Schadensersatz und Bußgelder wegen Datenschutzverletzungen

Im vorliegenden Beitrag wird der Fokus auf die Fragen gelegt, die vom EuGH bereits verbindlich beantwortet wurden. Diese sind zum Thema Bußgeld folgende:

1. Muss bei Bußgeldverfahren immer festgestellt werden, dass es eine natürliche oder juristische Person war, die die Ordnungswidrigkeit tatsächlich begangen hat, oder kann ein Bußgeldverfahren auch direkt gegen ein Unternehmen geführt werden?
2. Falls ein solches Bußgeldverfahren auch direkt gegen ein Unternehmen geführt werden kann: Muss das Unternehmen den durch einen Mitarbeitenden vermittelten Verstoß schuldhaft begangen haben, oder reicht für eine Bestrafung des Unternehmens per Bußgeld im Grundsatz bereits ein ihm zuzuordnender objektiver Pflichtenverstoß gegen die DSGVO aus („strict liability“)?

Zum Thema Schadensersatz betroffener Personen wurden unter anderem folgende Fragen vom EuGH beantwortet:

1. Begründet ein bloßer Verstoß gegen die DSGVO bereits einen Schadensersatzanspruch?
2. Muss der erlittene Schaden eine gewisse Erheblichkeit oder Bagatellgrenze überschreiten?
3. Unter welchen Bedingungen kann eine Person, deren personenbezogene Daten sich im Besitz einer öffentlichen Agentur befinden, welche nach einem Angriff von Cyberkriminellen im Internet veröffentlicht wurden, Ersatz des immateriellen Schadens verlangen?

Zur ersten Frage, ob bei Bußgeldverfahren immer festgestellt werden muss, dass es eine natürliche oder juristische Person war, die die Ordnungswidrigkeit tatsächlich begangen hat, oder ob ein Bußgeldverfahren auch direkt gegen ein Unternehmen geführt werden kann, hat der EuGH im Dezember grundlegende Rechtsfragen in Zusammenhang mit der Bußgeldhandhabung für Datenschutzverstöße beantwortet. (Rechtssachen C-683/21 und C-807/21).

Der Sachverhalt betraf die Deutsche Wohnen Immobiliengesellschaft, ein Konzern, der mittels Tochterunternehmen Wohn- und Gewerbeeinheiten vermietet. Im Zuge der Vermietungen verarbeitet die Deutsche Wohnen zahlreiche personenbezogene Daten von Mietern, u.a. Identitätsnachweise, Steuer-, Sozial- und Krankenversicherungsdaten dieser Mieter sowie Angaben zu Vormietverhältnissen. Im Rahmen einer Überprüfung durch die zuständige Aufsichtsbehörde wurde die Deutsche Wohnen Immobiliengesellschaft aufgefordert, bestimmte Daten aus den elektronischen Archiven zu löschen, da diese nicht mehr nachvollziehbar benötigt wurden. Die Deutsche Wohnen lehnte jedoch diese Löschaufforderung ab, da dies technisch nicht möglich sei. Die Daten wurden zwar von der Deutsche Wohnen auf ein neues Archivsystem migriert, eine Löschung fand allerdings nicht statt. Daraufhin wurde von der Aufsichtsbehörde ein Bußgeld in Höhe von 14.385.000,- Euro verhängt. Die Deutsche Wohnen ging gegen diesen Bußgeldbescheid vor, da dieser aus ihrer Sicht gravierende Mängel aufwies, und legte dagegen Einspruch beim Landgericht (LG) Berlin ein. Das LG Berlin hob den Bußgeldbescheid auf. Die Staatsanwaltschaft hat diesen Beschluss dann angefochten. Das Kammergericht Berlin legte dem EuGH die oben unter 1. und 2. genannten folgende Vorlagefragen zur Klärung vor.

