Es ist erst ein paar Monate her, da entschied der Europäische Gerichtshof (EuGH) ganz Grundlegendes zum Schadenersatz nach Art. 82 DSGVO: Nicht jeder Verstoß gegen die Verordnung löst automatisch einen solchen Anspruch aus. Vielmehr bedarf es eines kausal auf diesem Verstoß beruhenden Schadens, auch wenn dabei keine Erheblichkeitsschwelle überwunden werden muss (EuGH, Urteil vom 4. Mai 2023, Az. C-300/21, wir berichteten).
Da sowohl Vertreter auf Seiten der Betroffenen als auch die Berater der Verantwortlichen dieses Urteil als positiv aufgenommen haben, konnte und kann es nicht schaden, wenn die Anforderungen an eine Haftung für Datenschutzverletzungen noch weiter durch den EuGH präzisiert werden. Glücklicherweise mangelt es derzeit nicht an Vorlagen durch die nationalen Gerichte. Im Dezember 2023 legte der EuGH gleich viermal nach, davon soll im Folgenden berichtet werden.
1. Keine Bagatellgrenze für immaterielle Schäden
Mit Urteil vom 14. Dezember 2023, Az. C‑456/22, stellte der EuGH noch einmal klar, dass die Annahme einer „Bagatellgrenze“ für erlittene, immaterielle Schäden nicht mit dem Wortlaut des Art. 82 DSGVO vereinbar ist.
Der Entscheidung liegt eine Vorlage zur Vorabentscheidung des Landgerichts Ravensburg zugrunde, das als Berufungsinstanz über die Frage zu entscheiden hatte, ob das Veröffentlichen von Namen in einer Tagesordnung für eine Gemeinderatssitzung sowie die Veröffentlichung eines Verwaltungsgerichtsurteils, jeweils mit den Klarnamen des Betroffenen, einen Anspruch auf Schadenersatz nach Art. 82 DSGVO begründen können. Das Landgericht Ravensburg neigte zur Annahme, dass für die Bejahung eines Schadens eine gewisse Schwelle (Bagatellgrenze) überschritten sein muss.
Der EuGH machte jedoch deutlich, dass die Annahme einer solchen Bagatellgrenze weder mit dem Wortlaut, der Systematik noch mit dem Sinn und Zweck der in Art. 82 DSGVO enthaltenen Vorschriften vereinbar ist. Das Gericht stellte vielmehr heraus, dass immer dann ein Anspruch auf Schadenersatz nach Art. 82 DSGVO besteht, wenn betroffene Personen nachweisen können, dass ihnen durch einen Datenschutzverstoß ein Schaden – so geringfügig er auch sein mag – entstanden ist.
2. Cyberangriff = Schadenersatz für Betroffene
Rund 58 Prozent aller Unternehmen in Deutschland gaben in einer 2023 durchgeführten Umfrage an, dass sie mindestens einmal Opfer eines Cyberangriffs wurden. Daher verwundert es nicht, dass der EuGH sich kürzlich mit datenschutzrechtlichen Grundsatzfragen in Zusammenhang mit Cyber-Attacken zu beschäftigen hatte.
Ein solcher Cyberangriff auf eine dem bulgarischen Finanzminister unterstellte Behörde ermöglichte es im Jahr 2019 den Angreifern, Daten von mehr als sechs Millionen natürlichen Personen im Internet zu veröffentlichen. Infolge dieser Veröffentlichung klagten Betroffene vor den bulgarischen Gerichten auf Schadenersatz und begründeten den Anspruch unter anderem damit, dass der erlittene immaterielle Schaden in der Befürchtung bestehe, dass ihre unrechtmäßig veröffentlichten Daten künftig missbräuchlich verwendet werden könnten.
Das Verwaltungsgericht der Stadt Sofia wies die Klage zunächst ab. Zum einen begründete das Gericht seine Entscheidung damit, dass die Kläger den Nachweis nicht erbringen konnten, dass es die Behörde unterlassen habe, angemessene Sicherheitsmaßnahmen zu treffen. Zum anderen sei den Betroffenen kein immaterieller Schaden entstanden. Die Kläger legten gegen diese Entscheidung Berufung beim obersten Verwaltungsgericht Bulgariens ein, was das Gericht dazu veranlasste, den EuGH im Wege der Vorabentscheidung zu ersuchen.
In seiner Entscheidung C‑340/21 vom 14. Dezember 2023 stellte der EuGH unter anderem fest, dass allein die Befürchtung einer Person, dass personenbezogene Daten missbräuchlich verwendet werden könnten, einen immateriellen Schaden darstellen kann. Die Annahme, dass ein immaterieller Schaden im Sinne von Art. 82 DSGVO dann nicht vorläge, wenn ein Schadenseintritt lediglich künftig zu befürchten sei, ist nach Ansicht des EuGH nicht mit der Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten in der Union vereinbar. Allerdings weist der EuGH gleichwohl darauf hin, dass die nationalen Gerichte stets zu prüfen haben, ob die vom Betroffenen geäußerte Befürchtung begründet ist. Nur dann kann ein Anspruch auf Schadenersatz bestehen.
