Urteil : Schadenersatz für immaterielle Schäden : aus der RDV 2/2024, Seite 112-115
(EuGH, Urteil vom 14. Dezember 2023 – C-340/21 –)
- Der in Art. 5 Abs. 2 der Verordnung 2016/679 formulierte und in Art. 24 dieser Verordnung konkretisierte Grundsatz der Rechenschaftspflicht des Verantwortlichen ist dahin auszulegen, dass im Rahmen einer auf Art. 82 der Verordnung gestützten Schadenersatzklage der für die betreffende Verarbeitung Verantwortliche die Beweislast dafür trägt, dass die von ihm getroffenen Sicherheitsmaßnahmen im Sinne von Art. 32 dieser Verordnung geeignet waren. […]
- Art. 82 Abs. 3 der Verordnung 2016/679 ist dahin auszulegen, dass der Verantwortliche von seiner nach Art. 82 Abs. 1 und 2 dieser Verordnung bestehenden Pflicht zum Ersatz des einer Person entstandenen Schadens nicht allein deshalb befreit werden kann, weil dieser Schaden die Folge einer unbefugten Offenlegung von bzw. eines unbefugten Zugangs zu personenbezogenen Daten durch „Dritte“ im Sinne von Art. 4 Nr. 10 dieser Verordnung ist, wobei der Verantwortliche dann nachweisen muss, dass er in keinerlei Hinsicht für den Umstand, durch den der betreffende Schaden eingetreten ist, verantwortlich ist.
- Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen diese Verordnung befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, einen „immateriellen Schaden“ im Sinne dieser Bestimmung darstellen kann.
Zu den Vorlagefragen:
Zur dritten Frage:
Zum ersten Teil der dritten Frage:
Mit dem ersten Teil seiner dritten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob der in Art. 5 Abs. 2 DS-GVO formulierte und in Art. 24 DS-GVO konkretisierte Grundsatz der Rechenschaftspflicht des Verantwortlichen dahin auszulegen ist, dass im Rahmen einer auf Art. 82 DS-GVO gestützten Schadenersatzklage der für die betreffende Verarbeitung Verantwortliche die Beweislast dafür trägt, dass die von ihm getroffenen Sicherheitsmaßnahmen im Sinne von Art. 32 DS-GVO geeignet waren.
In diesem Zusammenhang ist erstens darauf hinzuweisen, dass Art. 5 Abs. 2 DS-GVO einen Grundsatz der Rechenschaftspflicht aufstellt, nach dem der Verantwortliche für die Einhaltung der in Art. 5 Abs. 1 DS-GVO niedergelegten Grundsätze für die Verarbeitung personenbezogener Daten verantwortlich ist, und der vorsieht, dass dieser Verantwortliche nachweisen können muss, dass diese Grundsätze eingehalten werden.
Insbesondere muss der Verantwortliche gemäß dem Grundsatz der Integrität und Vertraulichkeit personenbezogener Daten, der in Art. 5 Abs. 1 Buchst. f) DS-GVO festgelegt ist, sicherstellen, dass solche Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen, und er muss nachweisen können, dass dieser Grundsatz beachtet wird.
Ferner ist darauf hinzuweisen, dass sowohl Art. 24 Abs. 1 in Verbindung mit dem 74. Erwägungsgrund der DS-GVO als auch Art. 32 Abs. 1 DS-GVO den Verantwortlichen verpflichten, in Bezug auf jedwede Verarbeitung personenbezogener Daten, die durch ihn oder in seinem Namen erfolgt, geeignete technische und organisatorische Maßnahmen umzusetzen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß der DS-GVO erfolgt.
