News
Konkretes vom EuGH zum immateriellen Schadenersatz bei Weitergabe intimer Informationen – nur 2.000 EUR Schadenersatz zugesprochen
In der Praxis stellt sich häufig die Frage, in welchen Fällen und in welcher Höhe ein Anspruch auf Ersatz eines immateriellen Schadens bei unzulässigen Datenverarbeitungen besteht. In Deutschland existieren bereits massenhaft Urteile aus verschiedenen Rechtsbereichen hierzu. Jedoch gibt es bislang keine konkreten Aussagen des EuGH zur Höhe eines Schadenersatzanspruchs.
Der EuGH hat nun am 5.3.2024 in der Rechtssache C‑755/21 P entschieden, dass bei Weitergabe intimer personenbezogener Daten an unbefugte Personen ein Schadenersatzanspruch in Höhe von 2.000 EUR besteht. Diese Summe wirkt angesichts der betroffenen intimen Informationen mit sexuellem Charakter im Vergleich zu in der deutschen Rechtsprechung mitunter zugesprochenen Schadenersatzsummen sehr niedrig. Obwohl die Entscheidung des EuGH in Bezug auf Art. 50 der Europol-Verordnung gefällt wurde, kann man auch einige Aspekte auf immaterielle Schadenersatzansprüche aus der DSGVO übertragen. In diesem Beitrag fassen wir zusammen, worum es im vom EuGH entschiedenen Fall ging, wie entschieden wurde und welche Folgen sich für Schadenersatzansprüche aus der DSGVO ableiten lassen.
Worum ging es?
Die slowakischen Behörden und Europol führten Ermittlungen wegen der Ermordung eines Journalisten und dessen Verlobten durch. Es wurden u.a. zwei Telefone des einen immateriellen Schadenersatzanspruch geltenden machenden Klägers beschlagnahmt und die darauf gespeicherten Daten wurden extrahiert. Zudem wurden u.a. Gespräche mit intimem Charakter zwischen ihm und seiner Freundin transkribiert. Die slowakische Behörde hatte bei den Ermittlungen die Unterstützung von Europol erbeten. Die slowakische Presse berichtete später über Einzelheiten der beschlagnahmten Daten. Es musste also zu einer Weitergabe der bei den Ermittlungen erhobenen Daten an die Presse gekommen sein.
Der Kläger verlangte auf Basis von Art. 50 Europol-Verordnung eine Entschädigung in Höhe von 50.000 Euro als Ersatz des immateriellen Schadens. Nach Art. 50 Abs. 1 hat jede Person, der wegen einer widerrechtlichen Datenverarbeitung ein Schaden entsteht, das Recht von Europol oder von einem Mitgliedstaat Schadenersatz zu fordern.
Der immaterielle Schaden sei dadurch entstanden, dass Europol die Transkriptionen der aus den in Rede stehenden Mobiltelefonen hervorgegangenen Gesprächen mit intimem und sexuellem Charakter zwischen ihm und seiner Freundin weitergegeben habe. In erster Instanz hatte das EuG dem Kläger keinen Schadenersatz zugesprochen. Der EuGH musste nun in letzter Instanz entscheiden, ob dem Kläger ein immaterieller Schadenersatzanspruch wegen einer rechtswidrigen Datenverarbeitung zusteht.
Wie hat der EuGH entschieden?
Wie aus der Überschrift dieses Newsbeitrags bereits hervorgeht, hat der EuGH dem Kläger einen Schadenersatzanspruch in Höhe von 2.000 EUR zugestanden. Die Höhe der Entschädigungssumme erscheint angesichts des intimen Charakters der Daten mit Bezug zu sexuellen Aspekten sehr gering.
Im Urteil geht der EuGH auf die Voraussetzungen für das Bestehen eines Schadenersatzanspruchs ein. Dabei werden deutliche Überschneidungen zu den Voraussetzungen aus der DSGVO erkennbar. Wenn jemand den Ersatz eines immateriellen Schadens verlangt, dann muss das Vorliegen einer widerrechtlichen Datenverarbeitung, eines Schadens und eines Kausalzusammenhangs zwischen der Datenverarbeitung und dem Schaden nachgewiesen werden (Rn. 74). Genau diese Anforderungen stellt der EuGH auch an Ansprüche nach Art. 82 DSGVO.
