Der EuGH hat sich 2023 sehr zugunsten von Betroffenen nach Datenschutzvorfällen positioniert. Betroffene sollen möglichst leicht und ohne rechtliche Hürden die Möglichkeit haben, Entschädigungen (Schmerzensgeld) gem. Art. 82 DSGVO geltend machen zu können. 

Die Sorge von Unternehmern hierbei: Betroffene können die Rechtsprechung des EuGH dafür nutzen, um ein ein neues Geschäftsmodell, das  „DSGVO-Hopping“ zu betreiben und so massenhafte Schmerzensgeldansprüche gem. Art. 82 DSGVO zu generieren. 

Die Versuche, Schmerzensgeldansprüche zu generieren, kennen wir bereits aus dem s.g. „AGG-Hopping“. Dort haben sich Bewerbe auf Stellengesuche beworben, die diskriminierende Formulierungen enthielten, um dann eine Entschädigung hierfür zu erhalten. 

Ob das DSGVO-Hopping mit dem AGG-Hopping vergleichbar ist, erklären wir in unserem Video zum DSGVO-Hopping. 

Der EuGH hat in seiner MediaMarktSaturn Entscheidung zu den Vorlagefragen eines Schmerzensgeldes nach einer Datenpanne erstmals das weite Verständnis zum Art. 82 DSGVO eingeschränkt.

Ob Unternehmer nun etwas aufatmen können, erklären wir kurz und kompakt in diesem Video.

Das juristische Streitthema, wann nach einer Datenpanne Schmerzensgeld zu leisten ist, hat mit dem Urteil des EuGH vom 25.01.2024 – C-687/21 – eine weitere Facette hinzugewonnen. 

Mit dieser Entscheidung begrenzt der EuGH nach einer Vielzahl von betroffenenfreundlichen Entscheidungen die Reichweite des Art. 82 DSGVO etwas. Ein Grund zum Aufatmen ist dies für Unternehmer und Behörden jedoch nicht. 

Worüber hat der EuGH entschieden?

Hintergrund der EuGH Entscheidung war eine Schadenersatzklage eines Saturn-Elektromarkt-Kunden (heute MediaMarktSaturn) in Hagen. 

Bei der Warenausgabe kam zu einer Verwechslung, infolgedessen ein anderer Kunde Ware und Lieferschein mit personenbezogenen Daten an sich nahm und den Markt verließ. 

Der falsche Kunde konnte rund 30 Minuten später identifiziert werden. Die Waren- und Lieferscheinrückgabe erfolgt ebenfalls unmittelbar. Die Daten auf dem Lieferschein habe der andere Kunde nicht zur Kenntnis genommen. 

Dennoch erhob der Betroffene Klage auf Schmerzensgeld, weil er die Weitergabe seiner personenbezogenen Daten befürchte. 

Entscheidung C-687/21

Das Amtsgericht Hagen legte dem EuGH einen umfangreichen Fragenkatalog vor. Während eine Frage bereits unzulässig war (Ist Art. 82 DSGVO bestimmt genug?), sind andere Fragen inzwischen durch den EuGH bereits beantwortet worden.

Dennoch enthält die Entscheidung – bekräftigend oder nuancierend – einige Punkte, die für die Verteidigung und Abwehr des andernfalls weiten Verständnisses der Schadenersatzansprüche nach Datenschutzvorfällen von Bedeutung sind. 

1. Eine Datenpanne macht noch keine ungeeigneten TOMs

Der EuGH unterstrich, dass es bei der Beurteilung eines DSGVO Verstoßes nicht nur auf die isolierte Betrachtung der unbeabsichtigten Offenbarung personenbezogener Daten ankommt: 

„Somit darf ein Gericht, das mit einer solchen auf Art. 82 DSGVO gestützten Schadensersatzklage befasst ist, bei der Klärung der Frage, ob ein Verstoß gegen eine in dieser Verordnung vorgesehene Verpflichtung vorliegt, nicht allein den Umstand berücksichtigen, dass Mitarbeiter des Verantwortlichen irrtümlich ein Dokument mit personenbezogenen Daten an einen unbefugten Dritten weitergegeben haben. Es muss vielmehr auch sämtliche Beweise heranziehen, die der für die Verarbeitung Verantwortliche vorgelegt hat, um die Geeignetheit der technischen und organisatorischen Maßnahmen nachzuweisen, die er getroffen hat, um seinen Verpflichtungen aus den Art. 24 und 32 DSGVO nachzukommen.“

Damit wird die im Verfahren C‑340/21 entwickelte Rechtsprechungslinie bestätigt: 

Verantwortliche können im Rahmen der Beweislastumkehr darlegen und entlastend beweisen, dass trotz des Verstoßes sonst geeignete, technisch-organisatorische Maßnahmen vorhanden sind und deshalb ein Datenschutzverstoß doch entfällt.

Mit der weiteren Formulierung mach der EuGH aber auch noch einmal deutlich, dass es die Aufgabe des Verantwortlichen ist, umfangreich zu den TOM vorzutragen. Gelingt ihm dies nicht, bleibt es bei einem Verstoß gegen die DSGVO. 

2. Hypothetischer Schaden nicht ausreichend

Der EuGH hat in der Entscheidung C‑340/21 den Kontrollverlust als Schaden ausreichen lassen und damit erhebliche Praxisprobleme begründet: 

Einerseits muss es immer noch einen Schaden geben, der vom Kläger auch bewiesen werden muss.

