Schadensersatz für
Missbrauch
von Daten.
Schadensersatz für
Missbrauch
von Daten.
von
Der Missbrauch personenbezogener Daten kann Schadensersatzansprüche der Betroffenen nach sich ziehen. Doch unter welchen Voraussetzungen können Schadenersatzansprüche, insbesondere wegen immaterieller Schäden, geltend gemacht werden. Dies war bislang umstritten. Eine Entscheidung des Europäischen Gerichtshofs schafft nun Klarheit.
Immaterieller Schaden bei Verstößen gegen DSGVO
Personen, die aufgrund eines Verstoßes gegen die DSGVO einen materiellen oder immateriellen Schaden erlitten haben, haben einen datenschutzrechtlichen Anspruch auf Schadenersatz gegenüber dem Verantwortlichen oder dem Auftragsverarbeiter. Es stellt sich die Frage, wann ein immaterieller Schaden vorliegt und wer hierzu vortragen und dies belegen muss.
Die deutschen Gerichte haben in der jüngeren Vergangenheit hohe Hürden für Betroffene aufgestellt, wenn diese immateriellen Schäden wegen Datenschutzverstößen geltend machen wollen.
In zwei Verfahren (Az. 4 U 17/23 und 4 U 20/23) hat das OLG Stuttgart kürzlich Ansprüche auf immateriellen Schaden gegen Meta (vormals Facebook) wegen eines Datenlecks im Jahr 2018 abgewiesen. Die Begründung lautet, dass der bloße Kontrollverlust noch keine immaterielle Beeinträchtigung begründe. Auch andere Oberlandesgerichte zeigen sich in Bezug auf den Zuspruch immaterieller Schadensersatzansprüche zurückhaltend. Ein Grund dafür könnte die Befürchtung sein, dass ansonsten eine Vielzahl von Betroffenen Klagen einreichen würden.
Verfahren vor dem EuGH
Es gelangte nun ein Verfahren aus Bulgarien zur Frage des immateriellen Schadens vor den EuGH. Ausgangspunkt war folgender Sachverhalt:
Die bulgarische Nationale Agentur für Einnahmen (NAP), welche dem bulgarischen Finanzminister unterstellt ist, ist unter anderem mit der Feststellung, Sicherung und Einziehung öffentlicher Forderungen betraut. In diesem Zusammenhang ist sie auch für die Verarbeitung personenbezogener Daten verantwortlich. In 2019 wurde berichtet, das in das IT-System der NAP eingedrungen wurde. Infolge des Cyberangriffs sollen personenbezogene Daten von Millionen von Menschen im Internet veröffentlicht worden seien. Daraufhin klagten zahlreiche Personen die NAP auf Ersatz des immateriellen Schadens, der ihnen aus der Befürchtung eines möglichen Missbrauchs ihrer Daten entstanden sein soll.
Missbrauch personenbezogener Daten begründet Schadensersatz
Das Urteil des EuGH (Urteil vom 14.12.2023 – Az. C-340/21) hat es nun in sich.
Allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, kann einen „immateriellen Schaden“ darstellen.
Der Verantwortliche trägt die Beweislast dafür, dass die getroffenen Schutzmaßnahmen geeignet waren.
Im Fall der unbefugten Offenlegung von bzw. des unbefugten Zugangs zu personenbezogenen Daten durch „Dritte“ (wie Cyberkriminelle) kann der Verantwortliche gegenüber den Personen, denen ein Schaden entstanden ist, ersatzpflichtig sein, es sei denn, er weist nach, dass er in keinerlei Hinsicht für den Schaden
verantwortlich ist.
Im Fall der unbefugten Offenlegung von bzw. des unbefugten Zugangs zu personenbezogenen Daten können die Gerichte aus diesem Umstand allein nicht ableiten, dass die Schutzmaßnahmen, die der für die Datenverarbeitung Verantwortliche ergriffen hat, nicht geeignet waren. Die Gerichte müssen die Geeignetheit dieser Maßnahmen konkret beurteilen.
Fazit
Der EuGH erteilt der strengen Auffassung in der deutschen Rechtsprechung eine Absage. Allein der Kontrollverlust kann einen immateriellen Schaden begründen. Verantwortliche müssen zudem beweisen, dass die getroffenen Schutzmaßnahmen die Daten zu schützen geeignet und sie in keiner Weise für Schäden verantwortlich waren, wollen sie einer Inanspruchnahme entgehen.
Die Entscheidung erhöht das Risiko für Verantwortliche auf Schadensersatz in Anspruch genommen zu werden erheblich und dürfte in der Folge zu vermehrten Klagewellen von Betroffenen führen.
Die bislang aufgestellten Hürden einiger Oberlandesgerichte die eine Geltendmachung von immateriellen Schäden erschwert haben, wurden mit diesem Urteil jedenfalls weitgehend eingerissen. Es bleibt abzuwarten, wie die nationalen Gerichte nun mit den Vorgaben des EuGH umgehen.
Wir beraten
Sie gerne zum
Datenschutz!
