EuGH: Schaden bei Schadenersatzanspruch nach Art. 82 DSGVO nicht weniger schwerwiegend als Schadensersatz nach Körperverletzung und „Identitätsdiebstahl“ kann grundsätzlich Anspruch begründen, aber nicht nur beschränkt auf nachgewiesen Fälle von Identitätsdiebstahl oder ‑betrug

Unter zu diesen beiden Punkten hat das Gericht mit Urteil vom 20. Juni 2024 in zwei Vorabentscheidungsersuchen des AG München (Az.: C‑182/22 und Az.:  C‑189/22) entschieden.

Es führt unter anderem zu der Rechtsansicht, dass ein Schaden bei einem Schadenersatzanspruch nach Art. 82 DSGVO nicht weniger schwerwiegend als ein Schadensersatz nach Körperverletzung sein kann, in den Entscheidungsgründen aus:

„…Im vorliegenden Fall ist festzustellen, dass die DSGVO keine Bestimmung enthält, die sich den Regeln für die Bemessung des Schadenersatzes widmet, auf den eine betroffene Person im Sinne von Art. 4 Nr. 1 dieser Verordnung nach deren Art. 82 Anspruch hat, wenn ihr durch einen Verstoß gegen diese Verordnung ein Schaden entstanden ist. Daher sind die Ausgestaltung von Klageverfahren, die den Schutz der dem Einzelnen aus Art. 82 DSGVO erwachsenden Rechte gewährleisten sollen, und insbesondere die Festlegung der Kriterien für die Ermittlung des Umfangs des in diesem Rahmen geschuldeten Schadenersatzes in Ermangelung einschlägiger unionsrechtlicher Vorschriften Aufgabe des Rechts des einzelnen Mitgliedstaats, wobei der Äquivalenz- und der Effektivitätsgrundsatz zu beachten sind (Urteil vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C‑300/21, EU:C:2023:370, Rn. 54).

Da die dem Gerichtshof vorliegende Akte keinen Anhaltspunkt dafür enthält, dass der Äquivalenzgrundsatz im Kontext der vorliegenden Ausgangsverfahren relevant sein könnte, ist auf den Effektivitätsgrundsatz abzustellen. Insoweit ist es Sache des vorlegenden Gerichts, festzustellen, ob die im deutschen Recht vorgesehenen Modalitäten für die gerichtliche Festsetzung des Schadenersatzes, der aufgrund des in Art. 82 DSGVO vorgesehenen Schadenersatzanspruchs geschuldet wird, die Ausübung der durch das Unionsrecht und insbesondere durch diese Verordnung verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren.

Insoweit ergibt sich aus der in Rn. 23 des vorliegenden Urteils angeführten Rechtsprechung, dass in Anbetracht der ausschließlichen Ausgleichsfunktion des in Art. 82 Abs. 1 DSGVO vorgesehenen Schadenersatzanspruchs eine auf diese Bestimmung gestützte finanzielle Entschädigung als „vollständig und wirksam“ anzusehen ist, wenn sie es ermöglicht, den aufgrund des Verstoßes gegen die DSGVO konkret erlittenen Schaden in vollem Umfang auszugleichen.

Insoweit wird im 146. Erwägungsgrund der DSGVO im Übrigen darauf hingewiesen, dass „[d]er Begriff des Schadens … im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden [sollte], die den Zielen dieser Verordnung in vollem Umfang entspricht“, und dass „[d]ie betroffenen Personen … einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten [sollten]“.

Ferner ist darauf hinzuweisen, dass in den Erwägungsgründen 75 und 85 der DSGVO verschiedene Umstände aufgeführt sind, die als „physische, materielle oder immaterielle Schäden“ eingestuft werden können, ohne dass eine Hierarchie zwischen ihnen vorgenommen oder darauf hingewiesen würde, dass die aus einer Verletzung des Schutzes von Daten resultierenden Beeinträchtigungen ihrer Natur nach weniger schwerwiegend sind als Körperverletzungen.