Weiter stellte der EuGH fest, dass aus der Tatsache eines erfolgreichen Cyberangriffs per se kein Rückschluss zu treffen ist, dass ein angegriffenes Unternehmen unzureichende Sicherheitsmaßnahmen zur Verhinderung solcher Angriffe getroffen habe. Allerdings unterstrich der EuGH, dass das Unternehmen hier die Beweislast trägt. Wird ein Unternehmen Opfer eines Cyberangriffs und sieht es sich in der Folge Schadenersatzansprüchen von Betroffenen ausgesetzt, so muss das Unternehmen den Beweis dafür erbringen, dass es alle notwendigen Sicherheitsmaßnahmen zur Verhinderung von Cyberangriffen getroffen hat. Die Beurteilung der Geeignetheit der getroffenen Sicherheitsmaßnahmen obliegt hier den nationalen Gerichten. Gelingt dieser Nachweis, wird das Unternehmen nach Art. 82 DSGVO von der Verpflichtung zur Leistung von Schadenersatz befreit.
Ein erfolgreicher Cyberangriff führt damit nicht automatisch zu einem Anspruch auf Schadenersatz. Betroffene Geschädigte müssen zunächst den Nachweis erbringen, dass die Befürchtung eines eintretenden Schadens begründet ist. Die vom Cyberangriff betroffenen Unternehmen haben sodann die Möglichkeit nachzuweisen, dass diese geeigneten Sicherheitsmaßnahmen getroffen haben. Wie genau dieser Nachweis in der Praxis zu erbringen sein wird, werden weitere Gerichtsentscheidungen zeigen müssen.
3. Beweislastumkehr zum Verschulden
Sind sensible Daten gemäß Art. 9 Abs. 1 DSGVO erst einmal Gegenstand eines Datenschutzverstoßes, liegt die Annahme immaterieller Schäden häufig nicht fern. Ob und wenn ja in welcher Höhe ein Verantwortlicher in solchen Fällen haftet, beschäftigt die nationalen Gerichte folglich regelmäßig. Auf Basis des Vorlagebeschlusses des Bundesarbeitsgerichts (BAG) vom 26. August 2021, Az.: 8 AZR 253/20 (A) urteilte der EuGH am 21. Dezember 2023, Az.: C-667/21, zu Funktion und Voraussetzung des Art. 82 Abs. 1 DSGVO.
Im vorliegenden Fall verlangte ein arbeitsunfähig erkrankter Beschäftigter von seinem Arbeitgeber Schadenersatz in Höhe von 20.000 €. In seiner „Doppelfunktion“ als Arbeitgeber und Medizinischer Dienst („MD“), verarbeitete der Beklagte die Daten seines Arbeitnehmers zur Erstellung eines Gutachtens zur Arbeitsunfähigkeit auf Anfrage der Krankenkasse. Trotz konkret für solche „Spezialfälle“ eingerichtete technische und organisatorische Maßnahmen zum Schutz der betroffenen Personen hatten Kollegen des Klägers aus der IT-Abteilung Zugriff auf dessen Gesundheitsdaten. Um die Haftung des Verantwortlichen klären zu können, griff das zuständige BAG auf das Instrument des Vorabentscheidungsverfahrens vor dem EuGH zurück.
Das BAG bat den EuGH um Klärung, ob dem Schadenersatzanspruch neben einer Ausgleichsfunktion auch eine Abschreckungs- und Strafwirkung zukommt, der in der Höhe des Schadenersatzanspruchs zu berücksichtigen wäre. Gemäß Erwägungsgrund 146 S. 6 DSGVO soll Art. 82 DSGVO einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden sicherstellen. Der Schadenersatzanspruchs nach Art. 82 DSGVO hat daher nach Auffassung des EuGH eine reine Ausgleichsfunktion. Eine Abschreckungs- und Strafwirkung sei grundsätzlich den Art. 83, 84 DSGVO vorbehalten, die sich im Zusammenspiel mit Art. 82 DSGVO zu einem Anreiz für die Einhaltung der DSGVO ergänzen. Die Höhe des Schadenersatzanspruchs sei so festzulegen, dass er den konkret erlittenen Schaden vollständig ausgleicht. Auch bei immateriellen Schäden könne daher der Grad des Verschuldens nicht zu Ungunsten des Verantwortlichen bei der Anspruchshöhe berücksichtigt werden.
