News

Konkretes vom EuGH zum immateriellen Schadenersatz bei Weitergabe intimer Informationen – nur 2.000 EUR Schadenersatz zugesprochen

In der Praxis stellt sich häufig die Frage, in welchen Fällen und in welcher Höhe ein Anspruch auf Ersatz eines immateriellen Schadens bei unzulässigen Datenverarbeitungen besteht. In Deutschland existieren bereits massenhaft Urteile aus verschiedenen Rechtsbereichen hierzu. Jedoch gibt es bislang keine konkreten Aussagen des EuGH zur Höhe eines Schadenersatzanspruchs.

Der EuGH hat nun am 5.3.2024 in der Rechtssache C‑755/21 P entschieden, dass bei Weitergabe intimer personenbezogener Daten an unbefugte Personen ein Schadenersatzanspruch in Höhe von 2.000 EUR besteht. Diese Summe wirkt angesichts der betroffenen intimen Informationen mit sexuellem Charakter im Vergleich zu in der deutschen Rechtsprechung mitunter zugesprochenen Schadenersatzsummen sehr niedrig. Obwohl die Entscheidung des EuGH in Bezug auf Art. 50 der Europol-Verordnung gefällt wurde, kann man auch einige Aspekte auf immaterielle Schadenersatzansprüche aus der DSGVO übertragen. In diesem Beitrag fassen wir zusammen, worum es im vom EuGH entschiedenen Fall ging, wie entschieden wurde und welche Folgen sich für Schadenersatzansprüche aus der DSGVO ableiten lassen.

Worum ging es?

Die slowakischen Behörden und Europol führten Ermittlungen wegen der Ermordung eines Journalisten und dessen Verlobten durch. Es wurden u.a. zwei Telefone des einen immateriellen Schadenersatzanspruch geltenden machenden Klägers beschlagnahmt und die darauf gespeicherten Daten wurden extrahiert. Zudem wurden u.a. Gespräche mit intimem Charakter zwischen ihm und seiner Freundin transkribiert. Die slowakische Behörde hatte bei den Ermittlungen die Unterstützung von Europol erbeten. Die slowakische Presse berichtete später über Einzelheiten der beschlagnahmten Daten. Es musste also zu einer Weitergabe der bei den Ermittlungen erhobenen Daten an die Presse gekommen sein.

Der Kläger verlangte auf Basis von Art. 50 Europol-Verordnung eine Entschädigung in Höhe von 50.000 Euro als Ersatz des immateriellen Schadens. Nach Art. 50 Abs. 1 hat jede Person, der wegen einer widerrechtlichen Datenverarbeitung ein Schaden entsteht, das Recht von Europol oder von einem Mitgliedstaat Schadenersatz zu fordern.

Der immaterielle Schaden sei dadurch entstanden, dass Europol die Transkriptionen der aus den in Rede stehenden Mobiltelefonen hervorgegangenen Gesprächen mit intimem und sexuellem Charakter zwischen ihm und seiner Freundin weitergegeben habe. In erster Instanz hatte das EuG dem Kläger keinen Schadenersatz zugesprochen. Der EuGH musste nun in letzter Instanz entscheiden, ob dem Kläger ein immaterieller Schadenersatzanspruch wegen einer rechtswidrigen Datenverarbeitung zusteht.

Wie hat der EuGH entschieden?

Wie aus der Überschrift dieses Newsbeitrags bereits hervorgeht, hat der EuGH dem Kläger einen Schadenersatzanspruch in Höhe von 2.000 EUR zugestanden. Die Höhe der Entschädigungssumme erscheint angesichts des intimen Charakters der Daten mit Bezug zu sexuellen Aspekten sehr gering.

Im Urteil geht der EuGH auf die Voraussetzungen für das Bestehen eines Schadenersatzanspruchs ein. Dabei werden deutliche Überschneidungen zu den Voraussetzungen aus der DSGVO erkennbar. Wenn jemand den Ersatz eines immateriellen Schadens verlangt, dann muss das Vorliegen einer widerrechtlichen Datenverarbeitung, eines Schadens und eines Kausalzusammenhangs zwischen der Datenverarbeitung und dem Schaden nachgewiesen werden (Rn. 74). Genau diese Anforderungen stellt der EuGH auch an Ansprüche nach Art. 82 DSGVO.

