{"id":7474,"date":"2024-01-08T11:12:36","date_gmt":"2024-01-08T10:12:36","guid":{"rendered":"https:\/\/www.schindlerattorneys.com\/?p=7474"},"modified":"2024-01-08T11:56:49","modified_gmt":"2024-01-08T10:56:49","slug":"eugh-erleichterte-durchsetzung-von-schadenersatzanspruchen-bei-dsgvo-verstosen","status":"publish","type":"post","link":"https:\/\/www.schindlerattorneys.com\/en\/2024\/01\/08\/eugh-erleichterte-durchsetzung-von-schadenersatzanspruchen-bei-dsgvo-verstosen\/","title":{"rendered":"EuGH: Erleichterte Durchsetzung von Schadenersatzanspr\u00fcchen bei DSGVO-Verst\u00f6\u00dfen"},"content":{"rendered":"\n<p><em>Im Weihnachtstrubel fast etwas untergegangen ist die am 14.&nbsp;Dezember 2023 ergangene Entscheidung des Gerichtshof der Europ\u00e4ischen Union (EuGH) in einem Vorabentscheidungsverfahren des bulgarischen Obersten Verwaltungsgerichts zum immateriellen Schadensersatz wegen der Verletzung der Sicherheit der Verarbeitung personenbezogener Daten (<\/em><a href=\"http:\/\/curia.europa.eu\/juris\/liste.jsf?language=de&amp;td=ALL&amp;num=C-340\/21\" target=\"_blank\" rel=\"noreferrer noopener\"><em>Rechtssache C-340\/21<\/em><\/a><em>).<\/em><\/p>\n\n\n\n<p><em>In einem weiteren Vorabentscheidungsersuchen aus dem Jahr 2022 wollte das Landgericht Ravensburg vom EuGH wissen, ob der blo\u00df kurzfristige Verlust des Betroffenen \u00fcber die Hoheit seiner Daten wegen der Ver\u00f6ffentlichung personenbezogener Daten im Internet einen immateriellen Schaden nach Art. 82 Abs. 1 DSGVO darstellt (14. Dezember 2023; <\/em><a href=\"https:\/\/curia.europa.eu\/juris\/liste.jsf?language=de&amp;td=ALL&amp;num=C-456\/22\" target=\"_blank\" rel=\"noreferrer noopener\"><em>Rechtssache C-456\/22<\/em><\/a><em>).<\/em><\/p>\n\n\n\n<p>Unser Partner und Datenschutzexperte Philipp Spring hat sich beide Entscheidungen n\u00e4her angesehen und die wichtigsten Erkenntnisse daraus nachfolgend kurz zusammengefasst:<\/p>\n\n\n\n<p><strong><u>Rechtssache C-340\/21<\/u><\/strong>: Am 15.&nbsp;Juli 2019 wurde in den Medien dar\u00fcber berichtet, dass ein unbefugter Zugang zum IT\u2011System der NAP, eine dem bulgarischen Finanzminister unterstellte Beh\u00f6rde, erfolgt sei und dass infolge dieses Cyberangriffs in diesem System enthaltene personenbezogene Daten im Internet ver\u00f6ffentlicht worden seien. Mehr als sechs Millionen nat\u00fcrliche Personen waren von diesen Ereignissen betroffen. Einige Hundert von ihnen, darunter die Kl\u00e4gerin des Ausgangsverfahrens, klagten die NAP auf Ersatz des immateriellen Schadens, der sich aus der Offenlegung ihrer personenbezogenen Daten ergeben haben soll.<\/p>\n\n\n\n<p>Die Kl\u00e4gerin des Ausgangsverfahrens machte geltend, sie habe einen immateriellen Schaden erlitten, der sich aus einer Verletzung des Schutzes personenbezogener Daten und insbesondere aus einer Sicherheitsverletzung des Betreibers ergebe. Ihr immaterieller Schaden bestehe in der Bef\u00fcrchtung, dass ihre personenbezogenen Daten k\u00fcnftig missbr\u00e4uchlich verwendet w\u00fcrden oder dass sie selbst erpresst, angegriffen oder sogar entf\u00fchrt werde.<\/p>\n\n\n\n<p>Die NAP verteidigte sich damit, dass sie alle erforderlichen Ma\u00dfnahmen ergriffen habe, um im Vorfeld die Verletzung des Schutzes der in ihrem IT\u2011System enthaltenen personenbezogenen Daten zu verhindern. Dar\u00fcber hinaus sei sie selbst durch Personen, die nicht ihre Bediensteten seien, b\u00f6swillig gesch\u00e4digt worden.