Bei dem kontroversen Telemedizinanbieter DrAnsay.com kam es zu einer schwerwiegenden Datenpanne. Dies bestätigte der Geschäftsführer Dr. Can Ansay am 14.05.2024 in seiner eigenen Pressemitteilung. 

Welche Daten sind betroffen?

Demnach seien Patientendaten der verschriebenen Rezepte über eine Suchmaschine frei einseh- und abrufbar. Hierzu zählen 

• Ausstellender Arzt, z.T. mit Fachrichtung wie Neurologie
• Vorname und Nachname
• Anschrift, PLZ und Ort
• Geburtsdatum
• Datum des Rezepts 

Anhand der Pressemitteilung von Dr. Ansay wird zudem der Bezug zu den bestellten „Blüten“ – gemeint ist wohl das online verschriebene Medizinalcannabis. Damit wird in der Gesamtschau deutlich, dass es sich überwiegend oder sämtlich um Cannabis-Konsumenten handelt. 

Welche Nutzer sind betroffen? 

Dr. Ansay selbst gibt an, dass rund 20% der Nutzer betroffen seien. 

Unser eigene Recherche am 16.05.2024 ergab, dass über 2.000 Nutzerdatensätze über die Suchmaschine öffentlich einsehbar waren. Auch die in der s.g. Sitemap verlinkten Rezept-PDFs beliefen sich auf etwas über 2.000 Datensätze,.

Laut Heise.de gingen bei dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit bereits „zahlreiche Beschwerden“ ein. 

Dr. Ansay selbst kündigte in seiner vormaligen Pressemitteilung vom 14..05.2024, die inzwischen inhaltlich stark verkürzt worden ist, an, dass man die betroffenen Nutzer per E-Mail kontaktieren werde. Die Pressemitteilung ist (Stand 17.05.2024) inzwischen stark verkürzt worden. 

Der EuGH hat sich 2023 sehr zugunsten von Betroffenen nach Datenschutzvorfällen positioniert. Betroffene sollen möglichst leicht und ohne rechtliche Hürden die Möglichkeit haben, Entschädigungen (Schmerzensgeld) gem. Art. 82 DSGVO geltend machen zu können. 

Die Sorge von Unternehmern hierbei: Betroffene können die Rechtsprechung des EuGH dafür nutzen, um ein ein neues Geschäftsmodell, das  „DSGVO-Hopping“ zu betreiben und so massenhafte Schmerzensgeldansprüche gem. Art. 82 DSGVO zu generieren. 

Die Versuche, Schmerzensgeldansprüche zu generieren, kennen wir bereits aus dem s.g. „AGG-Hopping“. Dort haben sich Bewerbe auf Stellengesuche beworben, die diskriminierende Formulierungen enthielten, um dann eine Entschädigung hierfür zu erhalten. 

Ob das DSGVO-Hopping mit dem AGG-Hopping vergleichbar ist, erklären wir in unserem Video zum DSGVO-Hopping. 

Der EuGH hat in seiner MediaMarktSaturn Entscheidung zu den Vorlagefragen eines Schmerzensgeldes nach einer Datenpanne erstmals das weite Verständnis zum Art. 82 DSGVO eingeschränkt.

Ob Unternehmer nun etwas aufatmen können, erklären wir kurz und kompakt in diesem Video.

Das juristische Streitthema, wann nach einer Datenpanne Schmerzensgeld zu leisten ist, hat mit dem Urteil des EuGH vom 25.01.2024 – C-687/21 – eine weitere Facette hinzugewonnen. 

Mit dieser Entscheidung begrenzt der EuGH nach einer Vielzahl von betroffenenfreundlichen Entscheidungen die Reichweite des Art. 82 DSGVO etwas. Ein Grund zum Aufatmen ist dies für Unternehmer und Behörden jedoch nicht. 

Worüber hat der EuGH entschieden?

Hintergrund der EuGH Entscheidung war eine Schadenersatzklage eines Saturn-Elektromarkt-Kunden (heute MediaMarktSaturn) in Hagen. 

Bei der Warenausgabe kam zu einer Verwechslung, infolgedessen ein anderer Kunde Ware und Lieferschein mit personenbezogenen Daten an sich nahm und den Markt verließ. 