Im Anwendungsbereich von Art. 50 Europol-Verordnung muss nicht nachgewiesen werden, ob der Schaden Europol oder einem Mitgliedstaat zuzurechnen ist (Rn. 76). Das lässt sich ggf. auch auf gemeinsam Verantwortliche unter der DSGVO übertragen. Betroffene müssten dann also nicht nachweisen, welchem gemeinsam Verantwortlichen ein Schaden zuzurechnen ist. Der Kläger muss aber Beweise zum Nachweis des Vorliegens und des Umfangs des von ihm geltend gemachten Schadens sowie des Bestehens eines hinreichend unmittelbaren ursächlichen Zusammenhangs zwischen dem Verstoß und dem geltend gemachten Schaden erbringen (Rn. 135). Wenn ein Schadenersatzanspruch wegen der Weitergabe von Daten an einen Unbefugten geltend gemacht wird, muss der Kläger nachweisen, dass es so eine unbefugte Weitergabe tatsächlich gab (Rn. 138). In der Praxis wird es für betroffene Personen häufig schwierig sein, eine tatsächlich erfolgte Weitergabe zu beweisen. Hier bestehen also auch Verteidigungsmöglichkeiten für Unternehmen, die sich Schadenersatzforderungen ausgesetzt sehen.
Der EuGH hat festgestellt, dass die Weitergabe der relevanten Daten an unbefugte Personen (hier die Presse) eine rechtswidrige Datenverarbeitung war. Die erste Voraussetzung ist also erfüllt. Mit Blick auf den entstandenen Schaden stellte der Gerichtshof fest, dass die rechtswidrige Datenverarbeitung das durch Art. 7 der Charta garantierte Recht auf Achtung des Privat- und Familienlebens und der Kommunikation verletzt hat. Zudem wurden Ehre und Ansehen des Klägers beeinträchtigt. Hierdurch war auch ein immaterieller Schaden entstanden.
Der Kläger hatte einen Schadenersatz in Höhe von 50.000 EUR verlangt. Der EuGH würdigte, dass die weitergegeben Daten besonders intim und sensibel waren und einen sexuellen Charakter hatten. Im Anwendungsbereich der DSGVO wäre es also um besondere Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO gegangen. Aus der Weitergabe der Transkriptionen der Gespräche mit intimem und sexuellem Charakter ist nach Ansicht des EuGH jedoch kein Schaden in Höhe von 50.000 EUR entstanden. Der Gerichtshof urteilte, dass der Schaden durch „Zahlung einer nach billigem Ermessen auf 2.000 Euro festgesetzten Entschädigung angemessen ausgeglichen wird.“ Leider gibt es im Urteil keine Anhaltspunkte dafür, anhand welcher Kriterien der EuGH die Höhe des Schadenersatzanspruchs konkret bemessen hat. Klar ist jedoch, dass der EuGH trotz des besonders sensiblen Charakters der Daten, hier nur 4% der beantragten Schadenersatzsumme zuspricht.
Was sind die Folgen für immaterielle Schadenersatzansprüche unter der DSGVO?
In Deutschland gibt es ganz unterschiedliche Gerichtsentscheidungen zu Ansprüchen auf immateriellen Schadenersatzanspruch. So hat bspw. das LG Oldenburg am 20. Oktober 2022 unter dem Aktenzeichen O 1809/22 einen Schadenersatzanspruch in Höhe von 2.000 EUR für die unbefugte Weitergabe von Daten wie der Telefonnummer, des Namens, der E-Mail-Adresse, dem Geschlecht und Geburtsdatum zugesprochen. Es gibt auch weitere Urteile, in denen Gerichte ähnlich hohe Schadenersatzsummen zusprachen. Vergleicht man die Sensibilität der Daten mit den bei der EuGH-Entscheidung relevanten unbefugten Datenweitergaben, so wird schnell klar, dass die Entscheidung des LG Oldenburg und viele weitere Urteile wohl kaum dem nun angelegten Maßstab des EuGH entsprechen würden. So kann auch gut bezweifelt werden, ob die Höhe der mitunter für eine verspätete Auskunftserteilung zugesprochenen Schadenersatzansprüche angemessen ist. Denn in solchen Fällen geht es allein um eine zeitliche Verzögerung der Auskunft, jedoch nicht im Entferntesten um eine Weitergabe sensibler Daten an Dritte. Hierbei sei bspw. an das Urteil des ArbG Dresden (Urt. v. 11.1.2023 – 4 Ca 688/22 – siehe bei beck-online hier) zu denken, indem 1.000 EUR für eine verspätete und weitere 1.500 EUR für eine unvollständige Auskunft zugesprochen wurden.
In Deutschland bildet sich seit einiger Zeit eine Art Klageindustrie für Schadenersatzansprüche nach Art. 82 DSGVO, die mitunter öffentlichkeitswirksam und vollmundig (die wettbewerbs- und berufsrechtliche Zulässigkeit hier einmal ausgespart) für angeblich bestehende Ansprüche in Höhe mehrerer tausenden Euro für die unbefugte Weitergabe von wenig sensiblen Daten wirbt. Derartige Höhen von Schadenersatzansprüchen erscheinen nach dem neuen EuGH-Urteil wohl eher als Wunschdenken und etwas realitätsfern. Mit Schadenersatzforderungen konfrontierte Unternehmen können der neuen Entscheidung des EuGH in jedem Fall einige Argumente zur Verteidigung gegen Schadenersatzansprüche entnehmen. Obwohl der EuGH ganz eindeutig die Sensibilität der unbefugt weitergegebenen Daten gewürdigt hat und wusste, dass solche Daten auch in der Presse veröffentlicht wurden, gesteht er dem Kläger immerhin nur einen Anspruch auf 2.000 EUR zu.
