Der Missbrauch personenbezogener Daten kann Schadensersatzansprüche der Betroffenen nach sich ziehen. Doch unter welchen Voraussetzungen können Schadenersatzansprüche, insbesondere wegen immaterieller Schäden, geltend gemacht werden. Dies war bislang umstritten. Eine Entscheidung des Europäischen Gerichtshofs schafft nun Klarheit.
Immaterieller Schaden bei Verstößen gegen DSGVO
Jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Doch wann liegt ein immaterieller Schaden vor und wer muss hierzu vortragen und dies belegen.
Die deutschen Gerichte haben zuletzt hohe Hürden für Betroffene aufgestellt, wenn diese immateriellen Schaden wegen Datenschutzverstößen geltend machen wollen.
So hatte erst kürzlich das OLG Stuttgart in zwei Verfahren (Az. 4 U 17/23 und 4 U 20/23) Ansprüche auf immateriellen Schaden gegen Meta (vormals Facebook) wegen eines Datenlecks in 2018 abgewiesen, da der bloße Kontrollverlust noch keine immaterielle Beeinträchtigung begründe. Auch andere Oberlandesgericht sind hier mit dem Zuspruch immaterieller Schadensersatzansprüche zurückhaltend, möglicherweise auch deshalb, weil sie sonst eine gigantische Klagewelle von Betroffenen befürchten.
Verfahren vor dem EuGH
Es gelangte nun ein Verfahren aus Bulgarien zur Frage des immateriellen Schadens vor den EuGH. Ausgangspunkt war folgender Sachverhalt:
Die bulgarische Nationale Agentur für Einnahmen (NAP), welche dem bulgarischen Finanzminister unterstellt ist, ist unter anderem mit der Feststellung, Sicherung und Einziehung öffentlicher Forderungen betraut. In diesem Zusammenhang ist sie auch für die Verarbeitung personenbezogener Daten verantwortlich. In 2019 wurde berichtet, das in das IT-System der NAP eingedrungen wurde. Infolge des Cyberangriffs sollen personenbezogene Daten von Millionen von Menschen im Internet veröffentlicht worden seien. Daraufhin klagten zahlreiche Personen die NAP auf Ersatz des immateriellen Schadens, der ihnen aus der Befürchtung eines möglichen Missbrauchs ihrer Daten entstanden sein soll.
Missbrauch personenbezogener Daten begründet Schadensersatz
Das Urteil des EuGH (Urteil vom 14.12.2023 – Az. C-340/21) hat es nun in sich.
Allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, kann einen „immateriellen Schaden“ darstellen.
Der Verantwortliche trägt die Beweislast dafür, dass die getroffenen Schutzmaßnahmen geeignet waren.
Im Fall der unbefugten Offenlegung von bzw. des unbefugten Zugangs zu personenbezogenen Daten durch „Dritte“ (wie Cyberkriminelle) kann der Verantwortliche gegenüber den Personen, denen ein Schaden entstanden ist, ersatzpflichtig sein, es sei denn, er weist nach, dass er in keinerlei Hinsicht für den Schaden
verantwortlich ist.
Im Fall der unbefugten Offenlegung von bzw. des unbefugten Zugangs zu personenbezogenen Daten können die Gerichte aus diesem Umstand allein nicht ableiten, dass die Schutzmaßnahmen, die der für die Datenverarbeitung Verantwortliche ergriffen hat, nicht geeignet waren. Die Gerichte müssen die Geeignetheit dieser Maßnahmen konkret beurteilen.
Fazit
Der EuGH erteilt der strengen Auffassung in der deutschen Rechtsprechung eine Absage. Allein der Kontrollverlust kann einen immateriellen Schaden begründen. Verantwortliche müssen zudem beweisen, dass die getroffenen Schutzmaßnahmen die Daten zu schützen geeignet und sie in keiner Weise für Schäden verantwortlich waren, wollen sie einer Inanspruchnahme entgehen.
Die Entscheidung erhöht das Risiko für Verantwortliche auf Schadensersatz in Anspruch genommen zu werden erheblich und dürfte in der Folge zu vermehrten Klagewellen von Betroffenen führen.
Die bislang aufgestellten Hürden einiger Oberlandesgerichte die eine Geltendmachung von immateriellen Schäden erschwert haben, wurden mit diesem Urteil jedenfalls weitgehend eingerissen. Es bleibt abzuwarten, wie die nationalen Gerichte nun mit den Vorgaben des EuGH umgehen.
Artikel als PDF speichern
