Der Europäische Gerichtshof (EuGH) hat am 14.12.2023 zum s.g. immateriellen Schadenersatzanspruch (Schmerzensgeld) nach einem Datenschutzvorfall geurteilt und damit für fast alle Unternehmensbereiche hohe Haftungsrisiken begründet.
Unternehmen und Behörden können nach einer Datenpanne sich auch dann schadenersatzpflichtig machen, wenn aus Sicht des Betroffenen noch keinerlei tatsächlicher Schaden eingetreten ist. Es genügt ein Unbehagen über den Kontrollverlust.
Zudem verschärft der EuGH die Anforderungen an den Beweis für Unternehmen.
Die Entscheidung hat weitreichende Auswirkungen für den Arbeitsalltag von Unternehmern und Unternehmen, da hierdurch nahezu jede IT-Sicherheitspanne mit Personenbezug unmittelbar zu massenhaften Ansprüchen (Massenschäden) führen kann, die eine wirtschaftliche Gefahr für kleine und mittelständische Unternehmen bedeuten kann.
Worüber hat der EuGH entschieden?
Ausgangspunkt der Entscheidung war ein Datenschutzvorfall bei der Natsionalnaagentsia za prihodite (Nationale Agentur für Einnahmen) in Bulgarien.
Am 15. Juli 2019 wurde in den Medien darüber berichtet, dass ein unbefugter Zugang zum IT‑System der NAP erfolgt sei und dass infolge dieses Cyberangriffs in diesem System enthaltene personenbezogene Daten im Internet veröffentlicht worden seien (Datenleck).
Mehr als sechs Millionen Personen waren von diesen Ereignissen betroffen. Einige Hundert von ihnen, darunter die Klägerin des Ausgangsverfahrens, verklagten die NAP auf Ersatz des immateriellen Schadens, der sich aus der Offenlegung ihrer personenbezogenen Daten ergeben haben soll,
Eine Betroffene ging gegen die NAP vor und verklagte diese auf Schmerzensgeld. Zur Stützung dieses Antrags machte sie geltend, sie habe einen immateriellen Schaden erlitten, der sich aus einer Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DSGVO und insbesondere aus einer Verletzung der Sicherheit ergebe, die dadurch verursacht worden sei, dass die NAP gegen ihre Verpflichtungen insbesondere aus Art. 5 Abs. 1 Buchst. f sowie den Art. 24 und 32 DSGVO verstoßen habe.
Ihr immaterieller Schaden bestehe in der Befürchtung, dass ihre personenbezogenen Daten, die ohne ihre Einwilligung veröffentlicht worden seien, künftig missbräuchlich verwendet würden oder dass sie selbst erpresst, angegriffen oder sogar entführt werde.
Was bisher geschah
Vor dem EuGH Urteil vom 14.12.2023 wurde intensiv darüber gestritten, wann überhaupt ein Schmerzensgeldanspruch gegeben ist.
Führt bereits ein Verstoß zu einem Schmerzensgeld oder müssen weitere Faktoren (z.B. Spam-Emails, Anrufe etc.) hinzutreten?
Der EuGH hat 2023 zuletzt in der Entscheidung „Österreichische Post“, C‑300/21 noch darauf hingewiesen:
„Daher kann nicht davon ausgegangen werden, dass jeder „Verstoß“ gegen die Bestimmungen der DSGVO für sich genommen den Schadenersatzanspruch der betroffenen Person im Sinne von Art. 4 Nr. 1 dieser Verordnung eröffnet. Eine solche Auslegung liefe dem Wortlaut von Art. 82 Abs. 1 DSGVO zuwider.
Zum anderen ist hervorzuheben, dass die gesonderte Erwähnung eines „Schadens“ und eines „Verstoßes“ in Art. 82 Abs. 1 DSGVO überflüssig wäre, wenn der Unionsgesetzgeber davon ausgegangen wäre, dass ein Verstoß gegen die Bestimmungen der DSGVO für sich allein in jedem Fall ausreichend wäre, um einen Schadenersatzanspruch zu begründen.“
Vereinfacht formuliert bedeutet dies:
Ein Verstoß ist noch kein Schaden.
Gleichzeitig hatte der EuGH aber betont:
„Würde aber der Ersatz eines immateriellen Schadens von einer Erheblichkeitsschwelle abhängig gemacht, könnte dies die Kohärenz der mit der DSGVO eingeführten Regelung beeinträchtigen, da die graduelle Abstufung einer solchen Schwelle, von der die Möglichkeit, Schadenersatz zu erhalten, abhinge, je nach Beurteilung durch die angerufenen Gerichte unterschiedlich hoch ausfallen könnte.
