Der EuGH hat am 14. Dezember 2023 zwei maßgebliche Entscheidungen getroffen, die zum einen die Anforderungen an die technischen und organisatorischen Maßnahmen (TOMs) im Sinne von Art. 32 DSGVO und zum anderen die Anforderungen zur Geltendmachung von immateriellen Schadenersatzansprüchen gemäß Art. 82 DSGVO betreffen.

In dem Verfahren C-340/21 ging es um die Folgen eines Hacker-Angriffs, bei dem die Angreifer Steuer- und Sozialversicherungsdaten von Millionen Menschen von der Nationalen Agentur für Einnahmen (NAP) Bulgariens erlangten und im Internet veröffentlichten. Die betroffenen Personen wendeten sich mit Klagen auf Ersatz des immateriellen Schadens gegen die NAP.

Das Oberste Verwaltungsgericht Bulgarien legte dem EuGH mehrere Vorlagefragen vor, u.a. zur Weite des Begriffs des immateriellen Schadens und zur gerichtlichen Überprüfung und der Beweislast im Hinblick auf die Geeignetheit von TOMs.

Gegenstand des Verfahrens C-456/22 war die Veröffentlichung der Tagesordnung einer Gemeinderatssitzung und eines in Deutschland verkündeten Urteils mit den Namen der Kläger durch eine Gemeinde auf deren Homepage. Die Kläger machten gegen die Gemeinde deshalb vor Gericht den Ersatz eines immateriellen Schadens wegen der Offenlegung ihrer personenbezogenen Daten geltend. Das LG Ravensburg legte dem EuGH die Frage vor, ob für den Ersatz eines immateriellen Schadens eine Bagatellgrenze überschritten sein muss und folglich ein spürbarer Nachteil sowie eine objektiv nachvollziehbare Beeinträchtigung persönlichkeitsbezogener Belange erforderlich ist oder ob der kurzfristige Verlust der Hoheit über personenbezogene Daten bereits ausreicht.

 

A. EuGH-Urteil in der Rechtssache C-340/21

1. Ansicht des Generalanwalts bzgl. C-340/21

Über das Verfahren C-340/21 hatten wir bereits berichtet und dort die Aussagen des Generalanwalts zusammengefasst sowie mögliche Handlungsempfehlungen dargestellt.

Dieser vertrat die Auffassung, dass dem Verantwortlichen ein Ermessen bei der Auswahl der TOMs zusteht und diese schon nach der Intention des Gesetzgebers keinen hundertprozentigen Schutz gegen Cyberkriminalität bieten können, weshalb beispielsweise ein unbefugter Zugang zu personenbezogenen Daten durch Dritte nicht per se eine Ungeeignetheit der TOMs indizieren kann. Gleichwohl unterliegt die Geeignetheit der getroffenen Maßnahmen einer gerichtlichen Überprüfung und der Verantwortliche trägt hierfür die Beweislast. Zudem stellt ein Cyberangriff durch einen Dritten keinen Haftungsausschluss dar.

Ein immaterieller Schaden kann nach Ansicht des Generalanwalts bereits in der Befürchtung eines möglichen künftigen Missbrauchs liegen, wenn die betroffene Person eine nachweisbare Beeinträchtigung der physischen oder psychischen Sphäre darlegen kann.

 

2. Inhalt der Entscheidung C-340/21

In seinem Urteil hat sich der EuGH mit den folgenden Themen auseinandergesetzt und dazu die dargestellten Argumente angeführt.

 

a. Geeignetheit der TOMs

Art. 24 DSGVO verpflichtet den Verantwortlichen zur Umsetzung geeigneter TOMs als Nachweis dafür, dass die Verarbeitung personenbezogener Daten gemäß der DSGVO erfolgt.

Kriterien für die Geeignetheit nach Art. 24 Abs. 1 DSGVO sind „Art, Umfang, Umstände und Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen“ (Rn. 25).

Art. 32 DSGVO normiert Pflichten des Verantwortlichen und des Auftragsverarbeiters zur Sicherheit der Verarbeitung. Demnach sind geeignete TOMs zu treffen, um einen angemessenen Schutz gegen Risiken für die Rechte und Freiheiten natürlicher Personen zu gewährleisten. Für die Geeignetheit nennt Art. 32 Abs. 1 DSGVO folgende Kriterien (Rn. 26):

• Stand der Technik
• Implementierungskosten
• Art der Verarbeitung
• Umfang der Verarbeitung
• Umstände der Verarbeitung
• Zwecke der Verarbeitung