Aus dem Wortlaut von Art. 5 Abs. 2, Art. 24 Abs. 1 und Art. 32 Abs. 1 DS-GVO geht eindeutig hervor, dass die Beweislast dafür, dass personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit dieser Daten im Sinne von Art. 5 Abs. 1 Buchst. f) und Art. 32 DS-GVO gewährleistet, dem für die betreffende Verarbeitung Verantwortlichen obliegt (vgl. entsprechend Urt. v. 04.05.2023, Bundesrepublik Deutschland [Elektronisches Gerichtsfach], C-60/22, EU:C:2023:373, Rn. 52 und 53, und vom 04.07.2023, Meta Platforms u. a. [Allgemeine Nutzungsbedingungen eines sozialen Netzwerks], C-252/21, EU:C:2023:537, Rn. 95).
Diese drei Art. formulieren somit eine allgemein anwendbare Regel, die mangels gegenteiliger Anhaltspunkte in der DS-GVO auch im Rahmen einer auf Art. 82 DS-GVO gestützten Schadenersatzklage anzuwenden ist. […]
Daher ist auf den ersten Teil der dritten Frage zu antworten, dass der in Art. 5 Abs. 2 DS-GVO formulierte und in Art. 24 DS-GVO konkretisierte Grundsatz der Rechenschaftspflicht des Verantwortlichen dahin auszulegen ist, dass im Rahmen einer auf Art. 82 DS-GVO gestützten Schadenersatzklage der für die betreffende Verarbeitung Verantwortliche die Beweislast dafür trägt, dass die von ihm getroffenen Sicherheitsmaßnahmen im Sinne von Art. 32 DS-GVO geeignet waren.
Zum zweiten Teil der dritten Frage:
Mit dem zweiten Teil seiner dritten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 32 DS-GVO und der unionsrechtliche Effektivitätsgrundsatz dahin auszulegen sind, dass für die Beurteilung der Geeignetheit der Sicherheitsmaßnahmen, die der Verantwortliche nach diesem Art. getroffen hat, ein gerichtliches Sachverständigengutachten ein notwendiges und ausreichendes Beweismittel ist.
Insoweit ist darauf hinzuweisen, dass es nach ständiger Rechtsprechung mangels einschlägiger Unionsregeln nach dem Grundsatz der Verfahrensautonomie Sache der innerstaatlichen Rechtsordnung jedes Mitgliedstaats ist, die verfahrensrechtlichen Modalitäten der Rechtsbehelfe, die zum Schutz der Rechte der Bürger bestimmt sind, festzulegen, vorausgesetzt allerdings, dass diese Modalitäten bei unter das Unionsrecht fallenden Sachverhalten nicht ungünstiger sind als diejenigen, die gleichartige Sachverhalte regeln, die dem innerstaatlichen Recht unterliegen (Äquivalenzgrundsatz), und dass sie die Ausübung der durch das Unionsrecht verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren (Effektivitätsgrundsatz) (Urt. v. 04.05.2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 53 und die dort angeführte Rechtsprechung).
Im vorliegenden Fall ist festzustellen, dass die DS-GVO keine Regeln über die Zulassung und den Beweiswert eines Beweismittels wie eines gerichtlichen Sachverständigengutachtens enthält, die von den nationalen Gerichten anzuwenden sind, die mit einer auf Art. 82 DS-GVO gestützten Schadenersatzklage befasst sind und die Geeignetheit der von dem für die betreffende Verarbeitung Verantwortlichen getroffenen Sicherheitsmaßnahmen im Hinblick auf Art. 32 DS-GVO zu beurteilen haben. Daher ist es nach den Ausführungen in der vorstehenden Randnummer des vorliegenden Urteils und in Ermangelung einschlägiger unionsrechtlicher Vorschriften Aufgabe der innerstaatlichen Rechtsordnung des einzelnen Mitgliedstaats, die Ausgestaltung von Klageverfahren, die den Schutz der dem Einzelnen aus Art. 82 DS-GVO erwachsenden Rechte gewährleisten sollen, und insbesondere die Regeln für die Beweismittel, anhand deren die Geeignetheit solcher Maßnahmen in diesem Zusammenhang bewertet werden kann, festzulegen, wobei der Äquivalenz- und der Effektivitätsgrundsatz zu beachten sind (vgl. entsprechend Urt. v. 21.06.2022, Ligue des droits humains, C-817/19, EU:C:2022:491, Rn. 297, und vom 04.05.2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 54).
