Das Datenschutzrecht wird mehr denn je durch „Klassikerthemen“ geprägt, die nicht nur zahlreiche juristische Diskussionen auslösen, sondern darüber hinaus zuweilen Auswirkungen für die Praxis entfalten. Neben den bekannten Themen der Betroffenenrechte sowie dem Umgang mit und der Behandlung von Datenschutzverletzungen entfalten eben auch immer wieder Fragen rund um den Schadenersatzanspruch aus Art. 82 DS-GVO Relevanz. Wir haben uns in der Vergangenheit bereits mit dem neuen Datenschutz-Schadenersatzrecht befasst, sind der Frage nachgegangen, ob Schmerzensgeld weh tun soll, haben die Daten-Scraping-Fälle betrachtet und uns im Rahmen des Urteils des EuGH vom 14. Dezember 2023 (Rs. C-340/21) gefragt, was die DS-GVO eigentlich als Schaden versteht.
In dem Urteil vom 14. Dezember 2024 lag in der Sache eine Schadenersatzkonstellation aufgrund eines vorangegangenen Cyber-Angriffs zu Grunde. Nun hat der EuGH seine Entscheidungspraxis zum Schadenersatzanspruch immaterieller Schäden nach Art. 82 DS-GVO in den verbundenen Rechtssachen C-182/22 und C-189/22 vom 20. Juni 2024 fortgesetzt. Doch der Reihe nach.
Was war passiert?
Bereits 2022 war es bei der Scalable Capital GmbH zu einem Datenschutzvorfall gekommen. Das Unternehmen betreibt die Investmentplattform Scalable Capital Broker zur Vermögensverwaltung und zur Durchführung von Investitionen. Depoteröffnungen und anschließende Trades erfolgen rein digital entweder über die App oder browserbasiert. Das Angebot von Scalable Capital umfasst Aktien, ETFs, Derivate, Fonds und Kryptowährungen.
Im Rahme dieses Vorfalls wurden durch einen Insider-Angriff – zum Teil sensible – personenbezogenen Daten von 32.000 Kunden unbefugt offengelegt. Berichten zufolge waren hierfür über einen Zeitraum vom sechs Monaten Daten aus einem Datenarchiv abgeschöpft wurden. Publik wurde der Vorfall dadurch, dass mehrere Kunden Opfer von Spam-Nachrichten und Erpresseranrufen wurden. In Folge machen nunmehr zahlreiche Kunden Schadenersatz gegen die Scalable Capital GmbH geltend.
Die Entscheidung des EuGh
Zunächst widmet sich der Europäische Gerichtshof (EuGH) der Aussage, dass dem Schadenersatzanspruch nach Art 82 Abs. 1 DS-GVO eine Ausgleichsfunktion zukommt. Im Gesetz heißt es: „Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“ Demgegenüber sei anders als bei Art. 83 und Art. 84 DS-GVO nicht von einer Abschreckungs- oder Straffunktion auszugehen. Vielmehr zielt der Schadenersatzanspruch auf eine finanzielle Entschädigung ab.
