EuGH - Ängste und Sorgen ausreichend für immateriellen Schadensersatz!

Nachdem der Europäische Gerichtshof im Mai diesen Jahres noch im Sinne der Wirtschaft geurteilt hat, dass der bloße Datenschutzverstoß nicht ausreichend für einen Anspruch auf Schadensersatz ist (siehe unseren Beitrag), musste er nun konkreter werden und urteilen, was als immaterieller Schaden anerkannt werden kann (Urteil vom 14. Dezember 2023, Rs. C-340/21).

Ausgangsfall

Im Jahr 2019 wurde eine bulgarische Behörde Opfer eines Cyberangriffs, bei welchem die unbekannten Angreifer sich Zugang zu Steuer- und Sozialversicherungsdaten von Millionen von Personen verschafft haben. Die Daten sollen anschließend laut Medienberichten im Internet veröffentlich worden sein. Daraufhin klagten mehrere hundert betroffene Personen auf Ersatz des immateriellen Schadens, der sich aus der Offenlegung der personenbezogenen Daten ergeben haben soll. Die Klägerin im Ausgangsverfahren machte geltend, dass ihr immaterieller Schaden in der Befürchtung besteht, dass ihre personenbezogenen Daten künftig missbräuchlich verwendet würden oder dass sie selbst erpresst, angegriffen oder sogar entführt werde.

Der EuGH wurde durch das bulgarische Berufungsgericht angerufen, um unter anderem folgende Fragen zu klären:

1. Stellt allein die Tatsache, dass Angreifer Daten ausspähen konnten, ein Datenschutzverstoß dar?
2. Besteht ein ersatzfähiger immaterieller Schaden bereits in Sorgen, Ängsten und Befürchtungen über einen möglichen zukünftigen Missbrauch?

Entscheidung

Während der EuGH die erste Frage im Ergebnis verneint hat, wurde ein Schadensersatzanspruch bereits bei Ängsten und Befürchtungen nicht kategorisch ausgeschlossen.

1. Kein Datenschutzverstoß, wenn Verantwortliche ausreichende Sicherungsmaßnahmen getroffen hat
Der EuGH betont erneut, dass Voraussetzung für einen Schadensersatzanspruch zunächst ein Datenschutzverstoß sei. Ein solcher liege nicht automatisch vor, wenn Dritte sich unbefugt Zugang zu personenbezogenen Daten verschafft haben. Die DS-GVO verlange vom Verantwortlichen lediglich, dass dieser ausreichende technische und organisatorische Maßnahmen träfe, die darauf gerichtet sind, jede Verletzung des Schutzes personenbezogener Daten so weit wie möglich zu verhindern. Nationale Gerichte müssten im Einzelfall durch geeignete Beweiserhebungen prüfen, ob der Verantwortliche ausreichende Maßnahmen ergriffen hat, die speziell mit der betreffenden Verarbeitung sowie den davon ausgehenden Risiken verbunden sind. Die Beweislast liege insofern beim Verantwortlichen.

Damit wird Unternehmen schon auf der ersten Stufe der Prüfung die Möglichkeit eröffnet, einen Schadensersatzanspruch abzuwehren. Dies erfordert jedoch, dass die ergriffenen Maßnahmen ausreichend dokumentiert und begründet sind.

2. Befürchtungen grundsätzlich als immaterieller Schaden anerkannt
Nach der für Unternehmen positiven Beantwortung der ersten Vorlagefragen, wird der EuGH allerdings wieder verbraucherfreundlicher. Unter Auslegung des Wortlauts des DS-GVO hat der EuGH entschieden, dass Sorgen, Ängste oder Befürchtungen eines zukünftigen Missbrauchs einen immateriellen Schaden darstellen können.

Diese Entscheidung ist von hoher praktischer Relevanz, da Ängste und Befürchtungen in der Regel die erste Reaktion von betroffenen Personen sein dürften, wenn Sie vom Verlust ihrer Daten durch einen Cyberangriff erfahren, unabhängig davon ob es später tatsächlich zu einem Missbrauch kommt. Schon heute werden in jedem Schadensersatzprozess aufgrund eines Datenschutzverstoßes Ängste und Sorgen der betroffenen Person erwähnt. Deutsche Gerichte standen dieser Argumentation bislang eher abweisend gegenüber.

Wichtig ist es jedoch, dass auch der EuGH einschränkend darauf hinweist:

„[…] dass eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie negative Folgen gehabt hat, nachweisen muss, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen (vgl. in diesem Sinne Urteil vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C‑300/21, EU:C:2023:370, Rn. 50).

Insbesondere muss das angerufene nationale Gericht, wenn sich eine Person, die auf dieser Grundlage Schadenersatz fordert, auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann.“ (Hervorhebungen nicht im Original)

Betroffene Personen müssen somit ihre Ängste, Sorgen und Befürchtungen auch beweisen können. Eine pauschale Behauptung – wie in Masseverfahren üblich – ist für die Darlegung nicht ausreichend. Insbesondere bei hohen Schadensersatzforderungen liegt häufig der Verdacht nahe, dass es die Kläger vor allem finanzielle Interessen und keinen erlittenen Schaden haben.

Praxishinweis

Das Urteil des EuGH vom 14. Dezember 2023 bringt mehr Klarheit und gibt auch deutschen Gerichte klarere Hinweise für die Entscheidung. Es sind allerdings noch weitere Fragen mit Bezug zum Schadensersatz nach Art. 82 DS-GVO offen, insbesondere zur Höhe des Schadensersatzes oder weitere „gefühlte“ Beeinträchtigungen. Wir werden die ausstehenden Entscheidungen des EuGH insofern weiter eng beobachten und Sie informiert halten.

Aufgrund des vorliegenden Urteils sollten Unternehmen prüfen, ob ihre ergriffenen technischen und organisatorischen Maßnahmen ausreichend dokumentiert und auch begründet sind. Zur Abwehr von Schadensersatzansprüchen müssen Unternehmen darlegen können, warum sie die ergriffenen Maßnahmen für ausreichend erachtet haben. Gerne beraten und unterstützen wir Sie dabei mit unseren Spezialisten.

Zudem werden auf Massenverfahren spezialisierte Anwaltskanzleien dieses Urteil aufgreifen, um nach größeren Cyberangriffen Schadensersatzansprüche für betroffene Personen geltend zu  machen. Unternehmen sind hier gut beraten, ebenfalls frühzeitig Kontakt zu auf Massenverfahren spezialisierte Wirtschaftskanzleien aufzunehmen, um sich gegen diese Ansprüche erfolgreich zur Wehr zu setzen. Unser Team aus spezialisierten Anwälten und LegalTech-Experten berät und unterstütz Sie gerne.