Der falsche Kunde konnte rund 30 Minuten später identifiziert werden. Die Waren- und Lieferscheinrückgabe erfolgt ebenfalls unmittelbar. Die Daten auf dem Lieferschein habe der andere Kunde nicht zur Kenntnis genommen. 

Dennoch erhob der Betroffene Klage auf Schmerzensgeld, weil er die Weitergabe seiner personenbezogenen Daten befürchte. 

Entscheidung C-687/21

Das Amtsgericht Hagen legte dem EuGH einen umfangreichen Fragenkatalog vor. Während eine Frage bereits unzulässig war (Ist Art. 82 DSGVO bestimmt genug?), sind andere Fragen inzwischen durch den EuGH bereits beantwortet worden.

Dennoch enthält die Entscheidung – bekräftigend oder nuancierend – einige Punkte, die für die Verteidigung und Abwehr des andernfalls weiten Verständnisses der Schadenersatzansprüche nach Datenschutzvorfällen von Bedeutung sind. 

1. Eine Datenpanne macht noch keine ungeeigneten TOMs

Der EuGH unterstrich, dass es bei der Beurteilung eines DSGVO Verstoßes nicht nur auf die isolierte Betrachtung der unbeabsichtigten Offenbarung personenbezogener Daten ankommt: 

„Somit darf ein Gericht, das mit einer solchen auf Art. 82 DSGVO gestützten Schadensersatzklage befasst ist, bei der Klärung der Frage, ob ein Verstoß gegen eine in dieser Verordnung vorgesehene Verpflichtung vorliegt, nicht allein den Umstand berücksichtigen, dass Mitarbeiter des Verantwortlichen irrtümlich ein Dokument mit personenbezogenen Daten an einen unbefugten Dritten weitergegeben haben. Es muss vielmehr auch sämtliche Beweise heranziehen, die der für die Verarbeitung Verantwortliche vorgelegt hat, um die Geeignetheit der technischen und organisatorischen Maßnahmen nachzuweisen, die er getroffen hat, um seinen Verpflichtungen aus den Art. 24 und 32 DSGVO nachzukommen.“

Damit wird die im Verfahren C‑340/21 entwickelte Rechtsprechungslinie bestätigt: 

Verantwortliche können im Rahmen der Beweislastumkehr darlegen und entlastend beweisen, dass trotz des Verstoßes sonst geeignete, technisch-organisatorische Maßnahmen vorhanden sind und deshalb ein Datenschutzverstoß doch entfällt.

Mit der weiteren Formulierung mach der EuGH aber auch noch einmal deutlich, dass es die Aufgabe des Verantwortlichen ist, umfangreich zu den TOM vorzutragen. Gelingt ihm dies nicht, bleibt es bei einem Verstoß gegen die DSGVO. 

2. Hypothetischer Schaden nicht ausreichend

Der EuGH hat in der Entscheidung C‑340/21 den Kontrollverlust als Schaden ausreichen lassen und damit erhebliche Praxisprobleme begründet: 

Einerseits muss es immer noch einen Schaden geben, der vom Kläger auch bewiesen werden muss.

Andererseits ist das Gefühl eines Kontrollverlusts ausreichend, um diesen Schaden zu begründen. 

Diese Kombination ist damit faktisch einem weiten Beurteilungsspielraum des Gerichts ausgesetzt, der insbesondere mit der Art des Datenschutzverstoßes zusammenhängen wird. 

So hat beispielsweise das Arbeitsgericht Suhl, Urteil vom 20.12.2023 – 6 Ca 704/23 – zwar einen Datenschutzverstoß festgestellt, zugleich einen Schaden wegen nur abstrakter Möglichkeiten einer Offenbarung gegenüber Dritten abgelehnt.

Diese Ausnahme wendet der EuGH in seiner Entscheidung ebenfalls an: 

„Gleichwohl obliegt es demjenigen, der eine auf Art. 82 DSGVO gestützte Schadensersatzklage erhebt, das Vorliegen eines solchen Schadens nachzuweisen. Insbesondere kann ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten nicht zu einer Entschädigung führen. Dies ist der Fall, wenn kein Dritter die fraglichen personenbezogenen Daten zur Kenntnis genommen hat.“

Eine nur hypothetische Möglichkeit eines Datenabflusses reicht damit grundsätzlich nicht aus. 