Darüber hinaus adressiert der EuGH einige weitere „grundlegende Fragen“ des Schadenersatzanspruchs: „Was die Bemessung der Höhe des etwaigen gemäß Art. 82 DSGVO geschuldeten Schadenersatzes betrifft, haben die nationalen Gerichte in Ermangelung einer Bestimmung mit diesem Gegenstand in der DSGVO die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden“, „[es] ist festzustellen, dass die DSGVO keine Bestimmung enthält, die sich den Regeln für die Bemessung des Schadenersatzes widmet, auf den eine betroffene Person im Sinne von Art. 4 Nr. 1 [DSGVO] nach deren Art. 82 Anspruch hat, wenn ihr durch einen Verstoß gegen diese Verordnung ein Schaden entstanden ist.“
Sowie „[…] Art. 82 Abs. 1 DSGVO [ist] dahin auszulegen […], dass, wenn ein Schaden gegeben ist, ein nationales Gericht bei fehlender Schwere des Schadens diesen ausgleichen kann, indem es der betroffenen Person einen geringfügigen Schadenersatz zuspricht, sofern dieser Schadenersatz geeignet ist, den entstandenen Schaden in vollem Umfang auszugleichen.“
Abschließend beschäftigt sich der EuGH erstmals mit der Frage nach dem Identitätsdiebstahl. Dieser wird von Erwägungsgrund 75 und 85 DS-GVO ausdrücklich erwähnt: „Die Risiken für die Rechte und Freiheiten natürlicher Personen – mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere – können aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einem physischen, materiellen oder immateriellen Schaden führen könnte, insbesondere wenn die Verarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug […] führen kann […].“
Und „Eine Verletzung des Schutzes personenbezogener Daten kann – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug […] oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person.“
Der EuGH führt hierzu aus: „Wie der Generalanwalt in Nr. 29 seiner Schlussanträge ausgeführt hat, werden in den verschiedenen Sprachfassungen der Erwägungsgründe 75 und 85 der DSGVO die Begriffe „Identitätsdiebstahl“, „Identitätsmissbrauch“, „Identitätsbetrug“, „missbräuchliche Verwendung der Identität“ und „Identitätsaneignung“ erwähnt und dort unterschiedslos verwendet. Folglich sind die Begriffe „Identitätsdiebstahl“ und „Identitätsbetrug“ austauschbar, und es kann nicht zwischen ihnen unterschieden werden. Die beiden letztgenannten Begriffe begründen die Vermutung eines Willens, sich die Identität einer Person anzueignen, deren personenbezogene Daten zuvor gestohlen wurden.“
Und weiter: „Insoweit ist jedoch klarzustellen, dass der Ersatz eines durch den Diebstahl personenbezogener Daten verursachten immateriellen Schadens nach Art. 82 Abs. 1 DSGVO nicht auf die Fälle beschränkt werden kann, in denen nachgewiesen wird, dass ein solcher Diebstahl von Daten anschließend zu einem Identitätsdiebstahl oder ‑betrug geführt hat.“ Deshalb kommt der Gerichtshof zu dem Ergebnis: „Aus diesen Gründen ist […] Art. 82 Abs. 1 DSGVO im Licht der Erwägungsgründe 75 und 85 der DSGVO dahin auszulegen […], dass der Begriff „Identitätsdiebstahl“ nur dann erfüllt ist und einen Anspruch auf Ersatz des immateriellen Schadens nach dieser Bestimmung begründet, wenn ein Dritter die Identität einer Person, die von einem Diebstahl personenbezogener Daten betroffen ist, tatsächlich angenommen hat.“
Welche Bedeutung hat das Urteil für die Praxis?
Mit dem Urteil setzt der EuGH seine bisherige Rechtsprechung zu Art. 82 DS-GVO stringent fort. Anknüpfend an die bisherige Rechtsprechung versucht der Gerichtshof Licht ins Dunkel des Art. 82 DS-GVO zu bringen. Im Urteil selbst betont der EuGH die grundsätzliche Ausgleichsfunktion des Schadenersatzanspruchs. Bei der Bemessung des Anspruchs wird künftig auf den tatsächlichen entstandenen Schaden abzustellen sein. Dies bedeutet wiederrum für die verantwortlichen Stellen, dass diese gut beraten sind im Vorfeld sich Ihren datenschutzrechtlichen Pflichten anzunehmen, insbesondere der Umsetzung des Art. 32 DS-GVO.
Fazit
Letztendlich stärkt der EuGH mit diesem Urteil weiter die Position der betroffenen Person. Es wird sichergestellt, dass diese bei Verstößen gegen die Datenschutz-Grundverordnung einen angemessenen Anspruch auf Schadenersatz erhalten sollen. Ebenso wird die Auslegung des Begriffs Identitätsdiebstahl hoffentlich für weitere Klarheit bei der Rechtsanwendung sorgen, spielt die Begrifflichkeit doch insbesondere auch bei der Bewertung von Risiken beispielsweise im Rahmen der Meldepflicht des Art. 33 Abs. 1 DS-GVO häufig eine Rolle.
Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.