<\/p>\n\n\n\n<p>Der EuGH beantwortete folgende Vorabentscheidungsfragen:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Er hielt zuerst fest, dass eine unbefugte Offenlegung von bzw. ein unbefugter Zugang zu personenbezogenen Daten durch \u201eDritte\u201c im Sinne von Art.&nbsp;4 Nr.&nbsp;10 DSGVO allein nicht ausreicht, um anzunehmen, dass die technischen und organisatorischen Ma\u00dfnahmen, die der f\u00fcr die betreffende Verarbeitung Verantwortliche getroffen hat, nicht \u201egeeignet\u201c im Sinne der Art.&nbsp;24 und 32 DSGVO waren.<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Au\u00dferdem befand der Gerichtshof, dass die Geeignetheit der vom Verantwortlichen nach Art. 32 getroffenen technischen und organisatorischen Ma\u00dfnahmen von den nationalen Gerichten konkret zu beurteilen ist, wobei die mit der betreffenden Verarbeitung verbundenen Risiken zu ber\u00fccksichtigen sind und zu beurteilen ist, ob Art, Inhalt und Umsetzung dieser Ma\u00dfnahmen diesen Risiken angemessen sind.<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Ferner hat der Verantwortliche im Rahmen einer auf Art.&nbsp;82 DSGVO gest\u00fctzten Schadenersatzklage die Beweislast daf\u00fcr zu tragen, dass die von ihm getroffenen Sicherheitsma\u00dfnahmen im Sinne von Art.&nbsp;32 DSGVO geeignet waren. F\u00fcr die Beurteilung der Geeignetheit der Sicherheitsma\u00dfnahmen ist ein gerichtliches Sachverst\u00e4ndigengutachten kein generell notwendiges und ausreichendes Beweismittel. Ein genereller R\u00fcckgriff auf ein solches Gutachten kann sich n\u00e4mlich in Anbetracht anderer Beweise, die dem angerufenen Gericht vorliegen, als \u00fcberfl\u00fcssig erweisen.<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Der Verantwortliche kann von einer Verpflichtung zum Ersatz des einer Person entstandenen Schadens nicht allein schon deshalb befreit werden, weil dieser Schaden die Folge einer unbefugten Offenlegung von bzw. eines unbefugten Zugangs zu personenbezogenen Daten durch \u201eDritte\u201c im Sinne von Art.&nbsp;4 Nr.&nbsp;10 DSGVO ist. Der Verantwortliche muss jedoch dann nachweisen, dass er in keinerlei Hinsicht f\u00fcr den Umstand, durch den der betreffende Schaden eingetreten ist, verantwortlich ist.<\/li>\n<\/ul>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Zuletzt hielt der EuGH fest, dass allein der Umstand, dass eine betroffene Person infolge eines Versto\u00dfes gegen die DSGVO bef\u00fcrchtet, dass ihre personenbezogenen Daten durch Dritte missbr\u00e4uchlich verwendet werden k\u00f6nnten, einen \u201eimmateriellen Schaden\u201c im Sinne dieser Bestimmung darstellen kann. Allerdings muss jene Person, die von einem Versto\u00df gegen die DSGVO betroffen ist, konkret nachweisen, dass diese Folgen einen immateriellen Schaden im Sinne von Art.&nbsp;82 DSGVO darstellen.<\/li>\n<\/ul>\n\n\n\n<p>Vor allem mit seiner letzten Ausf\u00fchrung spielt der EuGH den Ball an die nationalen Gerichte zur\u00fcck, die im Einzelfall feststellen m\u00fcssen, ob und inwieweit die Betroffenheit und die daraus resultierenden Folgen ausreichend sind, um einen immateriellen Schadenersatzanspruch zu begr\u00fcnden.