Zur Beurteilung eines angemessenen Schutzniveaus sind die verarbeitungsbezogenen Risiken zu berücksichtigen, wozu nach Art. 32 Abs. 2 DSGVO etwa folgendes gehört (Rn. 27):

• Vernichtung von personenbezogenen Daten
• Veränderung von personenbezogenen Daten
• Unbefugte Offenlegung von personenbezogenen Daten

Nach Ansicht des EuGH normiert Art. 32 Abs. 1 und Abs. 2 DSGVO ein Risikomanagementsystem und fordert von dem Verantwortlichen TOMs nach den oben genannten Kriterien zu treffen, die eine Verletzung „so weit wie möglich“ verhindern sollen (Rn. 30). Es wird somit gerade keine vollständige Beseitigung des Risikos von Verletzungen des Schutzes personenbezogener Daten vorausgesetzt (Rn. 29).

Im Ergebnis reicht nach Art. 24 und 32 DSGVO eine unbefugte Offenlegung oder ein unbefugter Zugang zu personenbezogenen Daten durch Dritten somit nicht aus, um unwiderleglich zu vermuten, dass die TOMs nicht geeignet waren. Vielmehr muss der Verantwortliche den Nachweis erbringen, dass TOMs wirksam sind und die Anforderungen der DSGVO erfüllen. Er trägt hierfür die Beweislast (Rn. 31 f.).

Diese Auslegung begründet der EuGH u. a. mit folgenden Argumenten (Rn. 30 ff.):

• Wortlaut in Art. 32 Abs. 1 und 2 DSGVO „angemessenes Schutzniveau“
• Systematische und teleologische Auslegung:
  • Nachweispflicht in Art. 5 Abs. 2 DSGVO für die Einhaltung von Art. 5 Abs. 1 lit. f DSGVO und Art. 24 Abs. 1, 3 und Art. 32 Abs. 3 DSGVO (DSGVO-konforme TOMs) hätte keinen Sinn, wenn der Verantwortliche zur Verhinderung jeder Beeinträchtigung der Daten verpflichtet wäre (Rn. 34).
  • Nach ErwG 74 Satz 2 DSGVO müssen TOMs zum Nachweis der DSGVO-konformen Verarbeitung und der Wirksamkeit dieser Maßnahmen implementiert werden (Rn. 35).
  • Nach ErwG 76 DSGVO ist die Eintrittswahrscheinlichkeit und Schwere des Risikos anhand der Besonderheiten der Verarbeitung zu bemessen und objektiv zu bewerten (Rn. 36).

 

b. Beurteilung der Geeignetheit der TOMs durch die Gerichte und die Berücksichtigung von gerichtlichen Sachverständigengutachten als Beweismittel

Nach Ansicht des EuGH ist die Geeignetheit der TOMs gemäß Art. 32 Abs. 1 und 2 DSGVO in zwei Schritten zu beurteilen (Rn. 42):

1. Risikoermittlung: Identifizierung der von der Verarbeitung ausgehenden Risiken einer Verletzung des Schutzes personenbezogener Daten und ihrer Folgen für die betroffene Person unter Berücksichtigung der Eintrittswahrscheinlichkeit und Schwere der ermittelten Risiken.
2. Angemessenheitsprüfung: Prüfung, ob die getroffenen Maßnahmen die Kriterien von Art. 32 Abs. 1 DSGVO (s.o.) erfüllen und im Hinblick auf die ermittelten Risiken angemessen sind.

Das Gericht muss dabei eine materielle Prüfung der Maßnahmen anhand der in Art. 32 DSGVO genannten Kriterien sowie aufgrund der Umstände des Einzelfalls und der dem Gericht zur Verfügung stehenden Beweismittel vornehmen (Rn. 45). Konkret zu untersuchen sind die Art und der Inhalt der Maßnahmen, die Art und Weise ihrer Anwendung und ihre Auswirkungen auf das Sicherheitsniveau (Rn. 46).

Die Regeln für die Beweismittel richten sich mangels Vorgaben durch die DSGVO nach dem Recht der Mitgliedstaaten, wobei jedoch unter anderem sichergestellt sein muss, dass Unionsrechte nicht unmöglich gemacht oder übermäßig erschwert werden (Effektivitätsgrundsatz) (Rn. 59). Dies wäre nach Ansicht des EuGH z.B. dann der Fall, wenn nationales Recht die Anordnung eines gerichtlichen Sachverständigengutachtens generell als notwendig vorschreibt, auch wenn dies im Einzelfall wegen anderer Beweise überflüssig wäre (Rn. 62).

