Der EuGH hat in zwei Entscheidungen die Anforderungen an einen immateriellen Schadensersatz nach DSGVO-Verstoß konkretisiert. Hoch praxisrelevant sind dabei gerade die Anforderungen an Schadensersatzforderungen gegen die Opfer eines Hackerangriffs: Müssen Unternehmen auch dann noch Schadensersatz an betroffene Personen zahlen? In der Praxis wird bereits befürchtet, dass nun die Massenklagen anrollen. Aber ist das wirklich so? Eine genaue Betrachtung der beiden Urteile lohnt sich!
Kommt es nach einem schuldhaften DSGVO-Verstoß zu einem Vermögensschaden, liegen Schadensersatzansprüche auf der Hand. Was aber ist, wenn es an einem materiellen Schaden fehlt, die Betroffenen allerdings immaterielle Schäden beklagen? Wie intensiv muss die Beeinträchtigung sein, um einen Ausgleich in Geld zu erhalten – und wie ist die Beeinträchtigung nachzuweisen?
Insbesondere: Was gilt nach einem Hackerangriff, wenn Daten der Betroffenen unbefugt eingesehen, wurden? Muss das Opfer des Hackerangriffs wegen des Vorfalls an sich Schadensersatz leisten?
Der EuGH hat sich dieser Fragen angenommen. Im ersten Fall ging es um die bloße Befürchtung eines Datenmissbrauchs nach einem Hackerangriff (Rs. C‑340/21), im zweiten Fall um die Namensnennung in öffentlichen Dokumenten (Rs. C-456/22).
Angst vor Datenmissbrauch und die Anforderungen an die Datensicherheit
Der Fall
Hacker haben auf das Computersystem der bulgarischen Behörde NAP zugegriffen. Laut Medienberichten wurde dabei personenbezogene Steuer- und Sozialversicherungsdaten von mehreren Millionen Personen abgegriffen und im Internet veröffentlicht. Die Klägerin des Ausgangsverfahrens verlangte daraufhin von der NAP Schadensersatz aus Art. 82 DSGVO, wozu der EuGH im Rahmen eines Vorabentscheidungsverfahrens angerufen wurde. Zu den Schlussanträgen in diesem Verfahren berichteten wir in unserem Newsletter aus Mai 2023.
Die EuGH-Entscheidung
Die EuGH-Entscheidung erging am 14.12.2023 (Rs. C‑340/21). Die für die Praxis wichtigsten Aussagen des EuGH betreffen die Anforderungen an die angemessene Datensicherheit und den immateriellen Schadensnachweis:
- Ein (erfolgreicher) Hackerangriff alleine belegt nicht, dass das angegriffene Unternehmen keine ausreichenden technischen und organisatorischen Schutzmaßnahmen ergriffen hatte.
Auch im neuen IT-Sicherheitsrecht, das bislang im Entwurf vorliegt, werden folgerichtig lediglich Risikomanagementmaßnahmen verlangt, die die Auswirkungen von Cyber-Attacken geringhalten. Vermieden werden können diese bisweilen selbst bei optimaler IT-Sicherheit nicht.
- Allerdings trägt das angegriffene Unternehmen auch im Rahmen einer Schadensersatzklage die Beweislast für angemessene Sicherheitsmaßnahmen. Dieses muss sich entlasten und nicht der Kläger eine unzureichende Sicherheit nachweisen.
- Ein immaterieller Schaden i.S.d. Art. 82 Abs. 1 DSGVO kann auch schon dann vorliegen, wenn die betroffene Person infolge eines Verstoßes gegen die DSGVO die Befürchtung hat, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten. Der Datenmissbrauch muss (noch) nicht stattgefunden haben. Allerdings muss die betroffene Person ihre Befürchtung nachweisen.
Voraussetzungen des immateriellen Schadensersatzes
Der Fall
Die Gemeinde Ummendorf hatte auf ihrer Internetseite für einen Zeitraum von drei Tagen ohne Einwilligung der Kläger deren Namen sowie Anschrift im Zusammenhang mit der Tagesordnung einer Gemeinderatssitzung sowie eines Gerichtsurteils veröffentlicht. Die Kläger machten wegen der unzulässigen Offenlegung ihrer Daten immateriellen Schadensersatz geltend.
Das im Berufungsverfahren mit der Sache befasste Landgericht Ravensburg war sich unsicher, ob tatsächlich ein immaterieller Schaden entstanden ist. Daher bat das LG Ravensburg den EuGH um Auskunft im Rahmen eines Vorabentscheidungsverfahrens zu der Frage, ob die Annahme eines immateriellen Schades einen spürbaren Nachteil und eine objektiv nachvollziehbare Beeinträchtigung persönlichkeitsbezogener Belange erfordert oder ob bereits der kurzzeitige Verlust des Betroffenen über die Hoheit seiner Daten, der ohne spürbare und nachteilige Konsequenzen für den Betroffenen blieb, für die Annahme eines immateriellen Schadens genügt.
Die EuGH-Entscheidung
Das EuGH-Urteil vom 14.12.2023 in dieser Rechtssache C‑456/22 ist weitreichend: Die Veröffentlichung der Daten im Internet sowie der daraus resultierende – kurzzeitige – Verlust der Datenhoheit kann zu einem immateriellen Schaden führen. Auch ein Bagatellschaden begründet einen Schadensersatzanspruch. Allerdings muss der Betroffene nachweisen, dass er tatsächlich einen Schaden erlitten hat, wie gering dieser auch sein mag.
