News
Konkretes vom EuGH zum immateriellen Schadenersatz bei Weitergabe intimer Informationen – nur 2.000 EUR Schadenersatz zugesprochen
In der Praxis stellt sich häufig die Frage, in welchen Fällen und in welcher Höhe ein Anspruch auf Ersatz eines immateriellen Schadens bei unzulässigen Datenverarbeitungen besteht. In Deutschland existieren bereits massenhaft Urteile aus verschiedenen Rechtsbereichen hierzu. Jedoch gibt es bislang keine konkreten Aussagen des EuGH zur Höhe eines Schadenersatzanspruchs.
Der EuGH hat nun am 5.3.2024 in der Rechtssache C‑755/21 P entschieden, dass bei Weitergabe intimer personenbezogener Daten an unbefugte Personen ein Schadenersatzanspruch in Höhe von 2.000 EUR besteht. Diese Summe wirkt angesichts der betroffenen intimen Informationen mit sexuellem Charakter im Vergleich zu in der deutschen Rechtsprechung mitunter zugesprochenen Schadenersatzsummen sehr niedrig. Obwohl die Entscheidung des EuGH in Bezug auf Art. 50 der Europol-Verordnung gefällt wurde, kann man auch einige Aspekte auf immaterielle Schadenersatzansprüche aus der DSGVO übertragen. In diesem Beitrag fassen wir zusammen, worum es im vom EuGH entschiedenen Fall ging, wie entschieden wurde und welche Folgen sich für Schadenersatzansprüche aus der DSGVO ableiten lassen.
Worum ging es?
Die slowakischen Behörden und Europol führten Ermittlungen wegen der Ermordung eines Journalisten und dessen Verlobten durch. Es wurden u.a. zwei Telefone des einen immateriellen Schadenersatzanspruch geltenden machenden Klägers beschlagnahmt und die darauf gespeicherten Daten wurden extrahiert. Zudem wurden u.a. Gespräche mit intimem Charakter zwischen ihm und seiner Freundin transkribiert. Die slowakische Behörde hatte bei den Ermittlungen die Unterstützung von Europol erbeten. Die slowakische Presse berichtete später über Einzelheiten der beschlagnahmten Daten. Es musste also zu einer Weitergabe der bei den Ermittlungen erhobenen Daten an die Presse gekommen sein.
Der Kläger verlangte auf Basis von Art. 50 Europol-Verordnung eine Entschädigung in Höhe von 50.000 Euro als Ersatz des immateriellen Schadens. Nach Art. 50 Abs. 1 hat jede Person, der wegen einer widerrechtlichen Datenverarbeitung ein Schaden entsteht, das Recht von Europol oder von einem Mitgliedstaat Schadenersatz zu fordern.
Der immaterielle Schaden sei dadurch entstanden, dass Europol die Transkriptionen der aus den in Rede stehenden Mobiltelefonen hervorgegangenen Gesprächen mit intimem und sexuellem Charakter zwischen ihm und seiner Freundin weitergegeben habe. In erster Instanz hatte das EuG dem Kläger keinen Schadenersatz zugesprochen. Der EuGH musste nun in letzter Instanz entscheiden, ob dem Kläger ein immaterieller Schadenersatzanspruch wegen einer rechtswidrigen Datenverarbeitung zusteht.
Wie hat der EuGH entschieden?
Wie aus der Überschrift dieses Newsbeitrags bereits hervorgeht, hat der EuGH dem Kläger einen Schadenersatzanspruch in Höhe von 2.000 EUR zugestanden. Die Höhe der Entschädigungssumme erscheint angesichts des intimen Charakters der Daten mit Bezug zu sexuellen Aspekten sehr gering.
Im Urteil geht der EuGH auf die Voraussetzungen für das Bestehen eines Schadenersatzanspruchs ein. Dabei werden deutliche Überschneidungen zu den Voraussetzungen aus der DSGVO erkennbar. Wenn jemand den Ersatz eines immateriellen Schadens verlangt, dann muss das Vorliegen einer widerrechtlichen Datenverarbeitung, eines Schadens und eines Kausalzusammenhangs zwischen der Datenverarbeitung und dem Schaden nachgewiesen werden (Rn. 74). Genau diese Anforderungen stellt der EuGH auch an Ansprüche nach Art. 82 DSGVO.
