Urteil : Kein Schadenersatz bei hypothetischem Verwendungsrisiko : aus der RDV 2/2024, Seite 107-109
HIGHLIGHTS FÜR DEN BETRIEBLICHEN DATENSCHUTZ (EuGH, Urteil vom 25. Januar 2024 – C-687/21 –)
Relevanz für die Praxis
In der vorliegenden Entscheidung schärft der EuGH seine Rechtsprechung zum Ersatz immaterieller Schäden nach Art. 82 Abs. 1 DS-GVO. Der Gerichtshof hatte zuvor in zwei wegweisenden Urteilen im Dezember 2023 festgestellt, dass bereits die bloße Befürchtung der betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DS-GVO darstellen kann und dass darüber hinaus auch ein nur kurzzeitiger Verlust der Kontrolle über personenbezogene Daten genügen kann, um einen solchen Schaden auszulösen. Der EuGH stellt nunmehr fest, dass der betroffenen Person daher ein Schadenersatzanspruch nach Art. 82 Abs. 1 DS-GVO zustehen kann, wenn sie die begründete Befürchtung hegt, dass einige ihrer personenbezogenen Daten künftig von Dritten weiterverbreitet oder missbräuchlich verwendet werden. Allerdings hat die betroffene Person den Nachweis zu erbringen, dass ein entsprechender Schaden tatsächlich eingetreten ist und sie also eine begründete Befürchtung im genannten Sinne hegt. Misslingt der betroffenen Person bereits der Nachweis, dass ein Dritter die fraglichen personenbezogenen Daten zur Kenntnis genommen hat, kommt ein immaterieller Schaden wegen eines rein hypothetischen Risikos der missbräuchlichen Verwendung nicht in Betracht.
- Art. 82 der Verordnung 2016/679 ist dahin auszulegen, dass er nicht verlangt, dass die Schwere des von dem für die Verarbeitung Verantwortlichen begangenen Verstoßes für die Zwecke des Ersatzes eines Schadens auf der Grundlage dieser Bestimmung berücksichtigt wird.
- Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass die Person, die aufgrund dieser Bestimmung Schadenersatz verlangt, nicht nur den Verstoß gegen Bestimmungen der Verordnung 2016/679 nachweisen muss, sondern auch, dass ihr dadurch ein materieller oder immaterieller Schaden entstanden ist.
- Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass in einem Fall, in dem ein Dokument, das personenbezogene Daten enthält, an einen unbefugten Dritten weitergegeben wurde, der diese Daten erwiesenermaßen nicht zur Kenntnis genommen hat, nicht schon deshalb ein „immaterieller Schaden“ im Sinne dieser Bestimmung vorliegt, weil die betroffene Person befürchtet, dass im Anschluss an die Weitergabe, die es ermöglichte, vor der Rückgabe des Dokuments eine Kopie von ihm anzufertigen, in der Zukunft eine Weiterverbreitung oder gar ein Missbrauch ihrer Daten stattfindet.
Zu den Vorlagefragen:
Zur sechsten Frage:
Mit seiner sechsten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 DS-GVO dahin auszulegen ist, dass er verlangt, dass die Schwere des von dem für die Verarbeitung Verantwortlichen begangenen Verstoßes gegen die DS-GVO für die Zwecke des Ersatzes eines Schadens auf der Grundlage dieser Bestimmung berücksichtigt wird.
Insoweit geht aus Art. 82 DS-GVO hervor, dass zum einen die Haftung des Verantwortlichen u.a. vom Vorliegen eines ihm anzulastenden Verschuldens abhängt, das vermutet wird, sofern er nicht nachweist, dass die Handlung, die den Schaden verursacht hat, ihm nicht zurechenbar ist, und dass Art. 82 zum anderen nicht verlangt, dass die Schwere dieses Verschuldens bei der Bemessung der Höhe des als Entschädigung für einen immateriellen Schaden auf der Grundlage dieser Bestimmung gewährten Schadenersatzes berücksichtigt wird (Urt. v. 21.12.2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, Rn. 103).
Was die Bemessung der Höhe des etwaigen gemäß Art. 82 DS-GVO geschuldeten Schadenersatzes betrifft, haben die nationalen Gerichte, da die DS-GVO keine Bestimmung mit diesem Gegenstand enthält, bei seiner Bemessung die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden (vgl. in diesem Sinne Urt. v. 21.12.2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, Rn. 83 und 101 sowie die dort angeführte Rechtsprechung).