Allerdings bedeutet diese Auslegung nicht, dass eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 dieser Verordnung darstellen.
Nach alledem ist auf die dritte Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass er einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat.“
Die Anforderungen dürfen jedoch auch nicht allzu hoch für einen immateriellen Schaden gesteckt werden. Andernfalls wären die Rechte von Betroffenen nach der DSGVO nicht effektiv durchsetzbar.
In dem Spannungsfeld befand sich die Rechtsprechung und wurde von deutschen Gerichten unterschiedlich gewürdigt. Die Rechtsprechung neigte in den s.g. Facebook-Datenschutzfällen jedoch eher dazu, mindestens eine Beeinträchtigung durch E-Mails, SMS oder Anrufe als Beweis für einen Schaden zu verlangen.
Ein Störgefühl alleine reicht dabei nicht aus. So entschied beispielsweise das OLG Hamm (7. Zivilsenat), Urteil vom 15.08.2023 – 7 U 19/23 hierzu:
„Es oblag der Klägerin, einen über die Datenschutzverstöße und über den damit mittelbar einhergehenden Kontrollverlust hinausgehenden immateriellen Schaden in Form einer persönlichen / psychologischen Beeinträchtigung aufgrund der Datenschutzverstöße und des Kontrollverlustes darzulegen. Der von der Klägerin ins Feld geführte „völlige Kontrollverlust“ rechtfertigt als solcher keine Entschädigungsverpflichtung“
Entscheidung C‑340/21
Diese Verständnis hat der EuGH weiterentwickelt – und damit erhebliche Haftungsrisiken für Datenverarbeiter wie Unternehmen und Behörden geschaffen. Zu gleich fünf Fragen nahm der EuGH Stellung:
1. Datenpanne = Keine geeignete Datensicherheit?
Die erste Frage bezog sich auf den Umstand, ob die Art. 24 und 32 DSGVO dahin auszulegen sind, dass eine unbefugte Offenlegung von bzw. ein unbefugter Zugang zu personenbezogenen Daten durch „Dritte“ im Sinne von Art. 4 Nr. 10 DSGVO allein ausreicht, um anzunehmen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht „geeignet“ im Sinne der Art. 24 und 32 DSGVO waren.
Vereinfacht gesagt: Kann ein Datenschutzverstoß durch zu schlechte IT-Sicherheitsmaßnahmen aus dem Umstand abgeleitet werden, dass personenbezogene Daten abgeflossen sind?
Der EuGH sagt Nein, aber:
„Folglich können die Art. 24 und 32 DSGVO nicht dahin verstanden werden, dass eine unbefugte Offenlegung von bzw. ein unbefugter Zugang zu personenbezogenen Daten durch einen Dritten für die Schlussfolgerung ausreicht, dass die von dem für die betreffende Verarbeitung Verantwortlichen ergriffenen Maßnahmen nicht im Sinne dieser Bestimmungen geeignet waren, ohne dass ihm die Möglichkeit eingeräumt wird, den Gegenbeweis zu erbringen“
Rechtlich bedeutet dies eine s.g. Beweislastumkehr zu Lasten des Unternehmens. Das Abfließen von Daten indiziert nicht geeignete technisch-organisatorische Maßnahmen (TOMs). Dies kann der Datenverarbeiter widerlegen, muss dies aber umgekehrt auch, wenn er sich entlasten will.
Nicht der Betroffene muss die mangelnde Datenschutzmaßnahmen darlegen, der Verarbeiter muss sie widerlegen. In der juristischen Praxis ist dies mit einem hohen Argumentations- und Dokumentationsaufwand verbunden.
2. Datensicherheit wird gerichtlich nachgeprüft
Die zweite und dritte Frage betreffen den gerichtlichen Prüfungsmaßstab im Hinblick auf geeignete Sicherheitsmaßnahmen (TOMs).
Zwar verfüge der Verantwortliche über einen gewissen Entscheidungsspielraum bei der Festlegung geeigneter technischer und organisatorischer Maßnahmen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, wie es Art. 32 Abs. 1 DSGVO verlangt. Gleichwohl muss ein nationales Gericht die komplexe Beurteilung, die der Verantwortliche vorgenommen hat, bewerten können und sich dabei vergewissern können, dass die vom Verantwortlichen gewählten Maßnahmen geeignet sind, ein solches Sicherheitsniveau zu gewährleisten (Rn. 43 der Entscheidung).
