Der Generalanwalt am EuGH hat am 27. April 2023 (Az.: C‑340/21) seine Schlussanträge veröffentlicht, die sich mit der sehr praxisrelevanten Schadensersatznorm des Art. 82 DSGVO und deren Auslegung im Sinne des EU-Rechts beschäftigen.
Im Rahmen eines Vorabentscheidungsersuchens eines bulgarischen Gerichts an den EuGH wurde diesem folgende Fragen gestellt:
Frage 1
1. Sind die Art. 24 und 32 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) dahin auszulegen, dass es ausreicht, wenn eine unbefugte Offenlegung von beziehungsweise ein unbefugter Zugang zu personenbezogenen Daten im Sinne von Art. 4 Nr. 12 der Verordnung 2016/679 durch Personen erfolgt ist, die keine Bediensteten der Verwaltung des Verantwortlichen sind und nicht seiner Kontrolle unterliegen, um anzunehmen, dass die getroffenen technischen und organisatorischen Maßnahmen nicht geeignet sind?
Hier zu führt der Generalanwalt unter anderem aus:
„…Es erscheint unlogisch, anzunehmen, dass es die Absicht des Unionsgesetzgebers war, dem Verantwortlichen die Verpflichtung aufzuerlegen, jede Verletzung personenbezogener Daten zu verhindern, unabhängig von der Sorgfalt, die er bei der Ausarbeitung der Sicherheitsmaßnahmen anwenden muss(13).
35. Wie bereits erwähnt, rückt die Verordnung vom Automatismus ab und verlangt von dem Verantwortlichen ein hohes Maß an Verantwortung, was jedoch nicht dazu führen darf, dass diesem die Möglichkeit genommen wird, nachweisen zu können, dass er die ihm auferlegten Pflichten ordnungsgemäß erfüllt hat.
36. Darüber hinaus bestimmt Art. 32 Abs. 1, dass die „Implementierungskosten“ der in Frage kommenden technischen und organisatorischen Maßnahmen berücksichtigt werden müssen. Daraus folgt, dass die Beurteilung der Geeignetheit solcher Maßnahmen auf einer Abwägung zwischen den Interessen der betroffenen Person, die generell ein höheres Schutzniveau anstreben, und den wirtschaftlichen Interessen und technischen Möglichkeiten des Verantwortlichen, die zuweilen ein niedrigeres Schutzniveau anstreben, beruhen muss. Diese Abwägung muss den Anforderungen des allgemeinen Verhältnismäßigkeitsgrundsatzes genügen…“
Frage 2
2. Falls die erste Frage verneint wird, welchen Gegenstand und Umfang sollte die gerichtliche Rechtmäßigkeitskontrolle bei der Prüfung haben, ob die vom Verantwortlichen getroffenen technischen und organisatorischen Maßnahmen nach Art. 32 der Verordnung (EU) 2016/679 geeignet sind?
Hier zu führt der Generalanwalt unter anderem aus:
„…Auch wenn es zweifellos zutrifft, dass die Auswahl und Umsetzung solcher Maßnahmen unter die subjektive Beurteilung des Verantwortlichen fällt, kann sich die Prüfung des Gerichts nicht darauf beschränken, zu überprüfen, ob der Verantwortliche seinen Verpflichtungen aus den Art. 24 und 32 nachkommt, d. h., ob er (formal) bestimmte technische und organisatorische Maßnahmen vorgesehen hat. Es muss den Inhalt dieser Maßnahmen, die Art und Weise ihrer Umsetzung und ihre praktischen Auswirkungen auf der Grundlage der ihm zur Verfügung stehenden Beweismittel und der Umstände des Einzelfalls konkret prüfen. Wie die portugiesische Regierung zutreffend festgestellt hat, „scheint die Art und Weise, in der er seinen Verpflichtungen nachgekommen ist, untrennbar vom Inhalt der getroffenen Maßnahmen zu sein, um nachzuweisen, dass der Verantwortliche unter Berücksichtigung des spezifischen Datenverarbeitungsvorgangs (seiner Art, seines Umfangs, seines Zusammenhangs und seiner Zwecke), des Stands der Technik der verfügbaren Technologien und ihrer Kosten sowie der Risiken für die Rechte und Freiheiten der Bürger alle erforderlichen und geeigneten Maßnahmen ergriffen hat, um ein dem zugrunde liegenden Risiko angemessenes Sicherheitsniveau zu garantieren“.
41. Bei der gerichtlichen Prüfung müssen daher alle Faktoren berücksichtigt werden, die in den Art. 24 und 32 enthalten sind und in denen, wie bereits erwähnt, eine Reihe von Kriterien angeführt ist, um beurteilen zu können, ob die Maßnahmen geeignet sind, sowie Beispiele für Maßnahmen genannt werden, die als geeignet beurteilt werden können. Wie die Kommission und alle Mitgliedstaaten, die zur zweiten Frage Stellung genommen haben, betont haben, wird in Art. 32 Abs. 1 bis 3 die Notwendigkeit hervorgehoben, „ein dem Risiko angemessenes Schutzniveau zu gewährleisten“, wobei auf andere Faktoren verwiesen wird, die für diesen Zweck von Bedeutung sind, z. B. darauf, ob der Verantwortliche genehmigte Verhaltensregeln oder ein genehmigtes Zertifizierungssystem gemäß den Art. 40 und 42 der Verordnung eingehalten hat.