Der EuGH stellte in seiner Entscheidung vom 05.12.2023 Folgendes im Ergebnis fest:

1. Eine Geldbuße gem. Art. 83 Abs. 4 bis 6 DSGVO kann auch unmittelbar gegen ein Unternehmen verhängt werden. Als Hauptgrund dafür wird angeführt, dass der Begriff des „Verantwortlichen“ in Art. 4 Nr. 7 DSGVO weit definiert sei und damit auch juristische Personen umfasse (vgl. Rz. 39 des Urteils). Das bedeutet, „dass diese nicht nur für Verstöße haften, die von ihren Vertretern, Leitern oder Geschäftsführern begangen wurden, sondern auch für Verstöße, die von jeder anderen Person begangen wurden, die im Rahmen der unternehmerischen Tätigkeit und im Namen dieser juristischen Personen handelt“ (vgl. Rz. 44 des Urteils).
2. Art. 83 DSGVO ist so auszulegen, dass „nach dieser Bestimmung eine Geldbuße nur dann verhängt werden darf, wenn nachgewiesen ist, dass der Verantwortliche, der eine juristische Person und zugleich ein Unternehmen ist, einen in Art. 83 Abs. 4 bis 6 DSGVO genannten Verstoß vorsätzlich oder fahrlässig begangen hat.“ Die Anforderungen hieran sind jedoch nicht zu hoch anzusetzen. Es reicht, wenn der Verantwortliche über die „Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte“. Hierbei sei es irrelevant, ob ihm der Verstoß gegen die DSGVO bewusst war (vgl. Rz. 76 des Urteils). Das Gericht betonte, dass eine Handlung oder Kenntnis eines Leitungsorgans dafür nicht erforderlich sei. Es reiche, wenn eine Person gehandelt habe, die einem bestimmten Bereich verantwortlich zugewiesen gewesen sei.

   Als Ergebnis dieser Entscheidung des EuGH kann festgehalten werden, dass die Hürde für die Verhängung von Bußgeldern angehoben wird. Der EuGH stellt klar, dass nachgewiesen werden muss, dass ein Fehlverhalten der verantwortlichen Person vorgelegen hat, um ein entsprechendes Bußgeld verhängen zu können. Ist sich der Verantwortliche nachweislich nicht über den Rechtsverstoß bewusst, kann keine Geldbuße verhängt werden.

   Das Urteil wird jedenfalls dazu führen, dass sich die Rechtsprechung zukünftig intensiv mit den Anforderungen an das Verschulden auseinandersetzen muss. Vor allem werden die Datenschutzbehörden vor Erlass eines Bußgeldbescheides nachzuweisen haben, dass ein fahrlässiges oder vorsätzliches Handeln vorliegt. Allein ein Verstoß gegen die DSGVO genügt demnach nicht.

3. In einem weiteren Fall (zur 3. Frage von oben) hatte der EuGH über die Frage zu entscheiden, ob ein bloßer Verstoß gegen die DSGVO einen Schadensersatzanspruch begründen kann. Dies würde dann viele Unternehmen und Behörden treffen, denn Art. 82 DSGVO gibt nach seinem Wortlaut jeder Person, der wegen eines DSGVO-Verstoßes ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Eine fehlerhafte Auskunftserteilung nach Art. 15 DSGVO würde also bereits einen Schadensersatzanspruch auslösen können.

   Doch was ist mit einem „immateriellen Schaden“ eigentlich gemeint? Juristische Kommentare, die eine Definition nach deutscher Auslegung vornehmen, sprechen hier von einer Beeinträchtigung des Persönlichkeitsrechts, etwa in Form von psychischen Auswirkungen für die betroffene Person durch den Datenschutzverstoß, vgl. Gola/Heckmann/Gola/Piltz, 3. Aufl. 2022, DS-GVO Art. 82 Rn. 13. Um daraus dann auch einen Anspruch auf Schmerzensgeld ableiten zu können, muss nach der Rechtsprechung des Bundesgerichtshofs (BGH) jedoch ein schwerwiegender Eingriff in das Persönlichkeitsrecht vorliegen, der ein solches Schmerzensgeld rechtfertigen würde (siehe u.a. BGH Urt. v. 5.12.1995 – VI ZR 332/94, NJW 1996, 984 – Caroline von Monaco II; BGH Urt. v. 5.10.2004 – VI ZR 255/03, GRUR 2005, 179 – Prominentenkinder; BAG Urt. v. 19.2.2015 – 8 AZR 1011/13, ZUM-RD 2016, 208.).