Denn andernfalls scheitert es an einem Kontrollverlust, wenn kein Dritter die „Kontrolle“ über die Daten gewinnen konnte. 

Rechtlich offen bleibt jedoch, wann nur eine nicht ausreichende, hypothetische Möglichkeit eines schadenbegründenden Kontrollverlusts besteht und wann der Kontrollverlust eingetreten ist. 

Denn während der EuGH in der Entscheidungsbegründung die Frage eines hypothetischen Risikos als nicht ausreichend erachtet, heißt es in der Entscheidung selbst:

„Art. 82 Abs. 1 der Verordnung 2016/679
ist dahin auszulegen, dass in einem Fall, in dem ein Dokument, das personenbezogene Daten enthält, an einen unbefugten Dritten weitergegeben wurde, der diese Daten erwiesenermaßen nicht zur Kenntnis genommen hat, nicht schon deshalb ein „immaterieller Schaden“ im Sinne dieser Bestimmung vorliegt, weil die betroffene Person befürchtet, dass im Anschluss an die Weitergabe, die es ermöglichte, vor der Rückgabe des Dokuments eine Kopie von ihm anzufertigen, in der Zukunft eine Weiterverbreitung oder gar ein Missbrauch ihrer Daten stattfindet.“

Damit bleibt die Frage offen, ob ein Schadenersatzanspruch (nur dann) entfällt, wenn „erwiesenermaßen“ keine Kenntnisnahme konkreter Dritter bestand bzw. bestehen konnte, dies also positiv ausgeschlossen werden kann oder ob niedrigere Maßstäbe anzusetzen sind, um einen Schaden aufgrund rein hypothetischer Risiken ablehnen zu können. Diese offen gelassene Frage wird aufgrund der hohen Praxisrelevanz durch den EuGH weiter zu konturieren sein. 

Praxisfolgen für Unternehmen

Als Begründung des Schadens, für den der Betroffene beweispflichtig ist, wird er den Datenabfluss / die Offenbarung seiner personenbezogenen Daten oder zumindest den naheliegenden Eintritt des Datenabflusses beweisen müssen

Der schadensbegründende Kontrollverlust soll sich dabei nicht uferlos auch auf hypothetische Erwägungen stützen können, die keinen Anknüpfungspunkt in der Wirklichkeit haben. 

Wenn, wie hier, die Kenntnisnahme der Personendaten ausgeschlossen werden kann, entfällt auch die Möglichkeit, dass diese – nicht zur Kenntnis genommenen Daten – vervielfältigt oder weitergegeben worden sind.  

Konsequenzen für Unternehmen 

Wer als Verantwortlicher nun auf erschwerte Bedingungen bei der Geltendmachung von Schmerzensgeldansprüchen gem. Art. 82 DSGVO hofft, der wird enttäuscht werden:

Der zu beurteilende Fall war besonders positiv für das Elektronikgeschäft: 

• die Daten waren ausgedruckt und nicht auf multiplizier- und kopierbaren Speichermedien offenbart,
• die Daten waren gerade einmal 30 Minuten in der Kontrolle Dritter,
• es konnte die Kenntnisnahme des Dritten sogar positiv ausgeschlossen werden. 
• das Schadenpotential für den Kontrollverlust ist damit äußerst überschaubar. 

Diese nahezu optimalen Verteidigungsmöglichkeiten werden sich in der Praxis nur selten finden lassen. 

Deshalb müssen Unternehmer auch trotz der neuen Nuance und einer der ersten Restriktionsbemühungen des Schmerzensgeldanspruchs gem. Art. 82 DSGVO weiterhin nach Datenschutzvorfällen mit 

• Reputationsschäden
• Bußgeldverfahren
• Massenhaften Schadenersatzforderungen 

rechnen. Die Entscheidung bietet allenfalls eine weitere Facette in den Verteidigungsansätzen. 

Das EuGH-Schufa Urteil hatte sich eigentlich mit einer wenig beliebten Wirtschaftsauskunftei und den „Scoring-Werten“ zu beschäftigen. 

Allerdings hat der EuGH weitreichende Erwägungen zur automatisierten Entscheidungsfindung getroffen, die für fast jedes Unternehmen, das KI-Lösungen einsetzt, von Relevanz ist. 

Wir erklären im Video kurz und kompakt, was der EuGH urteilte und welche Auswirkungen dies im konkreten Unternehmeralltag haben kann.

