Kontrolle Dritter,
- es konnte die Kenntnisnahme des Dritten sogar positiv ausgeschlossen werden.
- das Schadenpotential für den Kontrollverlust ist damit äußerst überschaubar.
Diese nahezu optimalen Verteidigungsmöglichkeiten werden sich in der Praxis nur selten finden lassen.
Deshalb müssen Unternehmer auch trotz der neuen Nuance und einer der ersten Restriktionsbemühungen des Schmerzensgeldanspruchs gem. Art. 82 DSGVO weiterhin nach Datenschutzvorfällen mit
- Reputationsschäden
- Bußgeldverfahren
- Massenhaften Schadenersatzforderungen
rechnen. Die Entscheidung bietet allenfalls eine weitere Facette in den Verteidigungsansätzen.