Im Anwendungsbereich von Art. 50 Europol-Verordnung muss nicht nachgewiesen werden, ob der Schaden Europol oder einem Mitgliedstaat zuzurechnen ist (Rn. 76). Das lässt sich ggf. auch auf gemeinsam Verantwortliche unter der DSGVO übertragen. Betroffene müssten dann also nicht nachweisen, welchem gemeinsam Verantwortlichen ein Schaden zuzurechnen ist. Der Kläger muss aber Beweise zum Nachweis des Vorliegens und des Umfangs des von ihm geltend gemachten Schadens sowie des Bestehens eines hinreichend unmittelbaren ursächlichen Zusammenhangs zwischen dem Verstoß und dem geltend gemachten Schaden erbringen (Rn. 135). Wenn ein Schadenersatzanspruch wegen der Weitergabe von Daten an einen Unbefugten geltend gemacht wird, muss der Kläger nachweisen, dass es so eine unbefugte Weitergabe tatsächlich gab (Rn. 138). In der Praxis wird es für betroffene Personen häufig schwierig sein, eine tatsächlich erfolgte Weitergabe zu beweisen. Hier bestehen also auch Verteidigungsmöglichkeiten für Unternehmen, die sich Schadenersatzforderungen ausgesetzt sehen.

Der EuGH hat festgestellt, dass die Weitergabe der relevanten Daten an unbefugte Personen (hier die Presse) eine rechtswidrige Datenverarbeitung war. Die erste Voraussetzung ist also erfüllt. Mit Blick auf den entstandenen Schaden stellte der Gerichtshof fest, dass die rechtswidrige Datenverarbeitung das durch Art. 7 der Charta garantierte Recht auf Achtung des Privat- und Familienlebens und der Kommunikation verletzt hat. Zudem wurden Ehre und Ansehen des Klägers beeinträchtigt. Hierdurch war auch ein immaterieller Schaden entstanden.

Der Kläger hatte einen Schadenersatz in Höhe von 50.000 EUR verlangt. Der EuGH würdigte, dass die weitergegeben Daten besonders intim und sensibel waren und einen sexuellen Charakter hatten. Im Anwendungsbereich der DSGVO wäre es also um besondere Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO gegangen. Aus der Weitergabe der Transkriptionen der Gespräche mit intimem und sexuellem Charakter ist nach Ansicht des EuGH jedoch kein Schaden in Höhe von 50.000 EUR entstanden. Der Gerichtshof urteilte, dass der Schaden durch „Zahlung einer nach billigem Ermessen auf 2.000 Euro festgesetzten Entschädigung angemessen ausgeglichen wird.“ Leider gibt es im Urteil keine Anhaltspunkte dafür, anhand welcher Kriterien der EuGH die Höhe des Schadenersatzanspruchs konkret bemessen hat. Klar ist jedoch, dass der EuGH trotz des besonders sensiblen Charakters der Daten, hier nur 4% der beantragten Schadenersatzsumme zuspricht.

Was sind die Folgen für immaterielle Schadenersatzansprüche unter der DSGVO?

In Deutschland gibt es ganz unterschiedliche Gerichtsentscheidungen zu Ansprüchen auf immateriellen Schadenersatzanspruch. So hat bspw. das LG Oldenburg am 20. Oktober 2022 unter dem Aktenzeichen O 1809/22 einen Schadenersatzanspruch in Höhe von 2.000 EUR für die unbefugte Weitergabe von Daten wie der Telefonnummer, des Namens, der E-Mail-Adresse, dem Geschlecht und Geburtsdatum zugesprochen. Es gibt auch weitere Urteile, in denen Gerichte ähnlich hohe Schadenersatzsummen zusprachen. Vergleicht man die Sensibilität der Daten mit den bei der EuGH-Entscheidung relevanten unbefugten Datenweitergaben, so wird schnell klar, dass die Entscheidung des LG Oldenburg und viele weitere Urteile wohl kaum dem nun angelegten Maßstab des EuGH entsprechen würden. So kann auch gut bezweifelt werden, ob die Höhe der mitunter für eine verspätete Auskunftserteilung zugesprochenen Schadenersatzansprüche angemessen ist. Denn in solchen Fällen geht es allein um eine zeitliche Verzögerung der Auskunft, jedoch nicht im Entferntesten um eine Weitergabe sensibler Daten an Dritte. Hierbei sei bspw. an das Urteil des ArbG Dresden (Urt. v. 11.1.2023 – 4 Ca 688/22 – siehe bei beck-online hier) zu denken, indem 1.000 EUR für eine verspätete und weitere 1.500 EUR für eine unvollständige Auskunft zugesprochen wurden.