Wir sind in den letzten Tagen seit Veröffentlichung der Entscheidung des EuGH zum Schmerzensgeld nach Datenpannen immer wieder von Geschäftsführern und Unternehmern gefragt worden, welche Auswirkungen das Urteil hat. 

In unserem Video haben wir den wichtigsten Inhalt kurz und kompakt zusammengefasst. Die Zusammenfassung kann zusätzlich in unserem Beitrag zum EuGH Urteil nachgelesen werden. 

Der Europäische Gerichtshof (EuGH) hat in diesem Jahr gleich mehrfach zur DSGVO geurteilt und sich dabei insbesondere mit dem Schmerzensgeld nach Datenschutzverstößen gem. Art. 82 DSGVO beschäftigt – mit teilweise dramatischen Haftungsrisiken für Unternehmer. 

Mit den „SCHUFA“ Urteilen des EuGH vom 07.12.2023 – der EuGH hat zwei Urteile zu insgesamt drei Vorlagen entschieden – setzt der EuGH zusätzliche Leitplanken für die automatisierte Entscheidungsfindung, die auch Auswirkungen für den Einsatz von KI-Lösungen wie ChatGPT in Unternehmen haben. 

Wir erklären, worauf Unternehmen aufgrund des SCHUFA Urteils nun im Arbeitsalltag achten müssen.

Wenn Algorithmen entscheiden 

Der Sachverhalt des ersten SCHUFA Verfahrens ist einfach:

Die unfreiwilligen „Kunden“ der SCHUFA verlangten die Löschung ihrer Bonitätsdaten, hier hinsichtlich der s.g. Restschuldbefreiung nach einem Insolvenzverfahren, was die SCHUFA verweigerte. 

Auch die Landesdatenschutzbehörde war der Auffassung, dass die Verarbeitung durch die SCHUFA nicht rechtswidrig war. Hiergegen gingen die Betroffenen gerichtlich vor. Das zuständige Verwaltungsgericht legte die rechtlichen Grundsatzfragen hinsichtlich der DSGVO dem EuGH vor. 

Dabei ging es um zwei zentrale Punkte:

1. Durfte die SCHUFA Informationen aus öffentlichen Registern über Schuldnerdaten länger speichern, als das Register selbst? 
2. Darf die SCHUFA derartige Daten „auf Vorrat“ speichern, um diese bei einer Bonitätsabfrage dann zur Verfügung zu stellen? 

In der zweiten Entscheidung des EuGH vom 07.12.2023,  C‑634/21, zur SCHUFA wurde dem Betroffenen aufgrund einer „negativen SCHUFA“ ein Kredit verwehrt.

Auch hier wurde die Landesdatenschutzbehörde eingeschaltet – auch hier ohne Erfolg. 

Dabei ging es um die Frage: 

1. Liegt eine automatisierte Entscheidung gem. Art. 22 DSGVO vor, wenn der automatisiert erstellte SCHUFA-Score durch die anfragenden Unternehmen wie Banken faktisch ohne weitere Prüfung übernommen werden?
2. Ist dies rechtlich zulässig? 

Der Europäische Gerichtshof (EuGH) hat am 14.12.2023 zum s.g. immateriellen Schadenersatzanspruch (Schmerzensgeld) nach einem Datenschutzvorfall geurteilt und damit für fast alle Unternehmensbereiche hohe Haftungsrisiken begründet. 

Unternehmen und Behörden können nach einer Datenpanne sich auch dann schadenersatzpflichtig machen, wenn aus Sicht des Betroffenen noch keinerlei tatsächlicher Schaden eingetreten ist. Es genügt ein Unbehagen über den Kontrollverlust.

Zudem verschärft der EuGH die Anforderungen an den Beweis für Unternehmen. 

Die Entscheidung hat weitreichende Auswirkungen für den Arbeitsalltag von Unternehmern und Unternehmen, da hierdurch nahezu jede IT-Sicherheitspanne mit Personenbezug unmittelbar zu massenhaften Ansprüchen (Massenschäden) führen kann, die eine wirtschaftliche Gefahr für kleine und mittelständische Unternehmen bedeuten kann. 

Worüber hat der EuGH entschieden? 