Frage 3
3. Falls die erste Frage verneint wird, sind der Grundsatz der Rechenschaftspflicht nach Art. 5 Abs. 2 und Art. 24 in Verbindung mit dem 74. Erwägungsgrund der Verordnung (EU) 2016/679 dahin auszulegen, dass im Klageverfahren nach Art. 82 Abs. 1 der Verordnung (EU) 2016/679 der Verantwortliche die Beweislast dafür trägt, dass die getroffenen technischen und organisatorischen Maßnahmen nach Art. 32 der Verordnung geeignet sind? Kann die Einholung eines Sachverständigengutachtens als ein notwendiges und ausreichendes Beweismittel angesehen werden, um festzustellen, ob die vom Verantwortlichen getroffenen technischen und organisatorischen Maßnahmen in einem Fall wie dem vorliegenden geeignet waren, wenn der unbefugte Zugang zu und die unbefugte Offenlegung von personenbezogenen Daten Folge eines „Hackerangriffs“ sind?
Frage 4
4. Ist Art. 82 Abs. 3 der Verordnung (EU) 2016/679 dahin auszulegen, dass die unbefugte Offenlegung von oder der unbefugte Zugang zu personenbezogenen Daten im Sinne von Art. 4 Nr. 12 der Verordnung (EU) 2016/679 wie vorliegend mittels eines „Hackerangriffs“ durch Personen, die keine Bediensteten der Verwaltung des Verantwortlichen sind und nicht seiner Kontrolle unterliegen, einen Umstand darstellt, für den der Verantwortliche in keinerlei Hinsicht verantwortlich ist und der zur Befreiung von der Haftung berechtigt?
Hier zu führt der Generalanwalt unter anderem aus:
„…Der Verantwortliche muss im Einklang mit dem oben beschriebenen Grundsatz der Rechenschaftspflicht auch nachweisen, dass er alles Mögliche getan hat, um die Verfügbarkeit und den Zugang zu den Daten rasch wiederherzustellen.
65. Kann der Verantwortliche – um auf die Frage des vorlegenden Gerichts zurückzukommen – auf der Grundlage der bisherigen Ausführungen über die Art seiner Haftung, wie oben ausgeführt, von seiner Haftung befreit werden, wenn er nachweist, dass der Verstoß auf einen Umstand zurückzuführen ist, für den er in keinerlei Hinsicht verantwortlich ist, so kann er von seiner Haftung nicht allein deshalb befreit werden, weil der Umstand von einer Person außerhalb seines Kontrollbereichs herbeigeführt wurde.
66. Wird ein Verantwortlicher Opfer eines Angriffs durch Cyberkriminelle, könnte der schadensverursachende Umstand als nicht dem Verantwortlichen zurechenbar angesehen werden. Allerdings ist nicht ausgeschlossen, dass die Nachlässigkeit des Verantwortlichen die Ursache für den fraglichen Angriff war, der durch fehlende oder ungeeignete Sicherheitsmaßnahmen für personenbezogene Daten, die er zu ergreifen hat, begünstigt wurde. Dabei handelt es sich um eine auf den Einzelfall bezogene Beurteilung des Sachverhalts, die dem angerufenen nationalen Gericht unter Berücksichtigung der ihm vorgelegten Beweise obliegt.
67. Es ist auch allgemein bekannt, dass externe Angriffe auf die Systeme öffentlicher oder privater Einrichtungen, die über eine große Menge personenbezogener Daten verfügen, weitaus häufiger sind als interne Angriffe. Der Verantwortliche muss daher geeignete Maßnahmen ergreifen, um insbesondere Angriffen von außen begegnen zu können.
68. Aus teleologischer Sicht ist schließlich festzuhalten, dass die Verordnung das Ziel eines hohen Schutzniveaus verfolgt. Dazu hat der Gerichtshof bereits hervorgehoben, dass sich aus Art. 1 Abs. 2 in Verbindung mit den Erwägungsgründen 10, 11 und 13 der Verordnung ergibt, dass Organen, Einrichtungen und sonstigen Stellen der Union sowie den zuständigen Behörden der Mitgliedstaaten die Verpflichtung auferlegt wird, für die in Art. 16 AEUV und Art. 8 der Charta garantierten Rechte ein hohes Schutzniveau in Bezug auf den Schutz personenbezogener Daten zu gewährleisten…“
Frage 5
5. Sind Art. 82 Abs. 1 und 2 in Verbindung mit den Erwägungsgründen 85 und 146 der Verordnung (EU) 2016/679 dahin auszulegen, dass in einem Fall wie dem vorliegenden Fall einer Verletzung des Schutzes personenbezogener Daten, die sich in dem unbefugten Zugang zu und der Verbreitung von personenbezogenen Daten mittels eines „Hackerangriffs“ äußert, allein die von der betroffenen Person erlittenen Sorgen, Befürchtungen und Ängste vor einem möglichen künftigen Missbrauch personenbezogener Daten unter den weit auszulegenden Begriff des immateriellen Schadens fallen und zum Schadensersatz berechtigen, wenn ein solcher Missbrauch nicht festgestellt wurde und/oder kein weiterer Schaden der betroffenen Person entstanden ist?