Im Anwendungsbereich von Art. 50 Europol-Verordnung muss nicht nachgewiesen werden, ob der Schaden Europol oder einem Mitgliedstaat zuzurechnen ist (Rn. 76). Das lässt sich ggf. auch auf gemeinsam Verantwortliche unter der DSGVO übertragen. Betroffene müssten dann also nicht nachweisen, welchem gemeinsam Verantwortlichen ein Schaden zuzurechnen ist. Der Kläger muss aber Beweise zum Nachweis des Vorliegens und des Umfangs des von ihm geltend gemachten Schadens sowie des Bestehens eines hinreichend unmittelbaren ursächlichen Zusammenhangs zwischen dem Verstoß und dem geltend gemachten Schaden erbringen (Rn. 135). Wenn ein Schadenersatzanspruch wegen der Weitergabe von Daten an einen Unbefugten geltend gemacht wird, muss der Kläger nachweisen, dass es so eine unbefugte Weitergabe tatsächlich gab (Rn. 138). In der Praxis wird es für betroffene Personen häufig schwierig sein, eine tatsächlich erfolgte Weitergabe zu beweisen. Hier bestehen also auch Verteidigungsmöglichkeiten für Unternehmen, die sich Schadenersatzforderungen ausgesetzt sehen.
Der EuGH hat festgestellt, dass die Weitergabe der relevanten Daten an unbefugte Personen (hier die Presse) eine rechtswidrige Datenverarbeitung war. Die erste Voraussetzung ist also erfüllt. Mit Blick auf den entstandenen Schaden stellte der Gerichtshof fest, dass die rechtswidrige Datenverarbeitung das durch Art. 7 der Charta garantierte Recht auf Achtung des Privat- und Familienlebens und der Kommunikation verletzt hat. Zudem wurden Ehre und Ansehen des Klägers beeinträchtigt. Hierdurch war auch ein immaterieller Schaden entstanden.
Der Kläger hatte einen Schadenersatz in Höhe von 50.000 EUR verlangt. Der EuGH würdigte, dass die weitergegeben Daten besonders intim und sensibel waren und einen sexuellen Charakter hatten. Im Anwendungsbereich der DSGVO wäre es also um besondere Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO gegangen. Aus der Weitergabe der Transkriptionen der Gespräche mit intimem und sexuellem Charakter ist nach Ansicht des EuGH jedoch kein Schaden in Höhe von 50.000 EUR entstanden. Der Gerichtshof urteilte, dass der Schaden durch „Zahlung einer nach billigem Ermessen auf 2.000 Euro festgesetzten Entschädigung angemessen ausgeglichen wird.“ Leider gibt es im Urteil keine Anhaltspunkte dafür, anhand welcher Kriterien der EuGH die Höhe des Schadenersatzanspruchs konkret bemessen hat. Klar ist jedoch, dass der EuGH trotz des besonders sensiblen Charakters der Daten, hier nur 4% der beantragten Schadenersatzsumme zuspricht.
Was sind die Folgen für immaterielle Schadenersatzansprüche unter der DSGVO?
In Deutschland gibt es ganz unterschiedliche Gerichtsentscheidungen zu Ansprüchen auf immateriellen Schadenersatzanspruch. So hat bspw. das LG Oldenburg am 20. Oktober 2022 unter dem Aktenzeichen O 1809/22 einen Schadenersatzanspruch in Höhe von 2.000 EUR für die unbefugte Weitergabe von Daten wie der Telefonnummer, des Namens, der E-Mail-Adresse, dem Geschlecht und Geburtsdatum zugesprochen. Es gibt auch weitere Urteile, in denen Gerichte ähnlich hohe Schadenersatzsummen zusprachen. Vergleicht man die Sensibilität der Daten mit den bei der EuGH-Entscheidung relevanten unbefugten Datenweitergaben, so wird schnell klar, dass die Entscheidung des LG Oldenburg und viele weitere Urteile wohl kaum dem nun angelegten Maßstab des EuGH entsprechen würden. So kann auch gut bezweifelt werden, ob die Höhe der mitunter für eine verspätete Auskunftserteilung zugesprochenen Schadenersatzansprüche angemessen ist. Denn in solchen Fällen geht es allein um eine zeitliche Verzögerung der Auskunft, jedoch nicht im Entferntesten um eine Weitergabe sensibler Daten an Dritte. Hierbei sei bspw. an das Urteil des ArbG Dresden (Urt. v. 11.1.2023 – 4 Ca 688/22 – siehe bei beck-online hier) zu denken, indem 1.000 EUR für eine verspätete und weitere 1.500 EUR für eine unvollständige Auskunft zugesprochen wurden.
In Deutschland bildet sich seit einiger Zeit eine Art Klageindustrie für Schadenersatzansprüche nach Art. 82 DSGVO, die mitunter öffentlichkeitswirksam und vollmundig (die wettbewerbs- und berufsrechtliche Zulässigkeit hier einmal ausgespart) für angeblich bestehende Ansprüche in Höhe mehrerer tausenden Euro für die unbefugte Weitergabe von wenig sensiblen Daten wirbt. Derartige Höhen von Schadenersatzansprüchen erscheinen nach dem neuen EuGH-Urteil wohl eher als Wunschdenken und etwas realitätsfern. Mit Schadenersatzforderungen konfrontierte Unternehmen können der neuen Entscheidung des EuGH in jedem Fall einige Argumente zur Verteidigung gegen Schadenersatzansprüche entnehmen. Obwohl der EuGH ganz eindeutig die Sensibilität der unbefugt weitergegebenen Daten gewürdigt hat und wusste, dass solche Daten auch in der Presse veröffentlicht wurden, gesteht er dem Kläger immerhin nur einen Anspruch auf 2.000 EUR zu.
