Urteil des EuGH C-300/21 vom 25.01.2024 – MediaMarktSaturn
Der EuGH hat in seinem Urteil vom 4. Mai 2023 – C-300/21 entschieden, dass Schadensersatzansprüche nach Art. 82 DSGVO einen Kausalzusammenhang zwischen einem Verstoß gegen die DSGVO und einem Schaden voraussetzen. Demnach ist für einen Schadensersatzanspruch nicht ausreichend, dass lediglich gegen die DSGVO verstoßen wurde; vielmehr muss ein konkreter, feststellbarer Schaden nachgewiesen werden, der aus diesem Verstoß resultiert. Ein Anspruch kann nicht auf die bloße Überschreitung einer Erheblichkeitsschwelle beschränkt werden, und bei der Ermittlung des Umfangs eines Schadensersatzes müssen die nationalen Rechtsvorschriften unter Beachtung des Äquivalenz- und Effektivitätsgrundsatzes Anwendung finden. Ziel ist es, einen vollständigen und wirksamen Ersatz der erlittenen Schäden zu gewährleisten.
Irrtümliche Weiterleitung von Daten kein Beweis
Der EuGH argumentiert, dass der bloße Umstand der irrtümlichen Weitergabe personenbezogener Daten an einen Unbefugten nicht automatisch den Beweis mangelnder technisch organisatorischer Maßnahmen trägt. Weiterhin muss ein tatsächlicher Schaden nachgewiesen werden, der aus dem Vorfall resultiert. Die Entscheidung betont die Notwendigkeit eines kausalen Zusammenhangs zwischen dem Datenschutzverstoß und dem eingetretenen Schaden, um Ansprüche auf Schadensersatz gemäß der DSGVO zu rechtfertigen.
Die irrtümlich Weitergabe von personenbezogenen Daten bedeutet nicht automatisch, dass die verantwortliche Stelle nicht geeignete technische und organisatorische Maßnahmen getroffen hat. Es könnte sich hier auch um Fahrlässigkeit oder andere Gründe handeln. Hierbei hat der europäische Gerichtshof sein eigenes Urteil vom 14. Dezember 2023 zu Grunde gelegt (Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, Rn. 39).
Beweislastverteilung
Der europäische Gerichtshof stellt allerdings klar, dass der Verantwortliche die Beweislast dafür trägt, dass die personenbezogenen Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der Daten gewährleistet. Dementsprechend muss der Verantwortliche im Rahmen einer auf Art. 82 gestützten Schadensersatzklage den Beweis erbringen, dass die getroffenen Sicherheitsmaßnahmen im Sinne von Art. 32 DSGV geeignet waren allein der Umstand, dass ein personenbezogenes Datum irrtümlich weitergeleitet wurde, kann diesen Beweis noch nicht erbringen. (Rn. 45).
Schaden und Nachweis
Weiterhin musste sich der europäische Gerichtshof mit der Frage beschäftigen, ob alleine die Befürchtung, dass im Anschluss an eine unbefugte Weitergabe von personenbezogenen Daten an Dritte Kenntnisnahme von personenbezogenen Daten erfolgen könnte, schon ein Schaden eingetreten ist. Diese Frage ist zentral in der Bestimmung des Schadensersatzanspruchs nach Art. 82. Der europäische Gerichtshof stellt klar, dass das hypothetische Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten nicht zu einer Entschädigung führt. Dies sei kein ersatzfähiger Schaden. Sollte der hypothetische Fall in einen tatsächlichen Fall.
Straffunktion des Schadens
Ebenso musste sich der europäische Gerichtshof mit der Frage beschäftigen, ob der immaterielle Schadensersatzanspruch einer abschreckende oder Gas Straffunktion erfüllt. Dies lehnt der europäische Gerichtshof ab. Der Schadensersatz hat eine Ausgleichsfunktion, da eine auf sie gestützte Entschädigung im Geld es ermöglichen soll, den Schaden vollständig auszugleichen. Eine Straffunktion erfüllt er nicht.
Fazit
Je mehr Urteile vom europäischen Gericht so vorliegen, desto klarer wird die dogmatische Eingrenzung des Schadensersatz nach Art. 82 der Datenschutz Grundverordnung. Besonders interessant an diesem Urteil sind die Ausführungen zur Beweislast-Verteilung: Liegt ein Schaden aufgrund einer Verletzungshandlung des Verantwortlichen vor, so muss dieser beweisen, dass die technischen und organisatorischen Maßnahmen gemäß Artikel 24,32 DSGVO ausreichend waren. Dieser Beweis wird mühevoll zu führen sein. Die Ausführungen des europäischen Gerichtshofes wirken daher in dieser speziellen Frage in die Nähe einer Beweislastumkehr. Der Betroffene kann anhand eines Indizes (z.B. weil die personenbezogenen Daten unbefugt weitergegeben wurden) behaupten, dass die technisch organisatorischen Maßnahmen nicht eingehalten wurden. Die Beweislast für die Einhaltung der technisch organisatorischen Maßnahmen trägt richtigerweise der Verantwortliche.
An dieser Stelle muss auf die saubere und ordentliche Dokumentation der Datenschutz-Maßnahmen hingewiesen werden. Nur diese können den Verantwortlichen im Fall einer solchen Verhandlungstaktik retten.
Recent Comments