Ausgangspunkt der Entscheidung war ein Datenschutzvorfall bei der Natsionalnaagentsia za prihodite (Nationale Agentur für Einnahmen) in Bulgarien.

Am 15. Juli 2019 wurde in den Medien darüber berichtet, dass ein unbefugter Zugang zum IT‑System der NAP erfolgt sei und dass infolge dieses Cyberangriffs in diesem System enthaltene personenbezogene Daten im Internet veröffentlicht worden seien (Datenleck).

Mehr als sechs Millionen Personen waren von diesen Ereignissen betroffen. Einige Hundert von ihnen, darunter die Klägerin des Ausgangsverfahrens, verklagten die NAP auf Ersatz des immateriellen Schadens, der sich aus der Offenlegung ihrer personenbezogenen Daten ergeben haben soll,

Eine Betroffene ging gegen die NAP vor und verklagte diese auf Schmerzensgeld. Zur Stützung dieses Antrags machte sie geltend, sie habe einen immateriellen Schaden erlitten, der sich aus einer Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DSGVO und insbesondere aus einer Verletzung der Sicherheit ergebe, die dadurch verursacht worden sei, dass die NAP gegen ihre Verpflichtungen insbesondere aus Art. 5 Abs. 1 Buchst. f sowie den Art. 24 und 32 DSGVO verstoßen habe.

Ihr immaterieller Schaden bestehe in der Befürchtung, dass ihre personenbezogenen Daten, die ohne ihre Einwilligung veröffentlicht worden seien, künftig missbräuchlich verwendet würden oder dass sie selbst erpresst, angegriffen oder sogar entführt werde.

Was bisher geschah

Vor dem EuGH Urteil vom 14.12.2023 wurde intensiv darüber gestritten, wann überhaupt ein Schmerzensgeldanspruch gegeben ist. 

Führt bereits ein Verstoß zu einem Schmerzensgeld oder müssen weitere Faktoren (z.B. Spam-Emails, Anrufe etc.) hinzutreten? 

Der EuGH hat 2023 zuletzt in der Entscheidung „Österreichische Post“, C‑300/21 noch darauf hingewiesen:

„Daher kann nicht davon ausgegangen werden, dass jeder „Verstoß“ gegen die Bestimmungen der DSGVO für sich genommen den Schadenersatzanspruch der betroffenen Person im Sinne von Art. 4 Nr. 1 dieser Verordnung eröffnet. Eine solche Auslegung liefe dem Wortlaut von Art. 82 Abs. 1 DSGVO zuwider.

Zum anderen ist hervorzuheben, dass die gesonderte Erwähnung eines „Schadens“ und eines „Verstoßes“ in Art. 82 Abs. 1 DSGVO überflüssig wäre, wenn der Unionsgesetzgeber davon ausgegangen wäre, dass ein Verstoß gegen die Bestimmungen der DSGVO für sich allein in jedem Fall ausreichend wäre, um einen Schadenersatzanspruch zu begründen.“

Vereinfacht formuliert bedeutet dies:

Ein Verstoß ist noch kein Schaden.

Gleichzeitig hatte der EuGH aber betont:

„Würde aber der Ersatz eines immateriellen Schadens von einer Erheblichkeitsschwelle abhängig gemacht, könnte dies die Kohärenz der mit der DSGVO eingeführten Regelung beeinträchtigen, da die graduelle Abstufung einer solchen Schwelle, von der die Möglichkeit, Schadenersatz zu erhalten, abhinge, je nach Beurteilung durch die angerufenen Gerichte unterschiedlich hoch ausfallen könnte.

Allerdings bedeutet diese Auslegung nicht, dass eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 dieser Verordnung darstellen.

Nach alledem ist auf die dritte Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass er einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat.“

Die Anforderungen dürfen jedoch auch nicht allzu hoch für einen immateriellen Schaden gesteckt werden. Andernfalls wären die Rechte von Betroffenen nach der DSGVO nicht effektiv durchsetzbar. 

In dem Spannungsfeld befand sich die Rechtsprechung und wurde von deutschen Gerichten unterschiedlich gewürdigt. Die Rechtsprechung neigte in den s.g. Facebook-Datenschutzfällen jedoch eher dazu, mindestens eine Beeinträchtigung durch E-Mails, SMS oder Anrufe als Beweis für einen Schaden zu verlangen. 