Im Ergebnis hält der EuGH ein gerichtliches Sachverständigengutachten nicht generell für ein notwendiges und ausreichendes Beweismittel, sodass Gerichte die Bewertung der Geeignetheit von TOMs i.S.d. Art. 32 DSGVO nicht alleine darauf stützen können und müssen (Rn. 64).

 

c. Beweislast des Verantwortlichen für die Geeignetheit der TOMs

Nach Ansicht des EuGH trägt der Verantwortliche bei Schadenersatzklagen nach Art. 82 DSGVO für die Geeignetheit der nach Art. 32 DSGVO getroffenen TOMs die Beweislast.

Dieser Grundsatz ergibt sich bereits eindeutig aus Art. 5 Abs. 2, Art. 24 Abs. 1 und Art. 32 Abs. 1 DSGVO und ist auch im Rahmen von Art. 82 DSGVO anzuwenden (Rn. 52). Dafür spricht auch, dass der Verantwortliche zu einer DSGVO-konformen Verarbeitung verpflichtet ist und das durch die DSGVO angestrebte Schutzniveau von den getroffenen Sicherheitsmaßnahmen abhängt (Rn. 55). Zudem würde es die Wirksamkeit des Schadenersatzanspruchs in Art. 82 DSGVO konterkarieren, wenn die betroffene Person den Beweis für die Geeignetheit der von dem Verantwortlichen getroffenen Maßnahmen erbringen müsste (Rn. 56).

 

d. Haftungsbefreiung des Verantwortlichen

Nach Art. 82 Abs. 1 und 2 DSGVO haftet der Verantwortliche grundsätzlich für einen Schaden, der durch einen mit der Verarbeitung im Zusammenhang stehenden Verstoß gegen die DSGVO verursacht wurde (Rn. 69). Eine Enthaftung ist gemäß Art. 82 Abs. 3 DSGVO nur dann möglich, wenn er den Nachweis erbringt, dass er „in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist“ (Rn. 69).

Nach Ansicht des EuGH kann dem Verantwortlichen eine Datenschutzverletzung durch Cyberkriminelle dann zugerechnet werden, wenn der Verantwortliche die Verletzung ermöglicht hat, weil er eine ihn treffende Verpflichtung aus der DSGVO (z.B. Art. 5 Abs. 1 lit. f, Art. 24, Art. 32 DSGVO) missachtet hat (Rn. 71).

Eine Haftungsbefreiung wäre in einem solchen Fall nur dann möglich, wenn er nachweist, dass es keinen Kausalzusammenhang zwischen der Pflichtverletzung durch ihn und dem Schaden für die betroffene Person gibt (Rn. 72).

Interessant ist in diesem Zusammenhang, dass der EuGH keine Aussage zu dem Verhältnis zwischen Art. 82 Abs. 1 und 2 DSGVO trifft, sondern lediglich erwähnt, dass der Verantwortliche den durch einen mit der Verarbeitung im Zusammenhang stehenden Verstoß gegen die DSGVO verursachten Schaden ersetzen muss (Rn. 69).

 

e. Immaterieller Schaden durch Befürchtung einer missbräuchlichen Datenverwendung

Der EuGH gelangt zu dem Ergebnis, dass der Begriff des immateriellen Schadens sowohl eine bereits erfolgte missbräuchliche Verwendung der personenbezogenen Daten durch einen Dritten als auch die bloße Befürchtung einer solchen künftigen Verwendung umfasst (Rn. 79 f.). Dies wird mit der nach ErwG 146 Satz 3 DSGVO geforderten weiten Auslegung des Begriffs des Schadens begründet (Rn. 80 f.). Eine enge Auslegung des Schadensbegriffs wäre nach Ansicht des EuGH hingegen nicht mit der Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung ihrer personenbezogenen Daten vereinbar (Rn. 81).

Der EuGH fordert jedoch, dass die betroffene Person nachweisen muss, dass die negativen Folgen des Verstoßes einen immateriellen Schaden i.S.d. Art. 82 DSGVO darstellen (Rn. 84). Bei der Geltendmachung der bloßen Befürchtung einer missbräuchlichen Verwendung bedeutet dies laut dem EuGH, dass nationale Gerichte prüfen müssen, ob diese „Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann“ (Rn. 85).

Diese zuletzt aufgestellt Voraussetzung, dürfte in der Praxis zukünftig eine wichtige Rolle spielen. Nach Ansicht des EuGH stellt die Befürchtung an sich noch keinen Schaden dar – erst, wenn sie im Hinblick auf den jeweiligen Betroffenen „als begründet angesehen werden“ kann, kann sich hieraus ein Schaden ergeben.