Im vorliegenden Verfahren hat der Gerichtshof keinen Anhaltspunkt für Zweifel an der Beachtung des Äquivalenzgrundsatzes. Etwas anderes gilt für die Vereinbarkeit mit dem Effektivitätsgrundsatz, da schon der Wortlaut des zweiten Teils der dritten Frage die Einholung eines gerichtlichen Sachverständigengutachtens als „notwendiges und ausreichendes Beweismittel“ darstellt.
Insbesondere könnte eine nationale Verfahrensvorschrift, nach der es generell „notwendig“ wäre, dass die nationalen Gerichte ein gerichtliches Sachverständigengutachten anordnen, gegen den Effektivitätsgrundsatz verstoßen. Ein genereller Rückgriff auf ein solches Gutachten kann sich nämlich in Anbetracht anderer Beweise, die dem angerufenen Gericht vorliegen, als überflüssig erweisen; wie die bulgarische Regierung in ihren schriftlichen Erklärungen ausgeführt hat, gilt dies insbesondere im Hinblick auf Ergebnisse einer Kontrolle der Einhaltung der Maßnahmen zum Schutz personenbezogener Daten, die von einer unabhängigen und gesetzlich eingerichteten Behörde durchgeführt wurde, sofern diese Kontrolle erst kürzlich stattgefunden hat, da diese Maßnahmen gemäß Art. 24 Abs. 1 DS-GVO erforderlichenfalls zu überprüfen und zu aktualisieren sind.
Zudem könnte, wie die Europäische Kommission in ihren schriftlichen Erklärungen ausgeführt hat, der Effektivitätsgrundsatz verletzt sein, wenn der Begriff „ausreichend“ dahin zu verstehen wäre, dass ein nationales Gericht ausschließlich oder automatisch aus einem gerichtlichen Sachverständigengutachten abzuleiten hätte, dass die von dem für die betreffende Verarbeitung Verantwortlichen getroffenen Sicherheitsmaßnahmen „geeignet“ im Sinne von Art. 32 DS-GVO sind. Die Wahrung der durch diese Verordnung eingeräumten Rechte, die mit dem Effektivitätsgrundsatz bezweckt wird, und insbesondere das durch Art. 79 Abs. 1 DS-GVO garantierte Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen den Verantwortlichen erfordern indes, dass ein unparteiisches Gericht eine objektive Beurteilung der Geeignetheit der betreffenden Maßnahmen vornimmt, anstatt sich auf eine solche Ableitung zu beschränken (vgl. in diesem Sinne Urt. v. 12.01.2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C-132/21, EU:C:2023:2, Rn. 50).
Nach alledem ist auf den zweiten Teil der dritten Frage zu antworten, dass Art. 32 DS-GVO und der unionsrechtliche Effektivitätsgrundsatz dahin auszulegen sind, dass für die Beurteilung der Geeignetheit der Sicherheitsmaßnahmen, die der Verantwortliche nach diesem Art. getroffen hat, ein gerichtliches Sachverständigengutachten kein generell notwendiges und ausreichendes Beweismittel sein kann.
Zur vierten Frage:
Mit seiner vierten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 Abs. 3 DS-GVO dahin auszulegen ist, dass der Verantwortliche von seiner nach Art. 82 Abs. 1 und 2 DS-GVO bestehenden Pflicht zum Ersatz des einer Person entstandenen Schadens allein deshalb befreit ist, weil dieser Schaden die Folge einer unbefugten Offenlegung von bzw. eines unbefugten Zugangs zu personenbezogenen Daten durch „Dritte“ im Sinne von Art. 4 Nr. 10 DS-GVO ist. […]
Aus diesen Bestimmungen ergibt sich zum einen, dass der für die betreffende Verarbeitung Verantwortliche grundsätzlich einen Schaden ersetzen muss, der durch einen mit dieser Verarbeitung im Zusammenhang stehenden Verstoß gegen die DS-GVO verursacht wurde, und zum anderen, dass er nur dann von seiner Haftung befreit werden kann, wenn er den Nachweis erbringt, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.
