Liegt bereits ein Identitätsdiebstahl i.S.d. DSGVO vor, wenn Hacker personenbezogene Daten entwendet haben, aber sich (bisher) nicht als die betroffene Person ausgegeben haben? Diese und andere Fragen zum Verständnis von immateriellem Schadensersatz und seiner Beurteilung stellte sich das Amtsgericht München und legte sie im Rahmen eines Vorabentscheidungsverfahrens dem EuGH vor. Der Generalanwalt beim EuGH hat sich Ende Oktober zu der Frage geäußert, wann ein Identitätsdiebstahl vorliegt.
In den letzten Monaten konkretisierte der EuGH die Voraussetzungen, die für die Gewährung vom immateriellen Schadensersatz nach Art. 82 DSGVO erforderlich sind – wir berichteten u.a. an dieser Stelle und auch hier im Überblick. Die Aussagen des EuGH zur Gewährung eines immateriellen Schadensersatzes waren auf Stufe der Schadenshöhe im Wesentlichen Folgende:
- Der Eintritt eines materiellen oder immateriellen Schadens ist erforderlich (der bloße Verstoß von DSGVO-Vorschriften ist nicht ausreichend).
- Auch Bagatellschäden sind umfasst.
- Die Ermittlung der konkreten Schadensersatzhöhe obliegt den nationalen Gerichten.
Ist der Diebstahl von personenbezogenen Daten ein Identitätsdiebstahl?
Nun wurde der EuGH erneut im Rahmen eines Vorabentscheidungsverfahrens (verb. Rs. C-182/22 und C-189/2) um Beantwortung verschiedener Fragen zur Auslegung des Schadensersatzes nach Art. 82 DSGVO gebeten. Es geht bei den durch das AG München vorgelegten Fragen um zwei weitgehend vergleichbare Klagen gegen das Unternehmen Scalable Capital GmbH („Scalable“). Die beiden Kläger haben bei einer von der Scalable betriebenen Trading-App ein Nutzerkonto angelegt und zur Identifizierung personenbezogene Daten wie Name, Geburtsdaten sowie digitale Kopien ihrer Personalausweise hinterlegt. Diese Daten konnten von unbekannten Straftätern gestohlen werden. Das AG München ist der Auffassung, dass den Klägern grundsätzlich ein Schadensersatz nach Art. 82 DSGVO zusteht. Um die Höhe des zu gewährenden Schadensersatzanspruchs zu bestimmen, hat das AG München das Verfahren ausgesetzt und dem EuGH Fragen zur Auslegung von Art. 82 DSGVO vorgelegt.
In dem daraufhin eingeleiteten Vorabentscheidungsverfahren hat nun der Generalanwalt Anthony Collins in seinen Schlussanträgen vom 26. Oktober Stellung genommen. In der behandelten Frage wollte das AG München wissen, ob ein Identitätsdiebstahl i.S.d. Erwägungsgrund 75 DSGVO bereits vorliegt und einen Anspruch auf Schadensersatz begründet, wenn Straftäter über Daten verfügen, die den Betroffenen identifizieren oder ob dieser erst gegeben ist, wenn sich Straftäter bereits als die betroffene Person ausgegeben haben.
Auch ein immaterieller Schaden muss bewiesen sein
Der Generalanwalt betonte zunächst erneut, dass eindeutig und präzise bewiesen werden müsse, dass der Betroffene einen immateriellen Schaden erlitten habe. Ein bloß potenzieller oder hypothetischer Schaden oder die bloße Beunruhigung aufgrund des Diebstahls der eigenen personenbezogenen Daten stellen keinen ausreichenden Beweis dar. Ein immaterieller Schaden kann etwa vorliegen, wenn eine Person daran gehindert wird, ihre personenbezogenen Daten zu kontrollieren bzw. die Kontrolle über diese verliert.
Identitätsdiebstahl setzt Identitätsnutzung voraus
Die Begriffe Identitätsdiebstahl und Identitätsbetrug würden in der DSGVO erwähnt, jedoch nicht definiert. Aufgrund der Erwägungsgründe 75 und 85 DSGVO werde aber deutlich, dass der Diebstahl personenbezogener Daten selbst dann noch keinen Identitätsdiebstahl darstelle, wenn der Diebstahl dazu geeignet ist, die Grundlage dafür zu schaffen, dass diese Daten künftig (missbräuchlich) verwendet werden. Für die Annahme eines Identitätsdiebstahls sei zum Diebstahl der personenbezogenen Daten erforderlich, dass eine zusätzliche Handlung bzw. ein zusätzlicher Schritt mit nachteiligen Auswirkungen auf die betroffene Person gegeben ist. Beispielhaft müsse der Dieb etwa die Daten zu rechtswidrigen Zwecken verwenden oder zumindest konkrete Schritte diesbezüglich unternehmen. Letzteres Stadium ist den Juristen unter uns vergleichbar noch aus dem Strafrecht bekannt, wenn es um die Bestimmung des „Versuchs“ ging.
So sei zwar der Diebstahl personenbezogener Daten allein noch kein Identitätsdiebstahl bzw. Identitätsbetrug. Allerdings könne der Diebstahl dennoch bereits zu einem Anspruch auf immateriellen Schadensersatz führen. Dieser müsse aber bewiesen werden.
Folgen für die Praxis
Die rechtliche Würdigung des Generalanwalts führt die Wertungen des EuGH zum immateriellen Schadensersatz fort: Es ist stets der Nachweis eines konkret erlittenen immateriellen Schadens erforderlich, um einen Schadensersatzanspruch nach Art. 82 DSGVO zu begründen. Dieser Nachweis kann womöglich einfacher zu erbringen sein, wenn die betroffene Person tatsächlich Opfer eines Identitätsdiebstahls geworden ist – aber auch der bloße Diebstahl personenbezogener Daten an sich kann einen immateriellen Schadensersatzanspruch begründen. Die „Vollendung“ eines Identitätsdiebstahls ist in solchen Fällen also keine zwingende Voraussetzung für den Schadensersatzanspruch der Opfer. Abzustellen ist – wie immer – auf die konkreten Umstände des Einzelfalls.