 

B. EuGH-Urteil in der Rechtssache C-456/22

Inhalt der Entscheidung C-456/22

In dieser Entscheidung hat sich der EuGH insbesondere mit der Bagatellgrenze bei immateriellen Schadenersatzansprüchen beschäftigt und vertritt dazu die nachfolgend aufgeführte Position.

 

Die Bagatellgrenze des immateriellen Schadenersatzanspruchs

Nach Ansicht des EuGH ist gemäß Art. 82 Abs. 1 DSGVO zunächst ein Verstoß gegen die DSGVO, das Vorliegen eines Schadens sowie ein Kausalzusammenhang zwischen Verstoß und Schaden erforderlich.

Der Begriff des immateriellen Schadens ist im Sinne von Art. 82 Abs. 1 DSGVO und nicht nach nationalem Recht auszulegen (Rn. 16). Es kommt also lediglich auf die drei genannten kumulativen Voraussetzungen des Art. 82 Abs. 1 DSGVO an, die gerade keine Erheblichkeitsschwelle voraussetzen (Rn. 14, 17).

Vielmehr sei der Begriff des Schadens nach ErwG 146 Satz 3 DSGVO weit auszulegen, was gegen eine Bagatellgrenze spricht (Rn. 19). Ferner würde eine Erheblichkeitsschwelle dem Harmonisierungsgedanken konterkarieren, da die Gerichte diese einzelfallbezogen und deshalb unterschiedlich beurteilen würden.

Gleichwohl stellt der EuGH klar, dass ein bloßer Verstoß gegen eine Bestimmung der DSGVO für einen immateriellen Schaden noch nicht ausreicht, sondern die betroffene Person nachweisen muss, dass sie durch diesen Verstoß einen Nachteil erlitten hat und dieser einen immateriellen Schaden darstellt (Rn. 21, 23).

Offen bleibt jedoch, was die betroffene Person im Einzelfall für einen immateriellen Schaden konkret darlegen muss. Nach Ansicht des EuGH könne ein bereits kurzfristiger Verlust der Hoheit über personenbezogene Daten durch deren Veröffentlichung im Internet grundsätzlich einen immateriellen Schaden begründen, auch wenn dieser nur geringfügig ist.

 

C. Folgen der Entscheidungen

Lässt sich aus diesen beiden Entscheidungen nun ableiten, dass jeder noch so „kleine“ Nachteil einer betroffenen Person oder bloße Befürchtungen aufgrund eines Kontrollverlusts über die eigenen Daten und damit zumindest doch mittelbar praktisch jeder Verstoß der DSGVO mit negativen Folgen für den Betroffenen einen Anspruch auf immateriellen Schaden begründet? Und folgt daraus nun das Risiko einer Klagewelle?

Beide Urteile enthalten Klarstellungen aber auch neue Anforderungen.

Zum einen stellt der EuGH fest, dass es keine Erheblichkeitsschwellen beim Schadenersatz gibt. Liegt mithin ein geringer Schaden vor, ist dieser grundsätzlich erstattungsfähig.

Zum anderen können (wichtig: können!) Befürchtungen oder ein Kontrollverlust zu einem Schaden führen. Jedoch genügt die Befürchtung oder der Kontrollverlust für sich allein noch nicht, um einen Schaden nachweisbar zu begründen. Nach Ansicht des EUGH muss die Befürchtung 1. unter den gegebenen besonderen Umständen und 2. im Hinblick auf die betroffene Person, als begründet angesehen werden. Dieser Nachweis ist von den Betroffenen zu führen.

Der EuGH erteilt mit den beiden Urteilen also keinen Freifahrtschein für Klagen auf immateriellen Schadensersatz. Schließlich sind die Anforderungen an die Nachweisbarkeit dieses Schadens nicht zu unterschätzen, wie das Urteil in dem Verfahren C-340/21 zeigt. Denn Betroffene können gerade nicht pauschal einen Schaden annehmen, sondern müssen substantiiert darlegen, dass die Folgen des Verstoßes einen immateriellen Schaden darstellen.

Dadurch, dass der EuGH den nationalen Gerichten auferlegt, zu prüfen, ob die Befürchtungen „unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet“ anzusehen sind, lässt sich schlussfolgern, dass eine subjektive Betroffenheit des Klägers gefordert wird, die im jeweiligen Verfahren nachzuweisen ist. Eine pauschale Geltendmachung für eine Vielzahl von Anspruchstellern dürfte damit zumindest erschwert sein.

Es bleibt nun abzuwarten, wie die nationalen Gerichte künftig die genannten Vorgaben des EuGH umsetzen und welche Nachweise erforderlich sind, um einen ersatzfähigen immateriellen Schaden anzunehmen.