Andererseits ist das Gefühl eines Kontrollverlusts ausreichend, um diesen Schaden zu begründen. 

Diese Kombination ist damit faktisch einem weiten Beurteilungsspielraum des Gerichts ausgesetzt, der insbesondere mit der Art des Datenschutzverstoßes zusammenhängen wird. 

So hat beispielsweise das Arbeitsgericht Suhl, Urteil vom 20.12.2023 – 6 Ca 704/23 – zwar einen Datenschutzverstoß festgestellt, zugleich einen Schaden wegen nur abstrakter Möglichkeiten einer Offenbarung gegenüber Dritten abgelehnt.

Diese Ausnahme wendet der EuGH in seiner Entscheidung ebenfalls an: 

„Gleichwohl obliegt es demjenigen, der eine auf Art. 82 DSGVO gestützte Schadensersatzklage erhebt, das Vorliegen eines solchen Schadens nachzuweisen. Insbesondere kann ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten nicht zu einer Entschädigung führen. Dies ist der Fall, wenn kein Dritter die fraglichen personenbezogenen Daten zur Kenntnis genommen hat.“

Eine nur hypothetische Möglichkeit eines Datenabflusses reicht damit grundsätzlich nicht aus. 

Denn andernfalls scheitert es an einem Kontrollverlust, wenn kein Dritter die „Kontrolle“ über die Daten gewinnen konnte. 

Rechtlich offen bleibt jedoch, wann nur eine nicht ausreichende, hypothetische Möglichkeit eines schadenbegründenden Kontrollverlusts besteht und wann der Kontrollverlust eingetreten ist. 

Denn während der EuGH in der Entscheidungsbegründung die Frage eines hypothetischen Risikos als nicht ausreichend erachtet, heißt es in der Entscheidung selbst:

„Art. 82 Abs. 1 der Verordnung 2016/679
ist dahin auszulegen, dass in einem Fall, in dem ein Dokument, das personenbezogene Daten enthält, an einen unbefugten Dritten weitergegeben wurde, der diese Daten erwiesenermaßen nicht zur Kenntnis genommen hat, nicht schon deshalb ein „immaterieller Schaden“ im Sinne dieser Bestimmung vorliegt, weil die betroffene Person befürchtet, dass im Anschluss an die Weitergabe, die es ermöglichte, vor der Rückgabe des Dokuments eine Kopie von ihm anzufertigen, in der Zukunft eine Weiterverbreitung oder gar ein Missbrauch ihrer Daten stattfindet.“

Damit bleibt die Frage offen, ob ein Schadenersatzanspruch (nur dann) entfällt, wenn „erwiesenermaßen“ keine Kenntnisnahme konkreter Dritter bestand bzw. bestehen konnte, dies also positiv ausgeschlossen werden kann oder ob niedrigere Maßstäbe anzusetzen sind, um einen Schaden aufgrund rein hypothetischer Risiken ablehnen zu können. Diese offen gelassene Frage wird aufgrund der hohen Praxisrelevanz durch den EuGH weiter zu konturieren sein. 

Praxisfolgen für Unternehmen

Als Begründung des Schadens, für den der Betroffene beweispflichtig ist, wird er den Datenabfluss / die Offenbarung seiner personenbezogenen Daten oder zumindest den naheliegenden Eintritt des Datenabflusses beweisen müssen

Der schadensbegründende Kontrollverlust soll sich dabei nicht uferlos auch auf hypothetische Erwägungen stützen können, die keinen Anknüpfungspunkt in der Wirklichkeit haben. 

Wenn, wie hier, die Kenntnisnahme der Personendaten ausgeschlossen werden kann, entfällt auch die Möglichkeit, dass diese – nicht zur Kenntnis genommenen Daten – vervielfältigt oder weitergegeben worden sind.  

Konsequenzen für Unternehmen 

Wer als Verantwortlicher nun auf erschwerte Bedingungen bei der Geltendmachung von Schmerzensgeldansprüchen gem. Art. 82 DSGVO hofft, der wird enttäuscht werden:

Der zu beurteilende Fall war besonders positiv für das Elektronikgeschäft: 

• die Daten waren ausgedruckt und nicht auf multiplizier- und kopierbaren Speichermedien offenbart,
• die Daten waren gerade einmal 30 Minuten in der Kontrolle Dritter,
• es konnte die Kenntnisnahme des Dritten sogar positiv ausgeschlossen werden. 
• das Schadenpotential für den Kontrollverlust ist damit äußerst überschaubar. 

Diese nahezu optimalen Verteidigungsmöglichkeiten werden sich in der Praxis nur selten finden lassen. 

Deshalb müssen Unternehmer auch trotz der neuen Nuance und einer der ersten Restriktionsbemühungen des Schmerzensgeldanspruchs gem. Art. 82 DSGVO weiterhin nach Datenschutzvorfällen mit 

• Reputationsschäden
• Bußgeldverfahren
• Massenhaften Schadenersatzforderungen 

rechnen. Die Entscheidung bietet allenfalls eine weitere Facette in den Verteidigungsansätzen. 

Das EuGH-Schufa Urteil hatte sich eigentlich mit einer wenig beliebten Wirtschaftsauskunftei und den „Scoring-Werten“ zu beschäftigen. 

Allerdings hat der EuGH weitreichende Erwägungen zur automatisierten Entscheidungsfindung getroffen, die für fast jedes Unternehmen, das KI-Lösungen einsetzt, von Relevanz ist. 