   Hier wird darauf hingewiesen, dass der Eingriff in das Persönlichkeitsrecht von erheblicher Bedeutung sein muss.

   Kann man also davon ausgehen, dass es sich auch beim Schmerzensgeld nach der DSGVO um einen schwerwiegenden Eingriff handeln muss, der eine gewisse Erheblichkeit überschreitet?

   In dem Fall, den der EuGH hier zu entscheiden hatte, ging es um die Klage eines österreichischen Bürgers gegen die Österreichische Post AG. Diese soll personenbezogene Daten ohne seine Einwilligung verarbeitet haben. In seinem Urteil vom 04.05.2023, C-300/21 stellte das Gericht zunächst grundsätzlich fest, dass die DSGVO in Art. 82 DSGVO, insbesondere in Bezug auf die Begriffe „materieller oder immaterieller Schaden“ und „Schadensersatz“, nicht dem Recht der Mitgliedstaaten folgt. Daraus folgt, dass diese Begriffe für die Anwendung der DSGVO als autonome Begriffe des Unionsrechts anzusehen sind, die in allen Mitgliedstaaten einheitlich auszulegen sind.

   Bereits aus dem Wortlaut dieser Bestimmung geht nach Ansicht des Gerichts klar hervor, dass das Vorliegen eines „Schadens“ eine der Voraussetzungen darstellt – ebenso wie das Vorliegen eines Verstoßes gegen die DSGVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß (NJW 2023, 1930 Rn. 32, beck-online). Alle drei Voraussetzungen (Schaden, Verstoß gegen die DSGVO und Zusammenhang zwischen beiden) müssen demnach vorliegen, um einen Schadensersatzanspruch begründen zu können.

   Eine erste Schlussfolgerung des Gerichts lautete dann auch entsprechend, dass der Verstoß gegen die DSGVO allein noch keinen Schadensersatz begründen kann. Hiergegen spreche bereits der Wortlaut des Art. 82 DSGVO. Es braucht also zusätzlich einen Schaden.

4. Allerdings dürfe nach Ansicht des Gerichts ein immaterieller Schadensersatz grundsätzlich nicht an eine sogenannte Erheblichkeitsschwelle gekoppelt sein, da dies den Erwägungsgründen zur DSGVO widerspräche. Das Vergehen oder der Schaden muss also nicht besonders erheblich sein, damit Schmerzensgeld verlangt werden kann.

   Als Begründung wird unter anderem angeführt, dass, wenn der Ersatz eines immateriellen Schadens von einer Erheblichkeitsschwelle abhängig gemacht werden würde, dies den sinnhaften Zusammenhang der mit der DSGVO eingeführten Regelung beeinträchtigen könnte. Grund hierfür sei, dass die graduelle Abstufung einer solchen Schwelle, von der die Möglichkeit, Schadensersatz zu erhalten, abhinge, je nach Beurteilung durch die angerufenen Gerichte unterschiedlich hoch ausfallen könnte. Als Begründung wird unter anderem angeführt, dass der sinnhafte Zusammenhang der mit der DSGVO eingeführten Regelung beeinträchtigt werden könnte, wenn der Ersatz eines immateriellen Schadens von einer Erheblichkeitsschwelle abhängig gemacht würde. Je nach Beurteilung durch die angerufenen Gerichte könnte die graduelle Abstufung einer solchen Schwelle unterschiedlich hoch ausfallen, von der die Möglichkeit, Schadensersatz zu erhalten, abhängt.