Wie die ausdrückliche Hinzufügung des Ausdrucks „in keinerlei Hinsicht“ im Lauf des Gesetzgebungsverfahrens zeigt, müssen die Umstände, unter denen der Verantwortliche von der ihm nach Art. 82 DS-GVO drohenden zivilrechtlichen Haftung befreit werden kann, streng auf solche beschränkt werden, unter denen der Verantwortliche nachweisen kann, dass er selbst nicht für den Schaden verantwortlich ist.
Wenn, wie im vorliegenden Fall, eine Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DS-GVO von Cyberkriminellen und damit von „Dritten“ im Sinne von Art. 4 Nr. 10 DS-GVO begangen wurde, kann diese Verletzung dem Verantwortlichen nur dann zugerechnet werden, wenn dieser die Verletzung unter Missachtung einer Verpflichtung aus der DS-GVO, insbesondere der Verpflichtung zum Datenschutz, die ihm nach Art. 5 Abs. 1 Buchst. f), Art. 24 und Art. 32 DS-GVO obliegt, ermöglicht hat.
Somit kann sich der Verantwortliche bei einer Verletzung des Schutzes personenbezogener Daten durch einen Dritten auf der Grundlage von Art. 82 Abs. 3 DS-GVO von seiner Haftung befreien, indem er nachweist, dass es keinen Kausalzusammenhang zwischen der etwaigen Verletzung der Verpflichtung zum Datenschutz durch ihn und dem der natürlichen Person entstandenen Schaden gibt.
Zweitens steht die vorstehende Auslegung von Art. 82 Abs. 3 DS-GVO auch im Einklang mit dem in den Erwägungsgründen 10 und 11 der DS-GVO formulierten Ziel der DS-GVO, ein hohes Schutzniveau für natürliche Personen bei der Verarbeitung ihrer personenbezogenen Daten zu gewährleisten.
Nach alledem ist auf die vierte Frage zu antworten, dass Art. 82 Abs. 3 DS-GVO dahin auszulegen ist, dass der Verantwortliche von seiner nach Art. 82 Abs. 1 und 2 DS-GVO bestehenden Pflicht zum Ersatz des einer Person entstandenen Schadens nicht allein deshalb befreit werden kann, weil dieser Schaden die Folge einer unbefugten Offenlegung von bzw. eines unbefugten Zugangs zu personenbezogenen Daten durch „Dritte“ im Sinne von Art. 4 Nr. 10 DS-GVO ist, wobei der Verantwortliche dann nachweisen muss, dass er in keinerlei Hinsicht für den Umstand, durch den der betreffende Schaden eingetreten ist, verantwortlich ist.
Zur fünften Frage:
Mit seiner fünften Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 Abs. 1 DS-GVO dahin auszulegen ist, dass allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DS-GVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, einen „immateriellen Schaden“ im Sinne dieser Bestimmung darstellen kann.
Was erstens den Wortlaut von Art. 82 Abs. 1 DS-GVO betrifft, ist darauf hinzuweisen, dass dieser Folgendes vorsieht: „Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“
Insoweit hat der Gerichtshof festgestellt, dass aus dem Wortlaut von Art. 82 Abs. 1 DS-GVO klar hervorgeht, dass das Vorliegen eines „Schadens“, der entstanden ist, eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DS-GVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (Urt. v. 04.05.2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 32).
Darüber hinaus hat der Gerichtshof Art. 82 Abs. 1 DS-GVO auf der Grundlage von Erwägungen zu Wortlaut, Systematik sowie Sinn und Zweck dahin ausgelegt, dass er einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines „immateriellen Schadens“ im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat (Urt. v. 04.05.2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 51).