Wir erklären im Video kurz und kompakt, was der EuGH urteilte und welche Auswirkungen dies im konkreten Unternehmeralltag haben kann.

Wir hatten bereits in vorangegangenen Beiträgen anhand von ergangenen Urteilen dargestellt, wie kritisch die Vermischung von Arbeitsrecht und Datenschutzrecht für Arbeitgeber sein kann:

• Schmerzensgeld bei verspäteter Datenschutz-Auskunft gem. Art. 15 DSVO?
• LAG: Datenschutz im Arbeitsrecht als effektives Druckmittel?

Dabei zeigen auch neuer Auswertungen, dass Arbeitsgerichte Arbeitnehmern signifikant höhere Schmerzensgeldbeträge gem. Art. 82 DSGVO zuerkennen. 

Dies wird durch ein weiteres, arbeitsgerichtliches Urteil (ArbG Suhl –  6 Ca 704/23 – vom 20.12.2023) ergänzt, das nach der wegweisenden EuGH-Entscheidung zum Schadenersatz [VIDEO] nach einem Datenschutzvorfall erging. 

Sachverhalt

Ein ehemaliger Arbeitnehmer forderte die Datenauskunft gem. Art. 15 DSGVO, die der Arbeitgeber mit normaler E-Mail erteilte. Zudem wurden diese ohne Zustimmung an den Betriebsrat weitergeleitet. 

Der Arbeitnehmer forderte eine weitergehende Datenauskunft und erhob insgesamt zwei Beschwerden beim Thüringer Landesbeauftragen für den Datenschutz und die Informationsfreiheit.

Der Thüringer Landesbeauftrage für den Datenschutz und die Informationsfreiheit kam zum Ergebnis, dass die Übermittlung der Auskunft per E-Mail gegen die DSGVO verstieß. 

Der ehemalige Arbeitnehmer verklagte den Arbeitgeber wegen des Datenschutzverstoßes auf mindestens 10.000,00 € Schmerzensgeld. 

Entscheidung 

Das Arbeitsgericht Suhl kam zum Ergebnis, dass kein Schaden vorlag und wies die Klage ab. 

Das Vorliegen eines konkreten immateriellen Schadens habe der Arbeitnehmer nicht ausreichend dargetan. Im vorliegenden Fall sei nicht ersichtlich, inwieweit der Kläger einen Kontrollverlust erlitten haben will. Es sei nicht ersichtlich, dass der Kläger daran gehindert wurde, die ihn betreffenden personenbezogenen Daten zu kontrollieren. Darüber hinaus stellt nach Auffassung der Kammer ein bloßer, abstrakter Kontrollverlust auch keinen konkreten immateriellen Schaden dar.

Auch ein Eingriff in das Allgemeine Persönlichkeitsrecht sei nicht gegeben.

Einordnung 

Die Entscheidung ist trotz ihrer Kürze im Detail äußerst interessant. 

Denn es stand unstreitig fest, dass ein Datenschutzverstoß durch die unverschlüsselte Übersendung der Auskunft per E-Mail vorlag. 

Bei dem angesetzten Schmerzensgeldbetrag gem. § 287 ZPO in Höhe von mindestens 10.000,00 € war auch unter Berücksichtigung der arbeitsgerichtlichen „Zuschläge“ zu erwarten, dass die Klage nicht vollumfänglich Erfolg haben wird.

Aus Sicht des Arbeitsgerichts war jedoch die vollständige Klageabweisung mangels Schadens angezeigt. Das Gericht setzte sich dabei auch mit dem immer relevanteren „Kontrollverlust“ kurz auseinander. Denn dieser war in den letzten EuGH Entscheidungen entscheidend bzw. ausreichend, um den immateriellen Schaden zu begründen. 

Das Arbeitsgericht mochte sich vom Kontrollverlust jedoch nicht überzeugen:

„Das Vorliegen eines konkreten immateriellen Schadens hat der Kläger nicht ausreichend dargetan. Im vorliegenden Fall ist nicht ersichtlich, inwieweit der Kläger einen Kontrollverlust erlitten haben will. Es ist nicht ersichtlich, dass der Kläger daran gehindert wurde, die ihn betreffenden personenbezogenen Daten zu kontrollieren. Darüber hinaus stellt nach Auffassung der Kammer ein bloßer, abstrakter Kontrollverlust auch keinen konkreten immateriellen Schaden dar.“

Die Beurteilung erscheint durchaus überzeugend. Denn Kontrollverlust ist besonders in den Fällen der s.g. Dataleaks, also dem Abfließen und Veröffentlichen von Personendatensätzen im Internet diskutiert. Die Datenbanken können dann von einer Vielzahl an unbekannten Dritten als Personendatensatz verwendet oder sogar in Kombination mit anderen Datenlecks angereichert werden. 

In diesen Fällen muss ein Schaden durch lästige SMS, Anrufe oder E-Mails noch nicht konkret eingetreten sein, ausreichend ist der Kontrollverlust des Betroffenen über die Daten durch die Veröffentlichung. 