Daher darf sich ein nationales Gericht bei der Kontrolle der Geeignetheit der nach Art. 32 DSGVO getroffenen technischen und organisatorischen Maßnahmen nicht auf die Feststellung beschränken, in welcher Weise der für die betreffende Verarbeitung Verantwortliche seinen Verpflichtungen aus diesem Artikel nachkommen wollte, sondern muss eine materielle Prüfung dieser Maßnahmen anhand aller in diesem Artikel genannten Kriterien sowie der Umstände des Einzelfalls und der dem Gericht dafür zur Verfügung stehenden Beweismittel vornehmen.
Eine solche Prüfung erfordert eine konkrete Untersuchung sowohl der Art als auch des Inhalts der vom Verantwortlichen getroffenen Maßnahmen, der Art und Weise, in der diese Maßnahmen angewandt wurden, und ihrer praktischen Auswirkungen auf das Sicherheitsniveau, das der Verantwortliche in Anbetracht der mit dieser Verarbeitung verbundenen Risiken zu gewährleisten hatte (Rn. 45 f. der Entscheidung).
Vereinfacht bedeutet dies: In Datenschutzverfahren werden IT-forensische Gutachten und die einzubringende IT-Expertise im Rahmen der Durchsetzung bzw. Abwehr von Datenschutzansprüchen gem. Art. 82 DSGVO deutlich zunehmen.
Die Argumentation in Hinblick auf die technisch-organisatorischen Maßnahmen eines Unternehmens wird damit ein Kernelement, da dieses im Zweifel regelmäßig gutachterlich geprüft werden muss.
Unternehmer und Behörden sollten deshalb in der Beratung und Vertretung auf interdisziplinäre Praxisgruppen aus Rechtsanwälten für Datenschutz und Informatikern und IT-Sicherheitsexperten zurückgreifen.
3. Unternehmen haften auch für Hacker & Co.
Die vierte Frage bezieht sich auf die Verantwortlichkeit für Datenschutzvorfälle durch Dritte, z.B. bei Angriffen durch Hacker.
Der EuGH hat hierzu eine unmissverständliche Position.
So heißt es in den ersten beiden Sätzen des 146. Erwägungsgrundes der DSGVO, der sich speziell auf Art. 82 DSGVO bezieht:
„Der Verantwortliche oder der Auftragsverarbeiter sollte Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, ersetzen“ und „von seiner Haftung befreit werden, wenn er nachweist, dass er in keiner Weise für den Schaden verantwortlich ist“.
Aus diesen Bestimmungen ergibt sich zum einen, dass der für die betreffende Verarbeitung Verantwortliche grundsätzlich einen Schaden ersetzen muss, der durch einen mit dieser Verarbeitung im Zusammenhang stehenden Verstoß gegen die DSGVO verursacht wurde, und zum anderen, dass er nur dann von seiner Haftung befreit werden kann, wenn er den Nachweis erbringt, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.
Wie die ausdrückliche Hinzufügung des Ausdrucks „in keinerlei Hinsicht“ im Lauf des Gesetzgebungsverfahrens zeigt, müssen die Umstände, unter denen der Verantwortliche von der ihm nach Art. 82 DSGVO drohenden zivilrechtlichen Haftung befreit werden kann, streng auf solche beschränkt werden, unter denen der Verantwortliche nachweisen kann, dass er selbst nicht für den Schaden verantwortlich ist
Vereinfacht bedeutet dies: Rechtlich kann eine Exkulpation bei Hackerangriffen o.ä. möglich sein. Die Anforderungen sind aber äußerst streng, denn der Erfolg des Datenabflusses lässt zumeist auf schlechte IT-Sicherheitsmaßnahmen hindeuten (s.o.) und eine Mitverantwortung ist bereits ausreichend, um die Haftung für Schäden durch Dritte zu begründen.
4. Schadenersatz ohne Schaden
Während die vorangegangenen Fragen in der Sache bekannt waren und an der einen oder anderen Stelle für etwas Klarheit sorgten, ist die letzte Frage die entscheidende:
Ist Art. 82 Abs. 1 DSGVO so auszulegen, dass die Befürchtung eines zukünftigen Datenmissbrauchs von abgeflossenen bzw. geleakten Daten schon ausreicht, um einen immateriellen Schadenersatzanspruch zu begründen?
