Fachanwalt für Urheber- und Medienrecht und Spezialist für Arbeitsrecht, Zertifizierter Datenschutzbeauftragter (TÜV)
T (+49) 040 / 7344 086-0
Rechtsanwältin für Internetrecht und Datenschutzrecht
T (+49) 040 / 7344 086-0
Blog News
Der Europäische Gerichtshof (EuGH) hat sich in seiner Entscheidung vom 25.01.2024 (C-687/21) zu einigen Fragestellungen bezüglich der Auslegung der Datenschutzgrundverordnung geäußert. Insbesondere stellte der EuGH klar, in welcher Art und Weise ein Schadensersatzanspruch bei einer Datenpanne geltend gemacht werden kann. Der EuGH grenzt mit seiner Entscheidung die Reichweite des Artikel 82 Datenschutzgrundverordnung (DSGVO) ein.
Hintergrund der Entscheidung war das Vorabentscheidungsersuchen des Amtsgerichts (AG) Hagen bezüglich eines Rechtsstreits zwischen einem Kunden und einem Unternehmen.
In dem vorliegenden Fall hatte ein Kunde ein Elektrohaushaltsgerät bei einem Saturn-Elektromarkt erworben. Für die Erstellung eines Kauf- und Kreditvertrags gab ein Verkaufsmitarbeiter die personenbezogenen Daten (Name, Anschrift) des Kunden in das EDV-System des Unternehmens ein. Beide Parteien unterzeichneten die ausgedruckten Papiere, die der Kunde im Anschluss einem weiteren Mitarbeiter bei der Warenausgabe überreichte. Allerdings wurden die Unterlagen dann irrtümlich an einen Dritten herausgegeben, da dieser sich vorgedrängelt hatte. Der Irrtum wurde erst bemerkt als der unbefugte Dritte das Geschäft bereits verlassen hatte. Daraufhin wurde augenblicklich die Rückgabe der Ware und Unterlagen erwirkt. Der unbefugte Dritte konnte innerhalb von 30 Minuten identifiziert und die Unterlagen zurückerlangt werden. Der unbefugte Dritte hatte vom Inhalt keine Kenntnis genommen.
Dem Kunden wurde wegen der Unannehmlichkeiten angeboten, dass ihm die Ware kostenlos nach Hause geliefert werde. Das Angebot lehnte er ab. Stattdessen nahm er die MediaMarktSaturn Hagen-Iserlohn GmbH auf Ersatz des immateriellen Schadens gemäß Artikel 82 DSGVO in Anspruch, da er befürchtete, dass seine personenbezogenen Daten weitergegeben wurden und in Zukunft missbräuchlich verwendet werden könnten.
Im Rahmen des Vorabentscheidungsersuchens richtete sich das AG Hagen mit einer Vielzahl von Fragen bezüglich der Auslegung der DSGVO an den EuGH.
Zunächst stellte der EuGH klar, dass die technischen und organisatorischen Maßnahmen eines Unternehmens im Sinne der Artikel 24 und 32 der Verordnung (EU) 2016/679 des Europäischen Parlaments und Rates nicht automatisch als ungeeignet angesehen werden könnten, weil personenbezogene Daten von einem Mitarbeiter irrtümlich an einen unbefugten Dritten herausgegeben wurden. Die Sicherheitsmaßnahmen könnten nicht aufgrund eines Einzelfalls beurteilt werden. Vielmehr müsste anhand einer Gesamtbetrachtung der Umstände entschieden werden, ob die technischen und organisatorischen Maßnahmen ausreichten.
Im Wege der Beweislastumkehr kann der Verantwortliche entlastend darlegen, inwieweit die technischen und organisatorischen Maßnahmen geeignet waren und er seiner Verpflichtungen nach Artikel 24 und 32 DSGVO somit nachgekommen sei. Unterlässt der Verantwortliche solch einen Vortrag, bleibt es bei dem Verstoß gegen die DSGVO.
Der EUGH entschied, dass jedem, der aufgrund eines Verstoßes gegen § 82 Absatz 1 DSGVO einen materiellen oder immateriellen Schaden erlitten hat, ein Schadensersatzanspruch gegen den Verantwortlichen zustehe. Im Fall eines immateriellen Schadens diene der Schadensersatzanspruch dazu, den erlittenen Schaden vollständig auszugleichen und nicht etwa den Verantwortlichen zu bestrafen. Die Schwere des Datenverstoßes bestimme auch nicht die Höhe des Schadensersatzes. So können sich Betroffene unabhängig von der Schwere des Verstoßes auf einen Schadensersatzanspruch berufen.
Um einen Schadensersatzanspruch geltend zu machen, müsse von dem Betroffenen nachgewiesen werden, dass gegen die DSGVO verstoßen wurde und ihm dadurch ein konkreter materieller oder immaterieller Schaden entstanden sei. Es liege kein immaterieller Schaden nach der DSGVO vor, wenn einem unbefugten Dritten personenbezogene Daten zwar herausgegeben wurden, dieser aber keine Kenntnis von den Daten genommen hat und der Betroffene bloß befürchte, dass durch den Kontrollverlust über die personenbezogenen Daten die Möglichkeit einer Weiterverarbeitung oder eines künftigen Missbrauchs bestehen könnte. Der Betroffene müsse den Nachweis erbringen, dass eine Kenntisnahme und ein tatsächliches Risiko vorliegt. Es reiche hingegen nicht aus, wenn nur ein hypothetisches Risiko besteht.
Eine Frage blieb jedoch unbeantwortet: So hatte sich das AG Hamm mit der Frage an den EuGH gerichtet, ob Artikel 82 DSGVO wohlmöglich unwirksam sei, da die anzuordnenden Rechtsfolgen bei einem immateriellen Schadensersatz nicht näher definiert seien. Diese Frage hielt der EuGH allerdings für unzulässig. Artikel 94 Buchstabe c der Verfahrensordnung des Europäischen Gerichtshofs bestimme, dass das Vorabentscheidungsersuchen die Gründe aufliste, warum das vorliegende Gericht die Gültigkeit bestimmter Vorschriften anzweifelt. Das AG Hagen hat es in seinem Vorabenscheidungsersuchen unterlassen, die Gründe zu nennen, weshalb es Artikel 82 DSGVO in Frage stelle.
Stützt ein Unternehmen eine Datenverarbeitung auf eine Einwilligung, so gilt es auch zu beachten, dass diese Einwilligung jederzeit vom Betroffenen für die Zukunft widerrufen werden kann und dann nicht mehr wirksam ist. Über diese Tatsache ist der Betroffene bei Einholung seiner Einwilligung auch in Kenntnis zu setzen – ansonsten ist seine Einwilligung unwirksam. Unsere Rechtsanwälte im Datenschutzrecht beraten Sie gerne zum Thema Einwilligung und prüfen die Datenverarbeitungsvorgänge in Ihrem Unternehmen auf Rechtmäßigkeit!
Für weitere Rückfragen stehen wir Ihnen jederzeit gerne auch telefonisch zur Verfügung. Wünschen Sie die Rechtsberatung von dem erfahrenen Team aus Fachanwälten und Spezialisten der SBS LEGAL?