Ein solcher Kontrollverlust ist bei einer unverschlüsselten E-Mail jedoch deutlich abstrakter:

1. Unverschlüsselt ist im Kontext von E-Mails irreführend. Es besteht eine SSL-Verschlüsselung (Also verschlüsselter Transportweg zwischen Server und Client), jedoch keine Inhaltsverschlüsselung durch S/MIME oder PGP. 
2. Es ist nicht ersichtlich, welcher Kontrollverlust gegenüber einer inhaltsverschlüsselten E-Mail bestehen sollte. Es verbleibt eine stets eine abstrakte, grundsätzlich nicht auszuschließende Möglichkeit, dass Dritte den unverschlüsselten Korrespondenzweg abfangen und auslesen. 
3. Es bedarf nach wie vor des in Art. 82 DSGVO benannten „Schadens“. Für den Kontrollverlust als Schaden muss somit zumindest die – gegenüber der rechtmäßigen Datenverarbeitung – gesteigerte Wahrscheinlichkeit des Eintritts eines „Verlustes“ geben. 

Für Arbeitnehmer

Auch im Lichte der neuesten EuGH Rechtsprechung bleibt es dabei: Der Verstoß gegen die DSGVO führt nicht automatisch zu einem Schadenersatz. Es muss immer noch einen Schaden – der ersetzt werden kann – geben. Dies ist beim E-Mail-Versand jedenfalls problematisch zu begründen. 

Für Arbeitgeber 

Neben zwei Aufsichtsverfahren und einem Klageverfahren – wohlgemerkt rund 1,5 Jahre nach dem Austritt des Arbeitnehmers – zeigt sich, dass die DSGVO auch als Vehikel zum „Nachtreten“ genutzt werden kann und datenschutzrechtliche Verfahren stets ernst genommen werden müssen. 

Auskünfte sollten über eigene Download-Portale oder – soweit möglich – klassisch postalisch übermittelt werden.

Wir sind in den letzten Tagen seit Veröffentlichung der Entscheidung des EuGH zum Schmerzensgeld nach Datenpannen immer wieder von Geschäftsführern und Unternehmern gefragt worden, welche Auswirkungen das Urteil hat. 

In unserem Video haben wir den wichtigsten Inhalt kurz und kompakt zusammengefasst. Die Zusammenfassung kann zusätzlich in unserem Beitrag zum EuGH Urteil nachgelesen werden. 

Der Europäische Gerichtshof (EuGH) hat am 14.12.2023 zum s.g. immateriellen Schadenersatzanspruch (Schmerzensgeld) nach einem Datenschutzvorfall geurteilt und damit für fast alle Unternehmensbereiche hohe Haftungsrisiken begründet. 

Unternehmen und Behörden können nach einer Datenpanne sich auch dann schadenersatzpflichtig machen, wenn aus Sicht des Betroffenen noch keinerlei tatsächlicher Schaden eingetreten ist. Es genügt ein Unbehagen über den Kontrollverlust.

Zudem verschärft der EuGH die Anforderungen an den Beweis für Unternehmen. 

Die Entscheidung hat weitreichende Auswirkungen für den Arbeitsalltag von Unternehmern und Unternehmen, da hierdurch nahezu jede IT-Sicherheitspanne mit Personenbezug unmittelbar zu massenhaften Ansprüchen (Massenschäden) führen kann, die eine wirtschaftliche Gefahr für kleine und mittelständische Unternehmen bedeuten kann. 

Worüber hat der EuGH entschieden? 

Ausgangspunkt der Entscheidung war ein Datenschutzvorfall bei der Natsionalnaagentsia za prihodite (Nationale Agentur für Einnahmen) in Bulgarien.

Am 15. Juli 2019 wurde in den Medien darüber berichtet, dass ein unbefugter Zugang zum IT‑System der NAP erfolgt sei und dass infolge dieses Cyberangriffs in diesem System enthaltene personenbezogene Daten im Internet veröffentlicht worden seien (Datenleck).

Mehr als sechs Millionen Personen waren von diesen Ereignissen betroffen. Einige Hundert von ihnen, darunter die Klägerin des Ausgangsverfahrens, verklagten die NAP auf Ersatz des immateriellen Schadens, der sich aus der Offenlegung ihrer personenbezogenen Daten ergeben haben soll,

Eine Betroffene ging gegen die NAP vor und verklagte diese auf Schmerzensgeld. Zur Stützung dieses Antrags machte sie geltend, sie habe einen immateriellen Schaden erlitten, der sich aus einer Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DSGVO und insbesondere aus einer Verletzung der Sicherheit ergebe, die dadurch verursacht worden sei, dass die NAP gegen ihre Verpflichtungen insbesondere aus Art. 5 Abs. 1 Buchst. f sowie den Art. 24 und 32 DSGVO verstoßen habe.

Ihr immaterieller Schaden bestehe in der Befürchtung, dass ihre personenbezogenen Daten, die ohne ihre Einwilligung veröffentlicht worden seien, künftig missbräuchlich verwendet würden oder dass sie selbst erpresst, angegriffen oder sogar entführt werde.

Was bisher geschah

Vor dem EuGH Urteil vom 14.12.2023 wurde intensiv darüber gestritten, wann überhaupt ein Schmerzensgeldanspruch gegeben ist. 

Führt bereits ein Verstoß zu einem Schmerzensgeld oder müssen weitere Faktoren (z.B. Spam-Emails, Anrufe etc.) hinzutreten? 

Der EuGH hat 2023 zuletzt in der Entscheidung „Österreichische Post“, C‑300/21 noch darauf hingewiesen:

„Daher kann nicht davon ausgegangen werden, dass jeder „Verstoß“ gegen die Bestimmungen der DSGVO für sich genommen den Schadenersatzanspruch der betroffenen Person im Sinne von Art. 4 Nr. 1 dieser Verordnung eröffnet. Eine solche Auslegung liefe dem Wortlaut von Art. 82 Abs. 1 DSGVO zuwider.