Ein Störgefühl alleine reicht dabei nicht aus. So entschied beispielsweise das OLG Hamm (7. Zivilsenat), Urteil vom 15.08.2023 – 7 U 19/23 hierzu: 

„Es oblag der Klägerin, einen über die Datenschutzverstöße und über den damit mittelbar einhergehenden Kontrollverlust hinausgehenden immateriellen Schaden in Form einer persönlichen / psychologischen Beeinträchtigung aufgrund der Datenschutzverstöße und des Kontrollverlustes darzulegen. Der von der Klägerin ins Feld geführte „völlige Kontrollverlust“ rechtfertigt als solcher keine Entschädigungsverpflichtung“

Entscheidung C‑340/21

Diese Verständnis hat der EuGH weiterentwickelt – und damit erhebliche Haftungsrisiken für Datenverarbeiter wie Unternehmen und Behörden geschaffen. Zu gleich fünf Fragen nahm der EuGH Stellung:

1. Datenpanne = Keine geeignete Datensicherheit?

Die erste Frage bezog sich auf den Umstand, ob die Art. 24 und 32 DSGVO dahin auszulegen sind, dass eine unbefugte Offenlegung von bzw. ein unbefugter Zugang zu personenbezogenen Daten durch „Dritte“ im Sinne von Art. 4 Nr. 10 DSGVO allein ausreicht, um anzunehmen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht „geeignet“ im Sinne der Art. 24 und 32 DSGVO waren.

Vereinfacht gesagt: Kann ein Datenschutzverstoß durch zu schlechte IT-Sicherheitsmaßnahmen aus dem Umstand abgeleitet werden, dass personenbezogene Daten abgeflossen sind? 

Der EuGH sagt Nein, aber:

„Folglich können die Art. 24 und 32 DSGVO nicht dahin verstanden werden, dass eine unbefugte Offenlegung von bzw. ein unbefugter Zugang zu personenbezogenen Daten durch einen Dritten für die Schlussfolgerung ausreicht, dass die von dem für die betreffende Verarbeitung Verantwortlichen ergriffenen Maßnahmen nicht im Sinne dieser Bestimmungen geeignet waren, ohne dass ihm die Möglichkeit eingeräumt wird, den Gegenbeweis zu erbringen“

Rechtlich bedeutet dies eine s.g. Beweislastumkehr zu Lasten des Unternehmens. Das Abfließen von Daten indiziert nicht geeignete technisch-organisatorische Maßnahmen (TOMs). Dies kann der Datenverarbeiter widerlegen, muss dies aber umgekehrt auch, wenn er sich entlasten will.

Nicht der Betroffene muss die mangelnde Datenschutzmaßnahmen darlegen, der Verarbeiter muss sie widerlegen. In der juristischen Praxis ist dies mit einem hohen Argumentations- und Dokumentationsaufwand verbunden. 

2. Datensicherheit wird gerichtlich nachgeprüft

Die zweite und dritte Frage betreffen den gerichtlichen Prüfungsmaßstab im Hinblick auf geeignete Sicherheitsmaßnahmen (TOMs). 

Zwar verfüge der Verantwortliche über einen gewissen Entscheidungsspielraum bei der Festlegung geeigneter technischer und organisatorischer Maßnahmen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, wie es Art. 32 Abs. 1 DSGVO verlangt. Gleichwohl muss ein nationales Gericht die komplexe Beurteilung, die der Verantwortliche vorgenommen hat, bewerten können und sich dabei vergewissern können, dass die vom Verantwortlichen gewählten Maßnahmen geeignet sind, ein solches Sicherheitsniveau zu gewährleisten (Rn. 43 der Entscheidung).

Daher darf sich ein nationales Gericht bei der Kontrolle der Geeignetheit der nach Art. 32 DSGVO getroffenen technischen und organisatorischen Maßnahmen nicht auf die Feststellung beschränken, in welcher Weise der für die betreffende Verarbeitung Verantwortliche seinen Verpflichtungen aus diesem Artikel nachkommen wollte, sondern muss eine materielle Prüfung dieser Maßnahmen anhand aller in diesem Artikel genannten Kriterien sowie der Umstände des Einzelfalls und der dem Gericht dafür zur Verfügung stehenden Beweismittel vornehmen. 