In Deutschland bildet sich seit einiger Zeit eine Art Klageindustrie für Schadenersatzansprüche nach Art. 82 DSGVO, die mitunter öffentlichkeitswirksam und vollmundig (die wettbewerbs- und berufsrechtliche Zulässigkeit hier einmal ausgespart) für angeblich bestehende Ansprüche in Höhe mehrerer tausenden Euro für die unbefugte Weitergabe von wenig sensiblen Daten wirbt. Derartige Höhen von Schadenersatzansprüchen erscheinen nach dem neuen EuGH-Urteil wohl eher als Wunschdenken und etwas realitätsfern. Mit Schadenersatzforderungen konfrontierte Unternehmen können der neuen Entscheidung des EuGH in jedem Fall einige Argumente zur Verteidigung gegen Schadenersatzansprüche entnehmen. Obwohl der EuGH ganz eindeutig die Sensibilität der unbefugt weitergegebenen Daten gewürdigt hat und wusste, dass solche Daten auch in der Presse veröffentlicht wurden, gesteht er dem Kläger immerhin nur einen Anspruch auf 2.000 EUR zu.

Wirtschaftsjurist, Counsel
Philipp Quiel, LL.M.
Wirtschaftsjurist, Counsel
Philipp Quiel, LL.M.

Zurück

News

Prof. Dr. Burghard Piltz & Dr. Carlo Piltz erneut ausgezeichnet

Wir freuen uns, dass Prof. Dr. Burghard Piltz & Dr. Carlo Piltz erneut vom Handelsblatt ausgezeichnet wurden.

Betriebsvereinbarungen müssen auf DSGVO-Konformität geprüft werden

Die Auswirkungen der EuGH-Urteils in der Rechtssache C-34/21 vom 30.3.2023 wurden mit Blick auf § 26 BDSG und das eventuell kommende neuen Beschäftigtendatenschutzgesetzes schon mehrfach thematisiert (hierzu eine aktuelle Handreichung der Hessischen Datenschutzbehörde). Jedoch wird bislang nur selten darauf eingegangen, dass das Urteil auch weitreichende Konsequenzen für Betriebsvereinbarungen haben kann.

Weiterer Fachaufsatz zum geplanten Cyber Resilience Act - Verhältnis des Cyber Resilience Act zur DSGVO

In der aktuellen Ausgabe der Zeitschrift Computer und Recht (CR 05/2023) wurde ein weiterer Aufsatz mit dem Titel „Der Vorschlag für einen Cyber Resilience Act aus Sicht der DSGVO“ von Dr. Carlo Piltz, Alexander Weiß und Johannes Zwerschke veröffentlicht.

Europäisches Gericht entscheidet zur Personenbeziehbarkeit pseudonymisierter Daten

Das Gericht der Europäischen Union (EuG) hat am 26. April 2023 zur Personenbeziehbarkeit pseudonymisierter Daten entschieden. Es urteilte, dass es sich bei übermittelten pseudonymisierten Daten nicht um personenbezogene Daten i. S. v. Art. 3 Nr. 1 Verordnung (EU) 2018/1725 handelt, wenn der Schlüssel zur Depseudonymisierung nicht beim Empfänger vorhanden ist.

Generalanwalt am EuGH: Fahrzeugidentifikationsnummer als personenbezogenes Datum? Es kommt darauf an

In seinen Schlussanträgen vom 4. Mai 2023 beschäftigt sich Generalanwalt Sánchez-Bordona u.a. mit der Frage, ob eine Fahrzeugidentifikationsnummern (FIN) ein personenbezogenes Datum ist. Diese Schlussanträge wurden (soweit ersichtlich) bislang noch nicht in der Datenschutz-Szene diskutiert.

Pflicht zum Einsatz von Systemen zur Angriffserkennung für Betreiber kritischer Infrastruktur gilt seit dem 1. Mai 2023

Seit dem 1. Mai 2023 sind Betreiber von kritischer Infrastruktur und Betreiber von Energieversorgungsnetzen und Energieanlagen, die als Kritische Infrastruktur gelten, gesetzlich gemäß § 8a Abs. 1a BSIG und § 11 Abs. 1e EnWG dazu verpflichtet, Systeme zur Angriffserkennung einzusetzen und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) alle zwei Jahre Nachweise darüber zu liefern (vgl. § 8a Abs. 3 BSIG).