Fazit
Der EuGH knüpft inhaltlich an vergangene Urteilen zum immateriellen Schadensersatz an. Bereits in den Verfahren Österreichische Post und Identitätsdiebstahl Rs. C-182/22 und C-189/2 hatte der EuGH klargestellt, dass zwar auch Bagatellschäden vom immateriellen Schadensersatz umfasst sind, jeder Schaden aber nachgewiesen werden muss. Der bloße DSGVO-Verstoß begründet noch keinen Schadensersatzanspruch (wir berichteten hier). Insofern bleibt der EuGH seiner bisherigen Linie treu.
Insgesamt scheinen die Anforderungen aber zunehmend zu sinken. So kann bereits die begründete Befürchtung eines Datenmissbrauchs zu einem Schaden führen. Nach Hackerangriffen sind zudem die Opfer in der Beweislast, dass die von ihnen ergriffenen Sicherheitsmaßnahmen angemessen waren, um einen Schadensersatzanspruch abzuwehren.
Dies verdeutlicht, wie wichtig eine ausreichende Informationssicherheit im Unternehmen ist – ganz ungeachtet der aktuellen gesetzgeberischen Entwicklungen zum neuen IT-Sicherheitsrecht und dem Cyber Resilience Act aus der EU.
Welche Bedeutung den EuGH-Entscheidungen für die Unternehmenspraxis im Einzelnen zukommen, diskutieren wir mit Ihnen im Rahmen unseres Lunch@Loschelder-Webinars am 31.01.2024. Wir freuen uns über Ihre Anmeldung unter webinare@loschelder.de (Teilnahme kostenfrei, weitere Informationen auch zeitnah hier).
Nationale Rechtsprechung
Spannend sind in diesem Kontext auch noch zwei Entscheidungen vor den deutschen Gerichten:
- OLG Stuttgart: Kein Schadensersatz für Datenleck bei Facebook in zwei Fällen
Der 4. Zivilsenat des OLG Stuttgart entschied kürzlich in zwei Fällen über Ansprüche im Zusammenhang mit einem Datenleck bei Facebook. 2018 sei es zu einem Datenabgriff bei Facebook gekommen, bei dem personenbezogene Daten der Kläger ausgelesen und mit deren Handynummern verknüpft wurden. Die Kläger machen gegenüber Meta daher mehrere Verstöße gegen die DSGVO geltend und fordern u.a. immateriellen Schadensersatz, Unterlassung sowie die Feststellung einer künftigen Ersatzpflicht.
Der Senat wies die Klagen überwiegend ab und begründete dies u.a. wie folgt: Die für den Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DSGVO erforderliche spürbare immaterielle Beeinträchtigung der Kläger sei nicht festgestellt worden. Zwar gebe es nach der Rechtsprechung des EuGH diesbezüglich keine Erheblichkeits- oder Bagatellschwelle, dennoch müsse eine tatsächliche immaterielle Beeinträchtigung festgestellt werden. Bloße Lästigkeit und Unannehmlichkeit sei nicht ausreichend.
- LAG Düsseldorf: Keine Entschädigung für verspätete und unvollständige Auskunft gem. Art. 15 DSGVO
Das LAG Düsseldorf lehnte jüngst eine Entschädigung wegen verspäteter und unvollständiger Auskunft ab. Der Kläger war im Jahr 2016 im Kundenservice eines Immobilienunternehmens beschäftigt und machte im Jahr 2020 einen Auskunftsanspruch nach Art. 15 DSGVO gegenüber dem Unternehmen geltend, welchem dieses nachkam. Zwei Jahre später, am 01.10.2022, verlangte der Kläger erneut Auskunft sowie Erhalt einer Kopie nach Art. 15 DSGVO und setzte eine Frist bis zum 16.10.2022. Nachdem das Unternehmen nicht reagierte, erinnerte der Kläger dieses unter erneuter Fristsetzung. Daraufhin folgte ein Schriftwechsel zwischen den Parteien über mehrere Wochen, im Laufe dessen der Kläger wiederholt um weitere und konkrete Auskünfte bat und das Unternehmen diesen zwar teils, aus Sicht des Klägers aber nicht in ausreichendem Maße nachkam. Der Kläger forderte daher Schadensersatz nach Art. 82 Abs. 1 DSGVO in Höhe von mindestens 2.000 Euro wegen Verletzung seines Auskunftsrechts nach Art. 15 DSGVO.
Das LAG wies die Klage – anders, als noch die 1. Instanz – ab. Es begründet seine Entscheidung zum einen damit, dass ein Verstoß gegen Art. 15 DSGVO keinen Schadensersatzanspruch nach Art. 82 DSGVO begründe, da es gerade nicht um die von Art. 82 DSGVO vorausgesetzte rechtswidrige Datenverarbeitung ginge. Zum anderen genüge es für einen Schadensersatzanspruch nicht, lediglich einen Verstoß gegen die DSGVO nachzuweisen. Letzteres hat der EuGH jüngst bestätigt, wie wir in diesem Newsletter an anderer Stelle berichten.