Das BAG wollte zudem geklärt wissen, ob es sich bei Art. 82 Abs. 1 DSGVO um einen verschuldensunabhängigen Anspruch handelt. Neben dem Verstoß gegen die DSGVO und einem erlittenen Schaden muss nach Rechtsprechung des EuGH auch ein Kausalzusammenhang zwischen Verstoß und Schaden vorliegen. Demnach setzt eine Haftung nach Art. 82 DSGVO stets ein dem Verantwortlichen anzuhaftendes Verschulden voraus. Gemäß Art. 82 Abs. 3 DSGVO hat der Verantwortliche anschließend die Möglichkeit zur Exkulpation. Die Beweislastumkehr dient somit dem Schutz der betroffenen Person. Damit wird erneut die hohe Relevanz der Dokumentation im Sinne der datenschutzrechtlichen Rechenschaftspflicht deutlich.
4. Haftung für schuldhaftes Verhalten der Mitarbeiter
Langersehnt entschied der EuGH am 5. Dezember 2023, Az. C-807/21, den Fall „Deutsche Wohnen“ . Die gleichnamige Wohnungsgesellschaft hatte von der Berliner Datenschutzbehörde einen Bußgeldbescheid über 14,5 Mio. Euro erhalten, da grob ausgedrückt ein unzureichendes Löschkonzept bestanden habe. Das Landgericht Berlin stellte das Bußgeldverfahren schließlich mit Blick auf §§ 30, 130 Ordnungswidrigkeitengesetz (OWiG) ein: Die Vorschriften müssten auch im Bereich des Artikel 83 DSGVO Anwendung finden und dazu führen, dass nur bei einem konkret nachgewiesenem Fehlverhalten eine Sanktionierung stattfinden darf. Die gegen das Urteil gerichtete Beschwerde führte schließlich zur Vorlage an den EuGH durch das Kammergericht.
Das Europäische Gericht erteilte der teilweise von Behörden vertretenen unmittelbaren Verbandshaftung („strict liability“) eine Absage: Ein Bußgeld darf nur bei einem nachgewiesenen fahrlässigen oder vorsätzlichen Verstoß verhängt werden. Allerdings darf es nicht darauf ankommen, ob eine konkrete natürliche Person beim Verantwortlichen identifiziert werden kann. Zugleich spielt es nach dem EuGH keine Rolle, ob sich die Unternehmensführung das Verhalten einer natürlichen Person zurechnen lassen muss – auf die Kenntnis des Leitungsorgans von den Vorgängen kommt es nicht an.
Die gute Nachricht ist, dass sich die Datenschutzaufsichten vor einer Sanktionierung schon die Mühe machen muss, ohne Ansehung einer konkreten Person die Schuldhaftigkeit eines Verstoßes festzustellen; die weit überwiegende Anzahl an Bußgeldverfahren litt derweil nicht an dem Mangel, dass man auf das Element der Schuld verzichtet hatte. Die schlechte Nachricht ist, dass sich die Aufsichtsbehörde nun keine Gedanken dazu machen muss, wie man das Verhalten der Geschäftsführung zurechnen könnte. Letztlich darf man davon ausgehen, dass jedwedes schuldhafte Handeln eines Mitarbeiters zu einem Bußgeld führen kann, ohne dass der intern Schuldige benannt werden muss.
Fazit
Der EuGH hat den Nebel rund um das Thema Haftung etwas gelichtet. Das dabei zum Vorschein gekommene Bild stimmt nachdenklich und lässt sich wie folgt zusammenfassen:
- Keine Bagatellgrenze für Schäden,
- Immaterieller Schadenersatz beim Cyberangriff schon bei Befürchtungen,
- Beweislastumkehr zulasten des Verantwortlichen beim Verschulden,
- Entlastung beim Cyberangriff nur durch Nachweis wirksamer TOM und
- Haftung für jedes schuldhafte Verhalten eines Mitarbeiters.
Jedem Verantwortlichen ist folglich mehr denn je anzuraten, die Pflichten nach dem Datenschutzrecht gewissenhaft zu erfüllen. Vor dem Hintergrund der gesteigerten Gefahren in Bezug auf Schadenersatzansprüche und Bußgelder sollte der Aufwand, der z.B. für die Bearbeitung von Betroffenenrechten, zur Dokumentation, für Schulungen oder für andere technisch-organisatorische Maßnahmen betrieben werden muss, als wesentlich günstigere Alternative erkannt werden – wir beraten dazu gern mit all unserer Kompetenz.Autor*innen:
Fabian Dechent (Rechtsanwalt)
Andree Hönninger (Rechtsanwalt / Fachanwalt für IT-Recht)
Rebecca Schimkat (LL.M. I Senior Data Privacy Consultant)