News
The Legal 500 Deutschland: Dr. Carlo Piltz als führender Name im Praxisbereich Datenschutz
Wir freuen uns sehr, dass Dr. Carlo Piltz in der neuesten Ausgabe des Handbuchs Legal 500 Deutschland unter den führenden Namen im Bereich Datenschutz vertreten ist.
Belgische Aufsichtsbehörde verhängt Bußgeld gegen IAB Europe wegen Transparency and Consent Framework (TCF)
Die belgische Datenschutzaufsichtsbehörde (APD-GBA) hat heute am 2.2.2022 ein Bußgeld in Höhe von 250.000 Euro gegen IAB Europe (IAB) verhängt. Zudem ordnete die Behörde Maßnahmen an, die zu einer umfassenden Anpassung des Transparency and Consent Framework (TCF) führen sollen.
Hervorzuheben ist dabei, dass die APD-GBA davon ausgeht, dass IAB zusammen mit den Publishern u.a. im Hinblick auf die Einholung der Einwilligung als Joint Controller agiert. Grundsätzlich könnten daher die angenommenen Verstöße auch App- und Webseitenbetreibern zu Last gelegt werden, die aktuell das TCF nutzen.
EDSA veröffentlicht Leitlinien zum Auskunftsrecht nach Art. 15 DSGVO
Der Europäische Datenschutzausschuss (EDSA), das Gremium der europäischen Datenschutzaufsichtsbehörden, hat in seiner Sitzung vom 18. Januar 2022 einen ersten Leitlinienentwurf zu einem der bedeutendsten Betroffenenrechte nach der DSGVO herausgegeben: dem Auskunftsrecht nach Art. 15.
Dieses Recht sorgt in der Praxis oft für Anwendungsunsicherheiten und lässt viel Raum für Interpretationen. Aus diesem Grund erschien es notwendig, dieses 60-seitige Dokument zu veröffentlichen, um für mehr Klarheit und Kohärenz zu sorgen. In dem Dokument widmet sich der EDSA einer Reihe von Themen, von denen einige in der Praxis äußerst umstritten sind.
Zusätzliche Schutzmaßnahmen für EU-Standardvertragsklauseln in der Praxis - Österreichische Datenschutzbehörde gibt eine erste Orientierung
Der Einsatz von Google Analytics steht nicht im Einklang mit der DSGVO. Zu diesem Schluss kam die österreichische Datenschutzbehörde (DSB) aufgrund einer Musterbeschwerde, die der Datenschutzverein "Noyb" (none of your business bzw. Europäisches Zentrum für digitale Rechte) eingereicht hatte. In ihrem Bescheid setzt sich die DSB (leider nicht vertieft) mit den zusätzlichen Schutzmaßnahmen von Google auseinander, die das Unternehmen für Datentransfers in die USA vorsieht. In diesem Beitrag finden Sie eine kurze Übersicht der technischen und organisatorischen Maßnahmen, die die österreichische DSB in ihrem Teilbescheid berücksichtigt, jedoch als ungenügend eingestuft hat.
Rechtswidrige Datenübermittlung zwischen EU und USA und weitere Verstöße: Der EDSB erlässt Unterlassungsanordnung gegen das Europäische Parlament
Anfang Januar veröffentlichte der Europäische Datenschutzbeauftragte (EDSB) eine Entscheidung, nachdem die Vereinigung noyb (none of your business bzw. European Centre for Digital Rights) bereits vor einem Jahr im Namen von sechs Mitgliedern des Europäischen Parlaments eine Beschwerde bzgl. einer Webseite des Europäischen Parlaments eingereicht hatte. In seiner Entscheidung geht der EDSB davon aus, dass die COVID-Testseite des Europäischen Parlaments gegen mehrere Datenschutzvorschriften verstößt. Kritisiert wurden in der Beschwerde von noyb insbesondere irreführende Cookie-Banner, vage und unklare Datenschutzinformationen und die illegale Übermittlung von personenbezogenen Daten in die USA. Der EDSB überprüfte den Fall und stellte einen Verstoß gegen die Verordnung (EU) 2018/1725 (nachfolgend „Verordnung)“, die zwar nur für EU-Institutionen gilt, der DSGVO jedoch sehr ähnelt, fest. Eine detaillierte Auflistung der einzelnen Verstöße sowie ihrer korrespondierenden Vorschriften in der Verordnung (EU) 2016/679 „EU-DSGVO“ finden Sie unter Nummer 4.