<\/p>\n\n\n\n<p>W\u00e4hrend der Generalanwalt in seinen Schlussantr\u00e4gen noch betonte, dass zwar allein die Bef\u00fcrchtung eines k\u00fcnftigen Missbrauchs Schadensersatz begr\u00fcnden k\u00f6nne, er jedoch einschr\u00e4nkend forderte, dass es sich dabei um einen \u201erealen und sicheren emotionalen Schaden und nicht nur um ein \u00c4rgernis oder eine Unannehmlichkeit\u201c handeln m\u00fcsse, entgegnete der EuGH, dass grunds\u00e4tzlich die (blo\u00dfe) Angst vor Missbrauch von personenbezogenen Daten ausreichend sei, um einen DSGVO-Schadensersatz zu begr\u00fcnden.<\/p>\n\n\n\n<p><strong><u>Rechtssache C-456\/22<\/u><\/strong>: &nbsp;Am 19.&nbsp;Juni 2020 hatte die Gemeinde Ummendorf (Deutschland) auf ihrer Internetseite ohne Einwilligung der Kl\u00e4ger des Ausgangsverfahrens die Tagesordnung einer Gemeinderatssitzung, sowie ein Urteil ver\u00f6ffentlicht, in denen die Namen und Anschrift der Kl\u00e4ger genannt wurden. Die Kl\u00e4ger waren der Auffassung, dass diese Ver\u00f6ffentlichung ein Versto\u00df gegen die DSGVO sei und dass die Gemeinde Ummendorf vors\u00e4tzlich gehandelt habe, da die Namen der anderen Beteiligten des Verfahrens, in dem das genannte Urteil ergangen sei, geschw\u00e4rzt worden seien.<\/p>\n\n\n\n<p>Ihrer Ansicht nach stellt die unzul\u00e4ssige Offenlegung personenbezogener Daten einer nat\u00fcrlichen Person einen \u201eSchaden\u201c im Sinne des Art.&nbsp;82 Abs.&nbsp;1 DSGVO dar, ohne dass eine \u201eBagatellgrenze\u201c geltend gemacht werden k\u00f6nne, die der Systematik der DSGVO widerspr\u00e4che und der abschreckenden Wirkung dieser Bestimmung abtr\u00e4glich w\u00e4re.<\/p>\n\n\n\n<p>Das vorlegende Gericht war der Auffassung, dass der blo\u00dfe Verlust der Hoheit \u00fcber die personenbezogenen Daten nicht gen\u00fcge, um einen immateriellen zu rechtfertigen. F\u00fcr die Bejahung eines immateriellen Schadens m\u00fcsse eine \u201eBagatellgrenze\u201c \u00fcberschritten sein, was bei einem lediglich kurzfristigen Verlust der Datenhoheit der Betroffenen, der ihnen keinerlei sp\u00fcrbare Nachteile verursacht habe, und ohne Nachweis einer objektiv nachvollziehbaren Beeintr\u00e4chtigung ihrer pers\u00f6nlichkeitsbezogenen Belange nicht der Fall sei.<\/p>\n\n\n\n<p>Im Gegensatz zum vorlegenden Gericht f\u00fchrte der EuGH jedoch aus, Art.&nbsp;82 Abs.&nbsp;1 DSGVO verlange nicht, dass nach einem erwiesenen Versto\u00df gegen Bestimmungen der DSGVO der von der betroffenen Person geltend gemachte \u201eimmaterielle Schaden\u201c eine \u201eBagatellgrenze\u201c \u00fcberschreiten muss, damit dieser Schaden ersatzf\u00e4hig ist.<\/p>\n\n\n\n<p>Eine Person, die von einem Versto\u00df gegen die DSGVO betroffen ist, der f\u00fcr sie nachteilige Folgen gehabt hat, muss jedoch den Nachweis erbringen, dass diese Folgen einen immateriellen Schaden im Sinne von Art.&nbsp;82 DSGVO darstellen (vgl. in diesem Sinne Urteil vom 4.&nbsp;Mai 2023, \u00d6sterreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], <a href=\"https:\/\/curia.europa.eu\/juris\/document\/document.jsf?text=&amp;docid=273284&amp;pageIndex=0&amp;doclang=de&amp;mode=lst&amp;dir=&amp;occ=first&amp;part=1&amp;cid=11598020\">C\u2011300\/21<\/a>)<\/p>\n\n\n\n<p>Der EuGH erteilte somit (erneut) dem Erfordernis einer Bagatellgrenze f\u00fcr immateriellen Sch\u00e4den bei DSGVO-Verst\u00f6\u00dfen eine deutliche Abfuhr.<\/p>\n\n\n\n<p>Zusammenfassend bleibt somit abzuwarten, wie die nationalen Gerichte die Vorgaben des EuGHs umsetzen werden. Es ist anzunehmen, dass vermehrt ein immaterieller Schadenersatz bei DSGVO-Verst\u00f6\u00dfen gew\u00e4hrt wird. In welcher H\u00f6he dieser jedoch konkret zugebilligt wird, ist immer einzelfallabh\u00e4ngig.