Zum anderen ist hervorzuheben, dass die gesonderte Erwähnung eines „Schadens“ und eines „Verstoßes“ in Art. 82 Abs. 1 DSGVO überflüssig wäre, wenn der Unionsgesetzgeber davon ausgegangen wäre, dass ein Verstoß gegen die Bestimmungen der DSGVO für sich allein in jedem Fall ausreichend wäre, um einen Schadenersatzanspruch zu begründen.“

Vereinfacht formuliert bedeutet dies:

Ein Verstoß ist noch kein Schaden.

Gleichzeitig hatte der EuGH aber betont:

„Würde aber der Ersatz eines immateriellen Schadens von einer Erheblichkeitsschwelle abhängig gemacht, könnte dies die Kohärenz der mit der DSGVO eingeführten Regelung beeinträchtigen, da die graduelle Abstufung einer solchen Schwelle, von der die Möglichkeit, Schadenersatz zu erhalten, abhinge, je nach Beurteilung durch die angerufenen Gerichte unterschiedlich hoch ausfallen könnte.

Allerdings bedeutet diese Auslegung nicht, dass eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 dieser Verordnung darstellen.

Nach alledem ist auf die dritte Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass er einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat.“

Die Anforderungen dürfen jedoch auch nicht allzu hoch für einen immateriellen Schaden gesteckt werden. Andernfalls wären die Rechte von Betroffenen nach der DSGVO nicht effektiv durchsetzbar. 

In dem Spannungsfeld befand sich die Rechtsprechung und wurde von deutschen Gerichten unterschiedlich gewürdigt. Die Rechtsprechung neigte in den s.g. Facebook-Datenschutzfällen jedoch eher dazu, mindestens eine Beeinträchtigung durch E-Mails, SMS oder Anrufe als Beweis für einen Schaden zu verlangen. 

Ein Störgefühl alleine reicht dabei nicht aus. So entschied beispielsweise das OLG Hamm (7. Zivilsenat), Urteil vom 15.08.2023 – 7 U 19/23 hierzu: 

„Es oblag der Klägerin, einen über die Datenschutzverstöße und über den damit mittelbar einhergehenden Kontrollverlust hinausgehenden immateriellen Schaden in Form einer persönlichen / psychologischen Beeinträchtigung aufgrund der Datenschutzverstöße und des Kontrollverlustes darzulegen. Der von der Klägerin ins Feld geführte „völlige Kontrollverlust“ rechtfertigt als solcher keine Entschädigungsverpflichtung“

Entscheidung C‑340/21

Diese Verständnis hat der EuGH weiterentwickelt – und damit erhebliche Haftungsrisiken für Datenverarbeiter wie Unternehmen und Behörden geschaffen. Zu gleich fünf Fragen nahm der EuGH Stellung:

1. Datenpanne = Keine geeignete Datensicherheit?

Die erste Frage bezog sich auf den Umstand, ob die Art. 24 und 32 DSGVO dahin auszulegen sind, dass eine unbefugte Offenlegung von bzw. ein unbefugter Zugang zu personenbezogenen Daten durch „Dritte“ im Sinne von Art. 4 Nr. 10 DSGVO allein ausreicht, um anzunehmen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht „geeignet“ im Sinne der Art. 24 und 32 DSGVO waren.

Vereinfacht gesagt: Kann ein Datenschutzverstoß durch zu schlechte IT-Sicherheitsmaßnahmen aus dem Umstand abgeleitet werden, dass personenbezogene Daten abgeflossen sind? 

Der EuGH sagt Nein, aber:

„Folglich können die Art. 24 und 32 DSGVO nicht dahin verstanden werden, dass eine unbefugte Offenlegung von bzw. ein unbefugter Zugang zu personenbezogenen Daten durch einen Dritten für die Schlussfolgerung ausreicht, dass die von dem für die betreffende Verarbeitung Verantwortlichen ergriffenen Maßnahmen nicht im Sinne dieser Bestimmungen geeignet waren, ohne dass ihm die Möglichkeit eingeräumt wird, den Gegenbeweis zu erbringen“

Rechtlich bedeutet dies eine s.g. Beweislastumkehr zu Lasten des Unternehmens. Das Abfließen von Daten indiziert nicht geeignete technisch-organisatorische Maßnahmen (TOMs). Dies kann der Datenverarbeiter widerlegen, muss dies aber umgekehrt auch, wenn er sich entlasten will.

Nicht der Betroffene muss die mangelnde Datenschutzmaßnahmen darlegen, der Verarbeiter muss sie widerlegen. In der juristischen Praxis ist dies mit einem hohen Argumentations- und Dokumentationsaufwand verbunden. 

2. Datensicherheit wird gerichtlich nachgeprüft

Die zweite und dritte Frage betreffen den gerichtlichen Prüfungsmaßstab im Hinblick auf geeignete Sicherheitsmaßnahmen (TOMs). 

Zwar verfüge der Verantwortliche über einen gewissen Entscheidungsspielraum bei der Festlegung geeigneter technischer und organisatorischer Maßnahmen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, wie es Art. 32 Abs. 1 DSGVO verlangt. Gleichwohl muss ein nationales Gericht die komplexe Beurteilung, die der Verantwortliche vorgenommen hat, bewerten können und sich dabei vergewissern können, dass die vom Verantwortlichen gewählten Maßnahmen geeignet sind, ein solches Sicherheitsniveau zu gewährleisten (Rn. 43 der Entscheidung).