Der Gerichtshof hat außerdem klargestellt, dass Art. 82 DS-GVO in Anbetracht der Ausgleichsfunktion des darin verankerten Schadenersatzanspruchs nicht verlangt, dass die Schwere des Verstoßes gegen die Verordnung, den der für die Verarbeitung Verantwortliche begangen haben soll, bei der Bemessung des Betrags des zum Ausgleich eines immateriellen Schadens auf der Grundlage dieser Bestimmung gewährten Schadenersatzes berücksichtigt wird; er verlangt vielmehr, den Betrag so festzulegen, dass er den konkret aufgrund des Verstoßes gegen die DS-GVO erlittenen Schaden vollständig ausgleicht (vgl. in diesem Sinne Urt. v. 21.12.2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, Rn. 84 bis 87 und 102 sowie die dort angeführte Rechtsprechung).
Nach alledem ist auf die sechste Frage zu antworten, dass Art. 82 DS-GVO dahin auszulegen ist, dass er nicht verlangt, dass die Schwere des von dem für die Verarbeitung Verantwortlichen begangenen Verstoßes für die Zwecke des Ersatzes eines Schadens auf der Grundlage dieser Bestimmung berücksichtigt wird.
Zur zweiten Frage:
Mit seiner zweiten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 Abs. 1 DS-GVO dahin auszulegen ist, dass die Person, die aufgrund dieser Bestimmung Schadenersatz verlangt, nicht nur den Verstoß gegen Bestimmungen der DS-GVO nachweisen muss, sondern auch, dass ihr dadurch ein materieller oder immaterieller Schaden entstanden ist.
Art. 82 Abs. 1 DS-GVO lautet: „Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“
Wie sich aus dem Wortlaut dieser Bestimmung ergibt, reicht der bloße Verstoß gegen die DS-GVO nicht aus, um einen Schadenersatzanspruch zu begründen. Das Vorliegen eines „Schadens“ stellt nämlich eine der Voraussetzungen für den in Art. 82 Abs. 1 vorgesehenen Schadenersatzanspruch dar, ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (vgl. in diesem Sinne Urt. v. 04.05.2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 32 und 42, vom 14.12.2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, Rn. 77, vom 14.12.2023, Gemeinde Ummendorf, C-456/22, EU:C:2023:988, Rn. 14, und vom 21.12.2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, Rn. 82).
Speziell in Bezug auf immaterielle Schäden hat der Gerichtshof ferner entschieden, dass Art. 82 Abs. 1 DS-GVO einer nationalen Vorschrift oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person im Sinne von Art. 4 Nr. 1 DS-GVO entstandene Schaden eine gewisse Schwere erreicht hat (vgl. in diesem Sinne Urt. v. 04.05.2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 51, vom 14.12.2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, Rn. 78, und vom 14.12.2023, Gemeinde Ummendorf, C-456/22, EU:C:2023:988, Rn. 16).
Der Gerichtshof hat hinzugefügt, dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie nachteilige Folgen hatte, jedoch den Nachweis erbringen muss, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DS-GVO darstellen, da der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen (vgl. in diesem Sinne Urt. v. 04.05.2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 42 und 50, vom 14.12.2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, Rn. 84, und vom 14.12.2023, Gemeinde Ummendorf, C-456/22, EU:C:2023:988, Rn. 21 und 23).
Nach alledem ist auf die zweite Frage zu antworten, dass Art. 82 Abs. 1 DS-GVO dahin auszulegen ist, dass die Person, die aufgrund dieser Bestimmung Schadenersatz verlangt, nicht nur den Verstoß gegen Bestimmungen der DS-GVO nachweisen muss, sondern auch, dass ihr dadurch ein materieller oder immaterieller Schaden entstanden ist.
Zur fünften Frage:
Mit seiner fünften Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 Abs. 1 DS-GVO dahin auszulegen ist, dass in einem Fall, in dem ein Dokument, das personenbezogene Daten enthält, an einen unbefugten Dritten weitergegeben wurde, der diese Daten erwiesenermaßen nicht zur Kenntnis genommen hat, schon deshalb ein „immaterieller Schaden“ im Sinne dieser Bestimmung vorliegen kann, weil die betroffene Person befürchtet, dass im Anschluss an die Weitergabe, die es ermöglichte, vor der Rückgabe des Dokuments eine Kopie von ihm anzufertigen, in der Zukunft eine Weiterverbreitung oder gar ein Missbrauch ihrer Daten stattfindet.