<\/p>\n\n\n\n<p>DISCLAIMER<\/p>\n\n\n\n<p>Dieser Blog stellt lediglich eine allgemeine Information und keine rechtsanwaltliche Beratung dar. Schindler Rechtsanw\u00e4lte GmbH \u00fcbernimmt keine Haftung f\u00fcr die Richtigkeit, Vollst\u00e4ndigkeit und Aktualit\u00e4t des Blogs. Der Blog kann eine individuelle Rechtsberatung nicht ersetzen.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><a href=\"https:\/\/www.schindlerattorneys.com\/wp-content\/uploads\/2024\/01\/Blogbeitrag_1_2024-1.pdf\" target=\"_blank\" rel=\"noreferrer noopener\"><img decoding=\"async\" width=\"144\" height=\"144\" src=\"https:\/\/www.schindlerattorneys.com\/wp-content\/uploads\/2022\/01\/pdf-download-icon.png\" alt=\"PDF Download Icon\" class=\"wp-image-5848\" srcset=\"https:\/\/www.schindlerattorneys.com\/wp-content\/uploads\/2022\/01\/pdf-download-icon.png 144w, https:\/\/www.schindlerattorneys.com\/wp-content\/uploads\/2022\/01\/pdf-download-icon-12x12.png 12w\" sizes=\"(max-width: 144px) 100vw, 144px\" \/><\/a><\/figure>\n","protected":false},"excerpt":{"rendered":"<p>Im Weihnachtstrubel fast etwas untergegangen ist die am 14.\u00a0Dezember 2023 ergangene Entscheidung des Gerichtshof der Europ\u00e4ischen Union (EuGH) in einem Vorabentscheidungsverfahren des bulgarischen Obersten Verwaltungsgerichts zum immateriellen Schadensersatz wegen der Verletzung der Sicherheit der Verarbeitung personenbezogener Daten (Rechtssache C-340\/21).<\/p>\n<p>In einem weiteren Vorabentscheidungsersuchen aus dem Jahr 2022 wollte das Landgericht Ravensburg vom EuGH wissen, ob der blo\u00df kurzfristige Verlust des Betroffenen \u00fcber die Hoheit seiner Daten wegen der Ver\u00f6ffentlichung personenbezogener Daten im Internet einen immateriellen Schaden nach Art. 82 Abs. 1 DSGVO darstellt (14. Dezember 2023; Rechtssache C-456\/22).<\/p>\n<p>Unser Partner und Datenschutzexperte Philipp Spring hat sich beide Entscheidungen n\u00e4her angesehen und die wichtigsten Erkenntnisse daraus nachfolgend kurz zusammengefasst:<\/p>\n","protected":false},"author":2,"featured_media":7477,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[32],"tags":[31,55],"class_list":["post-7474","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog","tag-top-news","tag-datenschutz"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.schindlerattorneys.com\/en\/wp-json\/wp\/v2\/posts\/7474","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.schindlerattorneys.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.schindlerattorneys.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.schindlerattorneys.com\/en\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.schindlerattorneys.com\/en\/wp-json\/wp\/v2\/comments?post=7474"}],"version-history":[{"count":0,"href":"https:\/\/www.schindlerattorneys.com\/en\/wp-json\/wp\/v2\/posts\/7474\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.schindlerattorneys.com\/en\/wp-json\/wp\/v2\/media\/7477"}],"wp:attachment":[{"href":"https:\/\/www.schindlerattorneys.com\/en\/wp-json\/wp\/v2\/media?parent=7474"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.schindlerattorneys.com\/en\/wp-json\/wp\/v2\/categories?post=7474"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.schindlerattorneys.com\/en\/wp-json\/wp\/v2\/tags?post=7474"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}