Daher darf sich ein nationales Gericht bei der Kontrolle der Geeignetheit der nach Art. 32 DSGVO getroffenen technischen und organisatorischen Maßnahmen nicht auf die Feststellung beschränken, in welcher Weise der für die betreffende Verarbeitung Verantwortliche seinen Verpflichtungen aus diesem Artikel nachkommen wollte, sondern muss eine materielle Prüfung dieser Maßnahmen anhand aller in diesem Artikel genannten Kriterien sowie der Umstände des Einzelfalls und der dem Gericht dafür zur Verfügung stehenden Beweismittel vornehmen. 

Eine solche Prüfung erfordert eine konkrete Untersuchung sowohl der Art als auch des Inhalts der vom Verantwortlichen getroffenen Maßnahmen, der Art und Weise, in der diese Maßnahmen angewandt wurden, und ihrer praktischen Auswirkungen auf das Sicherheitsniveau, das der Verantwortliche in Anbetracht der mit dieser Verarbeitung verbundenen Risiken zu gewährleisten hatte (Rn. 45 f. der Entscheidung).

Vereinfacht bedeutet dies: In Datenschutzverfahren werden IT-forensische Gutachten und die einzubringende IT-Expertise im Rahmen der Durchsetzung bzw. Abwehr von Datenschutzansprüchen gem. Art. 82 DSGVO deutlich zunehmen. 

Die Argumentation in Hinblick auf die technisch-organisatorischen Maßnahmen eines Unternehmens wird damit ein Kernelement, da dieses im Zweifel regelmäßig gutachterlich geprüft werden muss. 

Unternehmer und Behörden sollten deshalb in der Beratung und Vertretung auf interdisziplinäre Praxisgruppen aus Rechtsanwälten für Datenschutz und Informatikern und IT-Sicherheitsexperten zurückgreifen. 

3. Unternehmen haften auch für Hacker & Co.

Die vierte Frage bezieht sich auf die Verantwortlichkeit für Datenschutzvorfälle durch Dritte, z.B. bei Angriffen durch Hacker. 

Der EuGH hat hierzu eine unmissverständliche Position.

So heißt es in den ersten beiden Sätzen des 146. Erwägungsgrundes der DSGVO, der sich speziell auf Art. 82 DSGVO bezieht:

„Der Verantwortliche oder der Auftragsverarbeiter sollte Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, ersetzen“ und „von seiner Haftung befreit werden, wenn er nachweist, dass er in keiner Weise für den Schaden verantwortlich ist“.

Aus diesen Bestimmungen ergibt sich zum einen, dass der für die betreffende Verarbeitung Verantwortliche grundsätzlich einen Schaden ersetzen muss, der durch einen mit dieser Verarbeitung im Zusammenhang stehenden Verstoß gegen die DSGVO verursacht wurde, und zum anderen, dass er nur dann von seiner Haftung befreit werden kann, wenn er den Nachweis erbringt, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.

Wie die ausdrückliche Hinzufügung des Ausdrucks „in keinerlei Hinsicht“ im Lauf des Gesetzgebungsverfahrens zeigt, müssen die Umstände, unter denen der Verantwortliche von der ihm nach Art. 82 DSGVO drohenden zivilrechtlichen Haftung befreit werden kann, streng auf solche beschränkt werden, unter denen der Verantwortliche nachweisen kann, dass er selbst nicht für den Schaden verantwortlich ist

Vereinfacht bedeutet dies: Rechtlich kann eine Exkulpation bei Hackerangriffen o.ä. möglich sein. Die Anforderungen sind aber äußerst streng, denn der Erfolg des Datenabflusses lässt zumeist auf schlechte IT-Sicherheitsmaßnahmen hindeuten (s.o.) und eine Mitverantwortung ist bereits ausreichend, um die Haftung für Schäden durch Dritte zu begründen. 

4. Schadenersatz ohne Schaden

Während die vorangegangenen Fragen in der Sache bekannt waren und an der einen oder anderen Stelle für etwas Klarheit sorgten, ist die letzte Frage die entscheidende:

Ist Art. 82 Abs. 1 DSGVO so auszulegen, dass die Befürchtung eines zukünftigen Datenmissbrauchs von abgeflossenen bzw. geleakten Daten schon ausreicht, um einen immateriellen Schadenersatzanspruch zu begründen? 

Der EuGH führt hierzu grundsätzlich aus und stellt fest:

„Weiter ist im vorliegenden Fall festzustellen, dass Art. 82 Abs. 1 DSGVO nicht danach unterscheidet, ob der infolge eines erwiesenen Verstoßes gegen die Bestimmungen der DSGVO von der betroffenen Person behauptete „immaterielle Schaden“ mit einer zum Zeitpunkt ihres Schadenersatzantrags bereits erfolgten missbräuchlichen Verwendung ihrer personenbezogenen Daten durch Dritte verbunden ist oder ob er mit ihrer Angst verknüpft ist, dass eine solche Verwendung in Zukunft erfolgen könnte.“

Denn aus dieser beispielhaften Aufzählung der „Schäden“ im 85. Erwägungsgrund gehe hervor, dass der Unionsgesetzgeber unter den Begriff „Schaden“ insbesondere auch den bloßen „Verlust der Kontrolle“ über ihre eigenen Daten infolge eines Verstoßes gegen die DSGVO fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte.

Der EuGH schränkt dieses sehr weite Verständnis nur prozessual ein Stück weit ein: Das Gericht müsse bei einem behaupteten Kontrollverlusts prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann.