Weiter ist im vorliegenden Fall festzustellen, dass Art. 82 Abs. 1 DS-GVO nicht danach unterscheidet, ob der infolge eines erwiesenen Verstoßes gegen die Bestimmungen der DS-GVO von der betroffenen Person behauptete „immaterielle Schaden“ mit einer zum Zeitpunkt ihres Schadenersatzantrags bereits erfolgten missbräuchlichen Verwendung ihrer personenbezogenen Daten durch Dritte verbunden ist oder ob er mit ihrer Angst verknüpft ist, dass eine solche Verwendung in Zukunft erfolgen könnte.
Somit schließt der Wortlaut von Art. 82 Abs. 1 DS-GVO nicht aus, dass der in dieser Bestimmung enthaltene Begriff „immaterieller Schaden“ eine Situation wie die vom vorlegenden Gericht beschriebene umfasst, in der sich die betroffene Person, um Schadenersatz nach dieser Bestimmung zu erhalten, auf ihre Befürchtung beruft, dass ihre personenbezogenen Daten aufgrund des eingetretenen Verstoßes gegen die DS-GVO in Zukunft von Dritten missbräuchlich verwendet werden.
Diese wörtliche Auslegung wird zweitens durch den 146. Erwägungsgrund der DS-GVO bestätigt, der speziell den in Art. 82 Abs. 1 DS-GVO vorgesehenen Schadenersatzanspruch betrifft und in dessen drittem Satz heißt es, dass „[d] er Begriff des Schadens … im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden [sollte], die den Zielen dieser Verordnung in vollem Umfang entspricht.“ Eine Auslegung des Begriffs „immaterieller Schaden“ im Sinne von Art. 82 Abs. 1 DS-GVO, die nicht die Fälle umfasst, in denen die von einem Verstoß gegen die DS-GVO betroffene Person sich auf die Befürchtung beruft, dass ihre eigenen personenbezogenen Daten in Zukunft missbräuchlich verwendet werden, entspräche jedoch nicht einer weiten Auslegung dieses Begriffs, wie sie vom Unionsgesetzgeber beabsichtigt ist (vgl. entsprechend Urt. v. 04.05.2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 37 und 46).
Zudem heißt es im ersten Satz des 85. Erwägungsgrundes der DS-GVO, dass „[e]ine Verletzung des Schutzes personenbezogener Daten … – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen [kann], wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste … oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person“. Aus dieser beispielhaften Aufzählung der „Schäden“, die den betroffenen Personen entstehen können, geht hervor, dass der Unionsgesetzgeber unter den Begriff „Schaden“ insbesondere auch den bloßen „Verlust der Kontrolle“ über ihre eigenen Daten infolge eines Verstoßes gegen die DS-GVO fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte.
Drittens und letztens wird die in Rn. 80 des vorliegenden Urteils vorgenommene Auslegung durch die Ziele der DS-GVO gestützt, denen die Definition des Begriffs „Schaden“ in vollem Umfang entsprechen muss, wie es im dritten Satz des 146. Erwägungsgrundes der DS-GVO heißt. Eine Auslegung von Art. 82 Abs. 1 DS-GVO dahin, dass der Begriff „immaterieller Schaden“ im Sinne dieser Bestimmung keine Situationen umfasst, in denen sich eine betroffene Person nur auf ihre Befürchtung beruft, dass ihre Daten in Zukunft von Dritten missbräuchlich verwendet werden, wäre jedoch nicht mit der Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten in der Union vereinbar, die mit diesem Rechtsakt bezweckt wird.
Allerdings ist darauf hinzuweisen, dass eine Person, die von einem Verstoß gegen die DS-GVO betroffen ist, der für sie negative Folgen gehabt hat, nachweisen muss, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DS-GVO darstellen (vgl. in diesem Sinne Urt. v. 04.05.2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 50).
Insbesondere muss das angerufene nationale Gericht, wenn sich eine Person, die auf dieser Grundlage Schadenersatz fordert, auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann.
Nach alledem ist auf die fünfte Frage zu antworten, dass Art. 82 Abs. 1 DS-GVO dahin auszulegen ist, dass allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DS-GVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, einen „immateriellen Schaden“ im Sinne dieser Bestimmung darstellen kann.