Eine solche Prüfung erfordert eine konkrete Untersuchung sowohl der Art als auch des Inhalts der vom Verantwortlichen getroffenen Maßnahmen, der Art und Weise, in der diese Maßnahmen angewandt wurden, und ihrer praktischen Auswirkungen auf das Sicherheitsniveau, das der Verantwortliche in Anbetracht der mit dieser Verarbeitung verbundenen Risiken zu gewährleisten hatte (Rn. 45 f. der Entscheidung).

Vereinfacht bedeutet dies: In Datenschutzverfahren werden IT-forensische Gutachten und die einzubringende IT-Expertise im Rahmen der Durchsetzung bzw. Abwehr von Datenschutzansprüchen gem. Art. 82 DSGVO deutlich zunehmen. 

Die Argumentation in Hinblick auf die technisch-organisatorischen Maßnahmen eines Unternehmens wird damit ein Kernelement, da dieses im Zweifel regelmäßig gutachterlich geprüft werden muss. 

Unternehmer und Behörden sollten deshalb in der Beratung und Vertretung auf interdisziplinäre Praxisgruppen aus Rechtsanwälten für Datenschutz und Informatikern und IT-Sicherheitsexperten zurückgreifen. 

3. Unternehmen haften auch für Hacker & Co.

Die vierte Frage bezieht sich auf die Verantwortlichkeit für Datenschutzvorfälle durch Dritte, z.B. bei Angriffen durch Hacker. 

Der EuGH hat hierzu eine unmissverständliche Position.

So heißt es in den ersten beiden Sätzen des 146. Erwägungsgrundes der DSGVO, der sich speziell auf Art. 82 DSGVO bezieht:

„Der Verantwortliche oder der Auftragsverarbeiter sollte Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, ersetzen“ und „von seiner Haftung befreit werden, wenn er nachweist, dass er in keiner Weise für den Schaden verantwortlich ist“.

Aus diesen Bestimmungen ergibt sich zum einen, dass der für die betreffende Verarbeitung Verantwortliche grundsätzlich einen Schaden ersetzen muss, der durch einen mit dieser Verarbeitung im Zusammenhang stehenden Verstoß gegen die DSGVO verursacht wurde, und zum anderen, dass er nur dann von seiner Haftung befreit werden kann, wenn er den Nachweis erbringt, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.

Wie die ausdrückliche Hinzufügung des Ausdrucks „in keinerlei Hinsicht“ im Lauf des Gesetzgebungsverfahrens zeigt, müssen die Umstände, unter denen der Verantwortliche von der ihm nach Art. 82 DSGVO drohenden zivilrechtlichen Haftung befreit werden kann, streng auf solche beschränkt werden, unter denen der Verantwortliche nachweisen kann, dass er selbst nicht für den Schaden verantwortlich ist

Vereinfacht bedeutet dies: Rechtlich kann eine Exkulpation bei Hackerangriffen o.ä. möglich sein. Die Anforderungen sind aber äußerst streng, denn der Erfolg des Datenabflusses lässt zumeist auf schlechte IT-Sicherheitsmaßnahmen hindeuten (s.o.) und eine Mitverantwortung ist bereits ausreichend, um die Haftung für Schäden durch Dritte zu begründen. 

4. Schadenersatz ohne Schaden

Während die vorangegangenen Fragen in der Sache bekannt waren und an der einen oder anderen Stelle für etwas Klarheit sorgten, ist die letzte Frage die entscheidende:

Ist Art. 82 Abs. 1 DSGVO so auszulegen, dass die Befürchtung eines zukünftigen Datenmissbrauchs von abgeflossenen bzw. geleakten Daten schon ausreicht, um einen immateriellen Schadenersatzanspruch zu begründen? 

Der EuGH führt hierzu grundsätzlich aus und stellt fest:

„Weiter ist im vorliegenden Fall festzustellen, dass Art. 82 Abs. 1 DSGVO nicht danach unterscheidet, ob der infolge eines erwiesenen Verstoßes gegen die Bestimmungen der DSGVO von der betroffenen Person behauptete „immaterielle Schaden“ mit einer zum Zeitpunkt ihres Schadenersatzantrags bereits erfolgten missbräuchlichen Verwendung ihrer personenbezogenen Daten durch Dritte verbunden ist oder ob er mit ihrer Angst verknüpft ist, dass eine solche Verwendung in Zukunft erfolgen könnte.“

Denn aus dieser beispielhaften Aufzählung der „Schäden“ im 85. Erwägungsgrund gehe hervor, dass der Unionsgesetzgeber unter den Begriff „Schaden“ insbesondere auch den bloßen „Verlust der Kontrolle“ über ihre eigenen Daten infolge eines Verstoßes gegen die DSGVO fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte.