Vereinfacht: Verstoß + behaupteter Kontrollverlust = Schmerzensgeld. 

Ein von deutschen Gerichten zumeist angeführter „Schaden“ in Form von Störungen durch Phishing-Anrufen, SMS und E-Mails nach einem Datenleck ist damit nicht mehr erforderlich. 

Ausreichend ist, dass der Betroffene vorträgt und auf gerichtliche Nachfrage hin bekräftigend betont, dass er sich mit den verlustigen oder veröffentlichten Daten unwohl fühle und in Sorge vor einem zukünftigen Missbrauch lebe. 

Die Frage, ob bereits störende Anrufe oder SMS eingegangen sind, ist dann nur noch eine Frage der Höhe des erzielbaren Schmerzensgeldes.

Praxisfolgen für Unternehmen

Das Urteil schafft für jedes datenverarbeitende Unternehmen existenzielle wirtschaftliche Risiken. 

Ein Beispiel

 Ein mittelständiger Handwerksbetrieb speichert seine Kundendaten auf einem Büro-PC oder Server in einer Excel-Liste. Die Sekretärin klickt auf ein infiziertes Doc-Dokument und installiert damit unbeabsichtigt einen Virus. 

Durch den Virus fließt auch die Excel-Liste mit 2.500 Kundendatensätzen ab. Hacker verschlüsseln den PC und drohen mit der Veröffentlichung der Datensätze, wenn nicht innerhalb von 48 Stunden 500.000,00 $ in Cryptowährungen überwiesen werde. Die Liste wird veröffentlicht. 

Der Handwerksmeister kann keine Schulungen, Antivirenprogramme, Handlungsanweisungen, PC-Rechteinschränkungen oder dokumentierte TOMs vorweisen. Der Handwerksmeister meldet den Vorfall auch der Datenschutzbehörde nicht, um sich so Ärger zu ersparen. 

Der Verstoß wird durch die verärgerten Hacker an die Datenschutzbehörde und die Betroffenen gemeldet. Alternativ findet ein Kunde seine Daten in einer im Internet veröffentlichten Liste mit dem Namen des Handwerkunternehmens.

Wenn auch nur 20% der betroffenen Kunden gegen den Handwerksbetrieb vorgehen, bedeutet dies 

• 1.000 EUR Schmerzensgeld 
• 220,27 EUR vorgerichtliche Anwaltskosten des Betroffenen
• 537,39 EUR Gerichts- und Prozesskosten des Betroffenen

von 500 Kunden.

Dies bedeutet ein wirtschaftliches Risiko in Höhe von 1.757,66 EUR pro Kunde. Insgesamt ist damit ein wirtschaftliches Risiko in Höhe von 878.830,00 EUR begründet.

Mit einer Excel-Liste. Eines mittelständischen Unternehmens. 

Denn die betroffenen und verärgerten Kunden müssen lediglich begründet darlegen, dass der Kontrollverlust durch die Veröffentlichung der Daten ein beklemmende Gefühl und Unwohlsein hervorruft. 

Konsequenzen für Unternehmen 

Das Urteil muss als Weckruf für Unternehmen sein, sich im Datenschutzrecht und der Datensicherheit bestmöglich aufzustellen, um mit einem Datenschutzverstoß nicht existenziellen Risiken zu begegnen. 

Wir beraten Unternehmen bei datenschutzrechtlichen Fragen mit einem interdisziplinären Team aus Informatikern und Rechtsanwälten, um die wichtige Schnittstellenleistung aus Daten- und IT-Sicherheit und Datenschutzrecht optimal abbilden zu können. 

Zudem sollten Unternehmen ergänzend die eigene Cyber-Versicherung prüfen und ggfs. ergänzen lassen. Diese versichert zumeist auch einen Teil der Anwaltskosten.

Die Auskunft gem. Art. 15 DSGVO ist ein zentraler Anspruch von Betroffenen im Rahmen der DSGVO, um zu wissen, welche Daten ein Unternehmen oder eine Behörde über die eigene Person gespeichert hat. 

Doch welche Folgen muss ein Unternehmen befürchten, wenn es eine Auskunft verspätet oder unvollständig beauskunft? Hat der Betroffene dann auch einen Anspruch auf Schadenersatz gem. Art. 82 DSGVO? 

Das Arbeitsgericht Duisburg sah es so und sprach dem Betroffenen aufgrund eines vorsätzlichen Verstoßes 10.000 € Schmerzensgeld zu, der Arbeitgeber ging in Berufung. Das Landesarbeitsgericht Düsseldorf (Landesarbeitsgericht Düsseldorf, Urteil vom 28.11.2023 – 3 Sa 285/23) hatte über diese rechtlich umstrittene Frage zu entscheiden.

Sachverhalt

Der Kläger war bei dem Kundenservice eines Immobilienunternehmens, der Beklagten, beschäftigt. Bereits im Jahre 2020 hatte er einen Antrag auf Auskunft gemäß Art. 15 DSGVO gestellt, den die Beklagte beantwortet hatte.

Mit Schreiben vom 01.10.2022 verlangte er erneut Auskunft und eine Datenkopie auf der Grundlage von Art. 15 DSGVO. Er setzte eine Frist bis zum 16.10.2022.

Die ihm mit Schreiben vom 27.10.2022 erteilte Auskunft rügte der Kläger als

1. verspätetet und
2. inhaltlich mangelhaft.