Die grundsätzliche Annahme, dass eine Körperverletzung von Natur aus schwerer wiegt als ein immaterieller Schaden, könnte den Grundsatz des vollständigen und wirksamen Schadenersatzes für den erlittenen Schaden in Frage stellen…“

Zu der Frage des „Identitätsdiebstahls“ wird unter anderem in den Entscheidungsgründen aus geführt:

„…Der Begriff des Identitätsdiebstahls ist in der DSGVO nicht definiert. Allerdings werden im 75. Erwägungsgrund dieser Verordnung „Identitätsdiebstahl“ und „Identitätsbetrug“ als Teil einer nicht erschöpfenden Auflistung von Folgen einer Verarbeitung personenbezogener Daten genannt, die zu einem physischen, materiellen oder immateriellen Schaden führen könnte. Auch im 85. Erwägungsgrund der Verordnung werden „Identitätsdiebstahl“ und „Identitätsbetrug“ zusammen in einer Auflistung physischer, materieller oder immaterieller Schäden genannt, die eine Verletzung des Schutzes personenbezogener Daten nach sich ziehen kann.

Wie der Generalanwalt in Nr. 29 seiner Schlussanträge ausgeführt hat, werden in den verschiedenen Sprachfassungen der Erwägungsgründe 75 und 85 der DSGVO die Begriffe „Identitätsdiebstahl“, „Identitätsmissbrauch“, „Identitätsbetrug“, „missbräuchliche Verwendung der Identität“ und „Identitätsaneignung“ erwähnt und dort unterschiedslos verwendet. Folglich sind die Begriffe „Identitätsdiebstahl“ und „Identitätsbetrug“ austauschbar, und es kann nicht zwischen ihnen unterschieden werden. Die beiden letztgenannten Begriffe begründen die Vermutung eines Willens, sich die Identität einer Person anzueignen, deren personenbezogene Daten zuvor gestohlen wurden.

Außerdem wird, wie der Generalanwalt ebenfalls, in Nr. 30 seiner Schlussanträge, ausgeführt hat, unter den verschiedenen Begriffen in den Auflistungen in den Erwägungsgründen 75 und 85 der DSGVO der „Verlust der Kontrolle“ oder die Hinderung daran, personenbezogene Daten zu „kontrollieren“, vom „Identitätsdiebstahl oder ‑betrug“ unterschieden. Daraus folgt, dass der Zugang zu solchen Daten und die Übernahme der Kontrolle über solche Daten, die mit einem Diebstahl dieser Daten gleichgesetzt werden könnten, für sich genommen nicht mit einem „Identitätsdiebstahl oder ‑betrug“ gleichzusetzen sind. Mit anderen Worten stellt der Diebstahl personenbezogener Daten für sich genommen keinen Identitätsdiebstahl oder ‑betrug dar.

Insoweit ist jedoch klarzustellen, dass der Ersatz eines durch den Diebstahl personenbezogener Daten verursachten immateriellen Schadens nach Art. 82 Abs. 1 DSGVO nicht auf die Fälle beschränkt werden kann, in denen nachgewiesen wird, dass ein solcher Diebstahl von Daten anschließend zu einem Identitätsdiebstahl oder ‑betrug geführt hat. Der Diebstahl personenbezogener Daten einer betroffenen Person begründet nämlich einen Anspruch nach Art. 82 Abs. 1 DSGVO auf Ersatz des erlittenen immateriellen Schaden, wenn die drei in dieser Bestimmung aufgestellten Voraussetzungen vorliegen, nämlich eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DSGVO, ein der betroffenen Person entstandener Schaden und ein Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden (vgl. in diesem Sinne Urteil vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C‑300/21, EU:C:2023:370, Rn. 32 und 36)….“

Hinweis:

Wie das Amtsgericht München entscheiden wird, bleibt abzuwarten. Erfahrungsgemäß wird die Rechtsansicht in die Entscheidung übernommen.