Der EuGH schränkt dieses sehr weite Verständnis nur prozessual ein Stück weit ein: Das Gericht müsse bei einem behaupteten Kontrollverlusts prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann.

Vereinfacht: Verstoß + behaupteter Kontrollverlust = Schmerzensgeld. 

Ein von deutschen Gerichten zumeist angeführter „Schaden“ in Form von Störungen durch Phishing-Anrufen, SMS und E-Mails nach einem Datenleck ist damit nicht mehr erforderlich. 

Ausreichend ist, dass der Betroffene vorträgt und auf gerichtliche Nachfrage hin bekräftigend betont, dass er sich mit den verlustigen oder veröffentlichten Daten unwohl fühle und in Sorge vor einem zukünftigen Missbrauch lebe. 

Die Frage, ob bereits störende Anrufe oder SMS eingegangen sind, ist dann nur noch eine Frage der Höhe des erzielbaren Schmerzensgeldes.

Praxisfolgen für Unternehmen

Das Urteil schafft für jedes datenverarbeitende Unternehmen existenzielle wirtschaftliche Risiken. 

Ein Beispiel

 Ein mittelständiger Handwerksbetrieb speichert seine Kundendaten auf einem Büro-PC oder Server in einer Excel-Liste. Die Sekretärin klickt auf ein infiziertes Doc-Dokument und installiert damit unbeabsichtigt einen Virus. 

Durch den Virus fließt auch die Excel-Liste mit 2.500 Kundendatensätzen ab. Hacker verschlüsseln den PC und drohen mit der Veröffentlichung der Datensätze, wenn nicht innerhalb von 48 Stunden 500.000,00 $ in Cryptowährungen überwiesen werde. Die Liste wird veröffentlicht. 

Der Handwerksmeister kann keine Schulungen, Antivirenprogramme, Handlungsanweisungen, PC-Rechteinschränkungen oder dokumentierte TOMs vorweisen. Der Handwerksmeister meldet den Vorfall auch der Datenschutzbehörde nicht, um sich so Ärger zu ersparen. 

Der Verstoß wird durch die verärgerten Hacker an die Datenschutzbehörde und die Betroffenen gemeldet. Alternativ findet ein Kunde seine Daten in einer im Internet veröffentlichten Liste mit dem Namen des Handwerkunternehmens.

Wenn auch nur 20% der betroffenen Kunden gegen den Handwerksbetrieb vorgehen, bedeutet dies 

• 1.000 EUR Schmerzensgeld 
• 220,27 EUR vorgerichtliche Anwaltskosten des Betroffenen
• 537,39 EUR Gerichts- und Prozesskosten des Betroffenen

von 500 Kunden.

Dies bedeutet ein wirtschaftliches Risiko in Höhe von 1.757,66 EUR pro Kunde. Insgesamt ist damit ein wirtschaftliches Risiko in Höhe von 878.830,00 EUR begründet.

Mit einer Excel-Liste. Eines mittelständischen Unternehmens. 

Denn die betroffenen und verärgerten Kunden müssen lediglich begründet darlegen, dass der Kontrollverlust durch die Veröffentlichung der Daten ein beklemmende Gefühl und Unwohlsein hervorruft. 

Konsequenzen für Unternehmen 

Das Urteil muss als Weckruf für Unternehmen sein, sich im Datenschutzrecht und der Datensicherheit bestmöglich aufzustellen, um mit einem Datenschutzverstoß nicht existenziellen Risiken zu begegnen. 

Wir beraten Unternehmen bei datenschutzrechtlichen Fragen mit einem interdisziplinären Team aus Informatikern und Rechtsanwälten, um die wichtige Schnittstellenleistung aus Daten- und IT-Sicherheit und Datenschutzrecht optimal abbilden zu können. 

Zudem sollten Unternehmen ergänzend die eigene Cyber-Versicherung prüfen und ggfs. ergänzen lassen. Diese versichert zumeist auch einen Teil der Anwaltskosten.