Nach den Angaben des vorlegenden Gerichts erhielt der Kläger des Ausgangsverfahrens im vorliegenden Fall das Dokument mit den betreffenden Daten binnen einer halben Stunde nach der Weitergabe an einen unbefugten Dritten zurück, ohne dass dieser vor der Rückgabe des Dokuments die Daten zur Kenntnis genommen hatte; der Kläger macht aber geltend, der Dritte habe die Möglichkeit gehabt, vor der Rückgabe des Dokuments Kopien von ihm anzufertigen, was bei ihm Unbehagen wegen des Risikos einer künftigen missbräuchlichen Verwendung der Daten ausgelöst habe.
Angesichts dessen, dass Art. 82 Abs. 1 DS-GVO nicht auf das innerstaatliche Recht der Mitgliedstaaten verweist, muss der Begriff „immaterieller Schaden“ im Sinne dieser Bestimmung eine autonome und einheitliche unionsrechtliche Definition erhalten (vgl. in diesem Sinne Urt. v. 04.05.2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 30 und 44, sowie vom 14.12.2023, Gemeinde Ummendorf, C-456/22, EU:C:2023:988, Rn. 15)
Der Gerichtshof hat entschieden, dass sich nicht nur aus dem Wortlaut von Art. 82 Abs. 1 DS-GVO im Licht ihrer Erwägungsgründe 85 und 146, wonach der Begriff „immaterieller Schaden“ im Sinne von Art. 82 Abs. 1 weit zu verstehen ist, sondern auch aus dem mit der DS-GVO verfolgten Ziel der Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten ergibt, dass die durch einen Verstoß gegen die DS-GVO ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, für sich genommen einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 darstellen kann (vgl. in diesem Sinne Urt. v. 14.12.2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, Rn. 79 bis 86).
Überdies hat der Gerichtshof, ebenfalls gestützt auf Erwägungen zu Wortlaut, Systematik sowie Sinn und Zweck, festgestellt, dass die betroffene Person durch den kurzzeitigen Verlust der Kontrolle über personenbezogene Daten einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 DS-GVO erleiden kann, der einen Schadenersatzanspruch begründet, sofern diese Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat, wobei der bloße Verstoß gegen die Bestimmungen der DS-GVO nicht ausreicht, um auf dieser Grundlage einen Schadenersatzanspruch zu begründen (vgl. in diesem Sinne Urt. v. 14.12.2023, Gemeinde Ummendorf, C-456/22, EU:C:2023:988, Rn. 18 bis 23).
Desgleichen ist im vorliegenden Fall festzustellen, dass es sowohl mit dem Wortlaut von Art. 82 Abs. 1 DS-GVO als auch mit dem Schutzziel dieser Verordnung im Einklang steht, dass der Begriff „immaterieller Schaden“ eine Situation umfasst, in der die betroffene Person die begründete Befürchtung hegt – was zu prüfen Sache des angerufenen nationalen Gerichts ist –, dass einige ihrer personenbezogenen Daten künftig von Dritten weiterverbreitet oder missbräuchlich verwendet werden, weil ein Dokument, das diese Daten enthält, an einen unbefugten Dritten weitergegeben wurde, der in der Lage war, vor der Rückgabe des Dokuments Kopien von ihm anzufertigen.
Gleichwohl obliegt es demjenigen, der eine auf Art. 82 DS-GVO gestützte Schadenersatzklage erhebt, das Vorliegen eines solchen Schadens nachzuweisen. Insbesondere kann ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten nicht zu einer Entschädigung führen. Dies ist der Fall, wenn kein Dritter die fraglichen personenbezogenen Daten zur Kenntnis genommen hat.
Daher ist auf die fünfte Frage zu antworten, dass Art. 82 Abs. 1 DS-GVO dahin auszulegen ist, dass in einem Fall, in dem ein Dokument, das personenbezogene Daten enthält, an einen unbefugten Dritten weitergegeben wurde, der diese Daten erwiesenermaßen nicht zur Kenntnis genommen hat, nicht schon deshalb ein „immaterieller Schaden“ im Sinne dieser Bestimmung vorliegt, weil die betroffene Person befürchtet, dass im Anschluss an die Weitergabe, die es ermöglichte, vor der Rückgabe des Dokuments eine Kopie von ihm anzufertigen, in der Zukunft eine Weiterverbreitung oder gar ein Missbrauch ihrer Daten stattfindet.
Zur Vertiefung
Wybitbul/Brams/Zhou, Der EuGH erleichtert Massenklagen im Datenschutz = RDV 3/2023
[Urteil] Schadenersatz für subjektive Schäden = RDV 2/2024
[Urteil] Schadenersatz für immaterielle Schäden = RDV 2/2024
[Urteil] Voraussetzungen eines immateriellen Schadenersatzanspruchs nach Art. 82 DS-GVO = RDV 4/2023