Der EuGH führt hierzu grundsätzlich aus und stellt fest:
„Weiter ist im vorliegenden Fall festzustellen, dass Art. 82 Abs. 1 DSGVO nicht danach unterscheidet, ob der infolge eines erwiesenen Verstoßes gegen die Bestimmungen der DSGVO von der betroffenen Person behauptete „immaterielle Schaden“ mit einer zum Zeitpunkt ihres Schadenersatzantrags bereits erfolgten missbräuchlichen Verwendung ihrer personenbezogenen Daten durch Dritte verbunden ist oder ob er mit ihrer Angst verknüpft ist, dass eine solche Verwendung in Zukunft erfolgen könnte.“
Denn aus dieser beispielhaften Aufzählung der „Schäden“ im 85. Erwägungsgrund gehe hervor, dass der Unionsgesetzgeber unter den Begriff „Schaden“ insbesondere auch den bloßen „Verlust der Kontrolle“ über ihre eigenen Daten infolge eines Verstoßes gegen die DSGVO fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte.
Der EuGH schränkt dieses sehr weite Verständnis nur prozessual ein Stück weit ein: Das Gericht müsse bei einem behaupteten Kontrollverlusts prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann.
Vereinfacht: Verstoß + behaupteter Kontrollverlust = Schmerzensgeld.
Ein von deutschen Gerichten zumeist angeführter „Schaden“ in Form von Störungen durch Phishing-Anrufen, SMS und E-Mails nach einem Datenleck ist damit nicht mehr erforderlich.
Ausreichend ist, dass der Betroffene vorträgt und auf gerichtliche Nachfrage hin bekräftigend betont, dass er sich mit den verlustigen oder veröffentlichten Daten unwohl fühle und in Sorge vor einem zukünftigen Missbrauch lebe.
Die Frage, ob bereits störende Anrufe oder SMS eingegangen sind, ist dann nur noch eine Frage der Höhe des erzielbaren Schmerzensgeldes.
Praxisfolgen für Unternehmen
Das Urteil schafft für jedes datenverarbeitende Unternehmen existenzielle wirtschaftliche Risiken.
Ein Beispiel
Ein mittelständiger Handwerksbetrieb speichert seine Kundendaten auf einem Büro-PC oder Server in einer Excel-Liste. Die Sekretärin klickt auf ein infiziertes Doc-Dokument und installiert damit unbeabsichtigt einen Virus.
Durch den Virus fließt auch die Excel-Liste mit 2.500 Kundendatensätzen ab. Hacker verschlüsseln den PC und drohen mit der Veröffentlichung der Datensätze, wenn nicht innerhalb von 48 Stunden 500.000,00 $ in Cryptowährungen überwiesen werde. Die Liste wird veröffentlicht.
Der Handwerksmeister kann keine Schulungen, Antivirenprogramme, Handlungsanweisungen, PC-Rechteinschränkungen oder dokumentierte TOMs vorweisen. Der Handwerksmeister meldet den Vorfall auch der Datenschutzbehörde nicht, um sich so Ärger zu ersparen.
Der Verstoß wird durch die verärgerten Hacker an die Datenschutzbehörde und die Betroffenen gemeldet. Alternativ findet ein Kunde seine Daten in einer im Internet veröffentlichten Liste mit dem Namen des Handwerkunternehmens.
Wenn auch nur 20% der betroffenen Kunden gegen den Handwerksbetrieb vorgehen, bedeutet dies
- 1.000 EUR Schmerzensgeld
- 220,27 EUR vorgerichtliche Anwaltskosten des Betroffenen
- 537,39 EUR Gerichts- und Prozesskosten des Betroffenen
von 500 Kunden.
Dies bedeutet ein wirtschaftliches Risiko in Höhe von 1.757,66 EUR pro Kunde. Insgesamt ist damit ein wirtschaftliches Risiko in Höhe von 878.830,00 EUR begründet.
Mit einer Excel-Liste. Eines mittelständischen Unternehmens.
Denn die betroffenen und verärgerten Kunden müssen lediglich begründet darlegen, dass der Kontrollverlust durch die Veröffentlichung der Daten ein beklemmende Gefühl und Unwohlsein hervorruft.
Konsequenzen für Unternehmen
Das Urteil muss als Weckruf für Unternehmen sein, sich im Datenschutzrecht und der Datensicherheit bestmöglich aufzustellen, um mit einem Datenschutzverstoß nicht existenziellen Risiken zu begegnen.
Wir beraten Unternehmen bei datenschutzrechtlichen Fragen mit einem interdisziplinären Team aus Informatikern und Rechtsanwälten, um die wichtige Schnittstellenleistung aus Daten- und IT-Sicherheit und Datenschutzrecht optimal abbilden zu können.
Zudem sollten Unternehmen ergänzend die eigene Cyber-Versicherung prüfen und ggfs. ergänzen lassen. Diese versichert zumeist auch einen Teil der Anwaltskosten.