Es fehlten die konkreten Angaben zur Dauer der Datenspeicherung und die namentlich bezeichneten Empfänger seiner Daten. Außerdem sei die Datenkopie unvollständig.

Mit Schreiben vom 11.11.2022 teilte die Beklagte dem Kläger mit, dass die Angaben zu den Datenempfängern die Betroffenen in der Regel nicht interessierten und daher nur kategorisiert mitgeteilt worden seien. Zudem konkretisierte sie die Angaben zur Speicherdauer und die Datenkopie. Mit Schreiben vom 18.11.2022 verlangte der Kläger erneut die namentliche Nennung der Empfänger und auch nähere Angaben zur Speicherdauer. Die Datenkopie sei weiterhin unzureichend. Die Beklagte konkretisierte die Informationen mit Schreiben vom 01.12.2022.

Der Kläger hat von der Beklagten gemäß Art. 82 Abs. 1 DSGVO eine Geldentschädigung nach Ermessen des Gerichts verlangt, die 2.000 Euro nicht unterschreiten sollte, weil sein Auskunftsrecht aus Art. 15 DSGVO durch die Beklagte mehrfach verletzt worden sei. Diese hat dem widersprochen, weil es u.a. bereits an einem immateriellen Schaden des Klägers fehle.

Entscheidung des LAG zum Schadenersatz

Das LAG Düsseldorf sah dies anders und wies die Klage ab. 

Zwar sei es richtig, dass die Auskunft unvollständig und verspätete erteilt worden sei. Dies begründe jedoch keinen Anspruch auf Entschädigung aus gleich zwei Gründen: 

1. Ein Auskunftsverstoß (Art. 15 DSGVO) falle nicht unter den Entschädigungsanspruch (Art. 82 DSGVO) und 
2. Aus dem Verstoß resultiere noch kein immaterieller Schaden. 

Der bloße vom Kläger angeführte Kontrollverlust über die Daten genüge nicht und sei mit dem Verstoß gegen Art. 15 DSGVO letztlich identisch. Zum immateriellen Schaden fehlte es an jeglichem konkreten Vortrag des Klägers.

Das Landesarbeitsgericht hat die Revision zugelassen, sodass höchstrichterlich das Bundesarbeitsgericht (BAG) hierüber entscheiden wird. 

Einordnung für Unternehmer

Die Entscheidung des LAG unterstreicht den aus Unternehmenssicht anhaltenden Trend, die DSGVO für arbeitsgerichtliche Konflikte zu nutzen. Hätte das beklagte Unternehmen frühzeitig vollständig die datenschutzrechtlichen Pflichten erfüllt, hätte das Verfahren vermieden werden können. 

Die Entscheidung macht aber auch unabhängig vom arbeitsrechtlichen Einschlag auf zwei Grundfragen des Entschädigungsanspruchs aufmerksam, die wohl auch weiterhin heftig umstritten sein dürften:

Die Frage, ob eine unzulängliche Erfüllung des Auskunftsanspruchs – sowohl zeitlich als auch im Umfang – überhaupt ein Verstoß i.S.d. Art. 82 DSGVO sein kann. Denn Art. 82 Abs. 1 DSGVO ist allgemein gefasst:

„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“

Nach dem Wortlaut ist auch eine nicht rechtzeitig oder unvollständig erteilte Auskunft ein Verstoß i.S.d. Art. 82 DSGVO. Eine Einschränkung, z.B. durch einen beschränkenden Verweis auf bestimmte Artikel der DSGVO, ist nicht vorgenommen worden. 

Über die Frage besteht in der Rechtsprechung durchaus Streit. 

Das OLG Köln, Urteil vom 10.8.2023 – 15 U 184/22 (LG Bonn Urt. v. 29.8.2022 – 9 O 158/21) sieht diese Rechtsfrage abweichend:

„Zwar hat der Senat entschieden, dass Verstöße gegen Auskunftspflichten aus Art. 15 DS-GVO durchaus eine Grundlage für einen Ersatzanspruch gem. Art. 82 I DS-GVO sein können (Senat 14.7.2022 – 15 U 137/21, NJW-RR 2023, 564 Rn. 14).“

Dort scheiterte ein Schadenersatzanspruch an dem Punkt, den das LAG Düsseldorf ergänzend anführt: am Schaden. 

Auch der EuGH hat mit seinem sehr weitreichenden Urteil vom 4.5.2023 (C-300/21) entschieden, dass jedenfalls der bloße Verstoß gegen Bestimmungen der Datenschutz-Grundverordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen. Dies würde nämlich andernfalls zu einer unzulässigen Verschleifung aus Verstoß und dem Schaden führen. Der Verstoß alleine führt nicht bereits zu einem Schaden. 

Hinsichtlich dieser hochstreitigen Frage besteht auch weiterhin Klärungsbedarf durch den EuGH, da die Frage des „Schadens“ auch bei anderen Verstößen von hoher Bedeutung ist und beispielswiese im Rahmen von massenhaften Schadenersatzansprüchen gegen Konzerne sozialer Netzwerke maßgeblich über Obsiegen und Verlieren entscheidet. 

Unternehmer sollten deshalb 

1. Auskunftsbegehren ernst nehmen und diese fristgerecht und vollumfänglich beantworten (lassen).
2. Ansprüche aus einem Datenschutzvorfall, auch im Bezug auf die Auskunft, ernst nehmen, da eine höchstrichterliche Rechtsprechung insoweit fehlt und 
3. zum eigenen Risikomanagement frühzeitig einen Rechtsanwalt für Datenschutz hinzuziehen.