News
Weiterer Fachaufsatz zum Training von KI-Modellen aus datenschutzrechtlicher Sicht
In der aktuellen Ausgabe 02/2025 (EuDIR 2025, 90) der Zeitschrift für Europäisches Daten- und Informationsrecht (EuDIR) wurde ein Beitrag von Dr. Carlo Piltz und Alexander Weiss mit dem Titel „Datenschutzrechtliche Rechtsgrundlagen für das Training von KI-Modellen“ veröffentlicht.
In dem Aufsatz wird aufgezeigt, welche datenschutzrechtlichen Erlaubnistatbestände aus der DSGVO in bestimmten Fallkonstellationen herangezogenen werden können, wenn KI-Modelle mit personenbezogenen Daten trainiert werden. Zudem werden auch Fragestellungen zur Zweckänderung (Art. 6 Abs. 4 DSGVO) und zur Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) erörtert.
Das Inhaltsverzeichnis der Zeitschrift können Sie hier als PDF aufrufen.
Zweitverwendung personenbezogener Daten in der Forschung: EDSB-Studie zeigt dringenden Handlungsbedarf
Ob Biobank, klinische Studie oder KI-gestützte Gesundheitsforschung: Die Wiederverwendung bereits erhobener personenbezogener Daten für neue wissenschaftliche Fragestellungen – die sogenannte Zweitverarbeitung, Zweitverwendung oder Zweitnutzung – ist aus der modernen Forschung nicht mehr wegzudenken. Sie verspricht Effizienz, Erkenntnisgewinn und gesellschaftlichen Mehrwert. Doch das datenschutzrechtliche Fundament für solche Projekte ist häufig eher unsicher.
Relevante Vorgaben zum Einsatz von KI in Unternehmen und öffentlichen Stellen aus dem Tätigkeitsbericht 2024 des LfDI Baden-Württemberg
In seinem Tätigkeitsbericht für das Jahr 2024 hat sich der Landesbeauftragte für den Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BaWü) unter anderem auch zum Thema Künstliche Intelligenz (KI) geäußert. Insbesondere wird im Tätigkeitsbericht der Einsatz von KI in Schulen thematisiert (siehe S. 112 ff.). Die dort genannten Vorgaben lassen sich zum Großteil jedoch auch auf andere Sachverhalte anwenden.
Neue Zweifel an der Wirksamkeit des EU-U.S. Data Privacy Framework
Der LIBE-Ausschuss vom Europäischen Parlament hat am 6. Februar 2025 die Kommission darauf hingewiesen, dass das unter dem EU-U.S. Data Privacy Framework („DPF“) geschaffene Privacy and Civil Liberties Board nur noch mit einer Person besetzt ist (siehe dazu auch den Artikel bei Bloomberg). Die anderen Board-Mitglieder wurden von der Exekutive in den USA abberufen. Der Ausschuss bittet die Kommission eine dokumentierte Prüfung zur Verfügung zu stellen, die sich mit den Auswirkungen dieser Änderung befasst.
Neue Vorgaben zur Barrierefreiheit auf Websites und in Apps: Ein Überblick zu den Vorschriften des BFSG
Philip Schweers hat in der aktuellen Ausgabe 09/2025 des "Betriebs-Beraters" die nach dem 28. Juni 2025 geltenden Anforderungen des Barrierefreiheitsstärkungsgesetz für Websites und Apps zusammengefasst.
Der Beitrag beschreibt ausführlich für welche Websites und Apps das BFSG gilt, welche Anforderungen bei dessen Umsetzung beachtet werden müssen und welche Konsequenzen bei Verstößen drohen.
Barrierefreiheitsstärkungsgesetz (Teil 4) – Folgen von Verstößen gegen das BFSG
Ab dem 29. Juni 2025 gelten die Vorgaben des Barrierefreiheitsstärkungsgesetzes (BFSG). Um Sie rechtzeitig auf das BFSG vorzubereiten, befassen wir uns in unserer Beitragsreihe mit dessen Anforderungen. In Teil 1 haben wir uns einen kurzen Gesamtüberblick zum BFSG verschafft. In Teil 2 und Teil 3 haben wir uns angesehen, ob und welche Anforderungen aus dem BFSG für ihre Websites und Apps gelten. In Teil 4 befassen wir uns damit, was passiert, wenn ein Dienstleister, (z.B. der Anbieter eines Onlineshops) gegen die Vorgaben des BFSG verstößt und wie dieser sich gegen mögliche Rechtsfolgen wehren kann.