   Weiter betont das Gericht, dass diese Auslegung nicht bedeute, dass eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie negative Folgen gehabt hat, vom Nachweis befreit wäre, dass diese Folgen einen immateriellen Schaden iSv Art. 82 DSGVO darstellen.

   In einem weiteren Urteil vom 14.12.2023 stellte der EuGH zudem fest, dass es keine Bagatellgrenze geben darf, damit ein immaterieller Schadenersatz geltend gemacht werden kann (vgl. EuGH-Urteil vom 14.12.2023 – C-456/22).

5. Im ebenfalls kürzlich entschiedenen Urteil des Europäischen Gerichtshofs (EuGH, Urt. V. 14.12.2023 – C-340/21) wurde der Frage nachgegangen, unter welchen Bedingungen eine Person, deren personenbezogene Daten sich im Besitz einer öffentlichen Agentur befinden und nach einem Angriff von Cyberkriminellen im Internet veröffentlicht wurden, Ersatz des immateriellen Schadens verlangen kann.

Der Gerichtshof hat die Rechtssache auch ganz grundsätzlich zum Anlass genommen zu untersuchen, ob überhaupt aufgrund eines IT-Sicherheitsvorfalls, bei dem personenbezogene Daten erbeutet und veröffentlicht wurden, einer natürlichen Person immaterieller Schadensersatz zustehen kann.

Ausgangspunkt für die Entscheidung war ein Vorfall, bei dem einer bulgarischen Behörde die personenbezogenen Daten der Klägerin (und weiterer sechs Millionen natürlicher Personen) im Zuge eines Hackerangriffs im Juli 2019 abhandengekommen waren und im Internet veröffentlicht wurden. Einige hunderte Betroffene hatten daraufhin auf Ersatz eines immateriellen Schadens geklagt – auch die im Ausgangsverfahren beteiligte Klägerin. Sie hatte Sorge, dass ihre Daten missbräuchlich verwendet werden könnten und sie dadurch Opfer eines Angriffs bzw. einer Erpressung oder Entführung werden könnte.

Die Klägerin verlangte immateriellen Schadensersatz, da die Behörde aus Sicht der Klägerin nicht die erforderlichen Maßnahmen für einen angemessenen Schutz ihrer personenbezogenen Daten getroffen und somit gegen die IT-Sicherheit verstoßen habe. Die Klägerin erhob 2019 Klage beim bulgarischen Verwaltungsgericht auf Grundlage eines Verstoßes gegen Art. 82 DSGVO. Diese Klage wurde abgewiesen, da dem Gericht kein direkter Schaden ersichtlich war und nicht festgestellt werden konnte, dass die Behörde nicht die erforderlichen Sicherheitsmaßnahmen ergriffen hätte.

Daraufhin legte die Klägerin Kassationsbeschwerde beim OLG ein.

Das OLG legte dem Gerichtshof mehrere Vorlagefragen vor, z.B. wie Art. 5 Abs. 2, Art. 24 und 32 sowie Art. 82 Abs. 1 bis 3 auszulegen sei. Zusammengefasst ging es dabei um folgende Fragen:

1. Sind die Art. 24 und 32 DSGVO dahin auszulegen, dass es ausreicht, wenn eine unbefugte Offenlegung von beziehungsweise ein unbefugter Zugang zu personenbezogenen Daten im Sinne von Art. 4 Nr. 12 DSGVO durch Personen erfolgt ist, die keine Bediensteten der Verwaltung des Verantwortlichen sind und nicht seiner Kontrolle unterliegen, um anzunehmen, dass die getroffenen technischen und organisatorischen Maßnahmen nicht geeignet sind? In kurz: Reicht ein erfolgreicher Hacking-Angriff aus, um einen Datenschutzverstoß seitens der Verantwortlichen bejahen zu können?
2.  Falls die erste Frage verneint wird, welchen Gegenstand und Umfang sollte die gerichtliche Rechtmäßigkeitskontrolle bei der Prüfung haben, ob die vom Verantwortlichen getroffenen technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO geeignet sind?
3. Falls die erste Frage verneint wird, sind der Grundsatz der Rechenschaftspflicht nach Art. 5 Abs. 2 und Art. 24 in Verbindung mit dem 74. Erwägungsgrund der DSGVO dahin auszulegen, dass im Klageverfahren nach Art. 82 Abs. 1 DSGVO der Verantwortliche die Beweislast dafür trägt, dass die getroffenen technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO geeignet sind?
4. Kann die Einholung eines Sachverständigengutachtens als ein notwendiges und ausreichendes Beweismittel angesehen werden, um festzustellen, ob die vom Verantwortlichen getroffenen technischen und organisatorischen Maßnahmen in einem Fall wie dem vorliegenden geeignet waren, wenn der unbefugte Zugang zu und die unbefugte Offenlegung von personenbezogenen Daten Folge eines „Hackerangriffs“ sind?
5. Ist Art. 82 Abs. 3 DSGVO dahin auszulegen, dass die unbefugte Offenlegung von oder der unbefugte Zugang zu personenbezogenen Daten im Sinne von Art. 4 Nr. 12 DSGVO wie vorliegend mittels eines „Hackerangriffs“ durch Personen, die keine Bediensteten der Verwaltung des Verantwortlichen sind und nicht seiner Kontrolle unterliegen, einen Umstand darstellt, für den der Verantwortliche in keinerlei Hinsicht verantwortlich ist und der zur Befreiung von der Haftung berechtigt?
6. Sind Art. 82 Abs. 1 und 2 in Verbindung mit den Erwägungsgründen 85 und 146 der DSGVO dahin auszulegen, dass in einem Fall wie dem vorliegenden einer Verletzung des Schutzes personenbezogener Daten, die sich in dem unbefugten Zugang zu und der Verbreitung von personenbezogenen Daten mittels eines „Hackerangriffs“ äußert, allein die von der betroffenen Person erlittenen Sorgen, Befürchtungen und Ängste vor einem möglichen künftigen Missbrauch personenbezogener Daten unter den weit auszulegenden Begriff des immateriellen Schadens fallen und zum Schadenersatz berechtigen, wenn ein solcher Missbrauch nicht festgestellt wurde und/oder kein weiterer Schaden der betroffenen Person entstanden ist?

Zusammengefasst stellt das Gericht klar: Wenn gegen die DSGVO verstoßen wird und ein Schaden eintritt, gibt es grundsätzlich immateriellen Schadensersatz für die Betroffenen.

Dabei kann es ausreichen, dass personenbezogene Daten offengelegt oder von Hackern erbeutet wurden. Ein immaterieller Schaden kann z. B. bereits sein, wenn eine von einem Hackerangriff betroffene Person befürchtet, dass ihre personenbezogenen Daten durch Dritte missbraucht werden.

Unternehmen können einen Schadensersatz abwenden, wenn sie nachweisen können, dass ihre technischen und organisatorischen Maßnahmen ausreichend waren. Allerdings sind Sie hier aber in der vollen Beweislast.

Im Einzelnen beantwortet der EuGH die oben aufgeworfenen Fragen wie folgt:

1. Die Art. 24 und 32 DSGVO sind dahin auszulegen, dass eine unbefugte Offenlegung von bzw. ein unbefugter Zugang zu personenbezogenen Daten durch „Dritte“ im Sinne von Art. 4 Nr. 10 dieser Verordnung allein nicht ausreicht, um anzunehmen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht „geeignet“ im Sinne der Art. 24 und 32 dieser Verordnung waren.
2. Art. 32 DSGVO ist dahin auszulegen, dass die Geeignetheit der vom Verantwortlichen nach diesem Artikel getroffenen technischen und organisatorischen Maßnahmen von den nationalen Gerichten konkret zu beurteilen ist, wobei die mit der betreffenden Verarbeitung verbundenen Risiken zu berücksichtigen sind und zu beurteilen ist, ob Art, Inhalt und Umsetzung dieser Maßnahmen diesen Risiken angemessen sind.
3. Der in Art. 5 Abs. 2 DSGVO formulierte und in Art. 24 DSGVO konkretisierte Grundsatz der Rechenschaftspflicht des Verantwortlichen ist dahin auszulegen, dass im Rahmen einer auf Art. 82 der Verordnung gestützten Schadensersatzklage der für die betreffende Verarbeitung Verantwortliche die Beweislast dafür trägt, dass die von ihm getroffenen Sicherheitsmaßnahmen im Sinne von Art. 32 dieser Verordnung geeignet waren.
4. Art. 32 DSGVO und der unionsrechtliche Effektivitätsgrundsatz sind dahin auszulegen, dass für die Beurteilung der Geeignetheit der Sicherheitsmaßnahmen, die der Verantwortliche nach diesem Artikel getroffen hat, ein gerichtliches Sachverständigengutachten kein generell notwendiges und ausreichendes Beweismittel sein kann.
5. Art. 82 Abs. 3 DSGVO ist dahin auszulegen, dass der Verantwortliche von seiner nach Art. 82 Abs. 1 und 2 dieser Verordnung bestehenden Pflicht zum Ersatz des einer Person entstandenen Schadens nicht allein deshalb befreit werden kann, weil dieser Schaden die Folge einer unbefugten Offenlegung von bzw. eines unbefugten Zugangs zu personenbezogenen Daten durch „Dritte“ im Sinne von Art. 4 Nr. 10 dieser Verordnung ist. Er muss vielmehr nachweisen, dass er in keinerlei Hinsicht für den Umstand, durch den der betreffende Schaden eingetreten ist, verantwortlich ist.
6. Art. 82 Abs. 1 DSGVO ist dahin auszulegen, dass allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen diese Verordnung befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, einen „immateriellen Schaden“ im Sinne dieser Bestimmung darstellen kann.

Zusammenfassung

Zusammenfassend kann man zum Thema Bußgeld von Aufsichtsbehörden bei DSGVO-Verstößen festhalten, dass

• eine Geldbuße gem. Art. 83 Abs. 4 bis 6 DSGVO auch unmittelbar gegen ein Unternehmen – und nicht nur gegen eine natürliche Person – verhängt werden kann;
• doch eine Geldbuße nach Art. 83 DSGVO nur dann verhängt werden darf, wenn ein vorsätzliches oder fahrlässiges Handeln vorliegt.

  Zum Thema Schadensersatz bei DSGVO-Verstößen kann man schlussfolgern, dass

• ein Verstoß gegen die DSGVO allein noch keinen Schadensersatz des Betroffenen begründen kann. Es braucht zusätzlich einen Schaden.
• Dieser Schaden (auch der immaterielle) muss vom Betroffenen dargestellt und nachgewiesen werden. Es gibt diesbezüglich jedoch keine Erheblichkeits- oder Bagatellschwelle, die überschritten werden müsste. Auch ein kleiner Schaden kann also einen Schadenersatzanspruch auslösen.
• Ein immaterieller Schaden kann z. B. sein, wenn eine von einem Hackerangriff betroffene Person befürchtet, dass ihre personenbezogenen Daten durch Dritte missbraucht werden.
• Unternehmen können einen Schadensersatz abwenden, wenn sie nachweisen können, dass ihre technischen und organisatorischen Maßnahmen ausreichend waren. Sie sind hier in der vollen Beweislast.

Für 2024 werden weitere Gerichtsurteile erwartet, die hinsichtlich der Normen der DSGVO zusätzliche und weitergehende Auslegungshilfen liefern. Das macht die DSGVO zunehmend praxistauglicher und einschätzbarer.