Hier zu führt der Generalanwalt unter anderem aus:
„…Der Gerichtshof hat, worauf Generalanwalt Campos Sánchez-Bordona(32) hingewiesen hat, keine allgemeine Definition des Begriffs „Schaden“ entwickelt, die unterschiedslos in jedem Bereich anwendbar ist(33). Was den immateriellen Schaden betrifft, so lässt sich aus seiner Rechtsprechung Folgendes ableiten: Ist eines der Ziele der auszulegenden Bestimmung der Schutz des Einzelnen oder eines bestimmten Personenkreises, muss der Begriff des Schadens weit ausgelegt werden; in Übereinstimmung mit diesem Kriterium erstreckt sich der Schadensersatz auf den immateriellen Schaden, auch wenn er in der auszulegenden Bestimmung nicht erwähnt wird.
78. Der Rechtsprechung des Gerichtshofs lässt sich zwar entnehmen, dass es im Unionsrecht einen Grundsatz des Ersatzes immaterieller Schäden gibt, doch stimme ich Generalanwalt Campos Sánchez-Bordona darin zu, dass aus ihr keine Regel abgeleitet werden kann, wonach jeder immaterielle Schaden, unabhängig von seiner Schwere, ersatzfähig ist.
79. In diesem Zusammenhang ist die Unterscheidung zwischen dem ersatzfähigen immateriellen Schaden und sonstigen Nachteilen, die sich aus der Nichteinhaltung von Rechtsvorschriften ergeben und die aufgrund ihrer geringen Schwere nicht unbedingt einen Anspruch auf Entschädigung begründen, von Bedeutung.
80. Der Gerichtshof erkennt diesen Unterschied insoweit an, als er Ärgernisse und Unannehmlichkeiten als eigenständige Schadenskategorie in den Bereichen bezeichnet, in denen er eine Entschädigung für solche als erforderlich erachtet.
81. Empirisch lässt sich feststellen, dass jeder Verstoß gegen eine Datenschutzvorschrift zu einer negativen Reaktion der betroffenen Person führt. Eine Entschädigung, die für das bloße Gefühl des Unwohlseins über die Nichteinhaltung des Gesetzes durch einen Dritten geschuldet wird, könnte leicht mit einer Entschädigung ohne Schaden verwechselt werden, was, wie wir gesagt haben, nicht vom Tatbestand von Art. 82 erfasst zu sein scheint.
82. Die Tatsache, dass unter Umständen wie denen des Ausgangsverfahrens der Missbrauch personenbezogener Daten nur möglich und nicht bereits eingetreten ist, reicht aus, um davon auszugehen, dass die betroffene Person einen durch den Verstoß gegen die Verordnung verursachten immateriellen Schaden erlitten haben kann, sofern die betroffene Person nachweist, dass die Befürchtung eines solchen Missbrauchs ihr tatsächlich und konkret einen realen und sicheren emotionalen Schaden zugefügt hat.
83. Die Grenze zwischen bloßer (nicht ersatzfähiger) Beunruhigung und echten (ersatzfähigen) immateriellen Schäden ist zweifellos unscharf. Allerdings sollten die nationalen Gerichte, deren Aufgabe es ist, diese Grenze von Fall zu Fall zu ziehen, eine sorgfältige Bewertung aller von der betroffenen Person, die eine Entschädigung beantragt, vorgelegten Elemente vornehmen. Diese muss die Tatsachen, die dazu führen können, dass ein „tatsächlich erlittener immaterieller Schaden“ infolge der Verletzung des Schutzes personenbezogener Daten anerkannt werden kann, genau und nicht nur allgemein darlegen, auch wenn er nicht eine im Voraus festgelegte Schwelle von besonderer Schwere erreicht: Entscheidend ist, dass es sich nicht um eine bloße subjektive Wahrnehmung handelt, die veränderlich ist und auch vom Charakter und von persönlichen Faktoren abhängt, sondern um die Objektivierung einer, wenn auch geringfügigen, aber nachweisbaren Beeinträchtigung der physischen oder psychischen Sphäre oder des Beziehungslebens einer Person; die Art der betroffenen personenbezogenen Daten und die Bedeutung, die sie im Leben der betroffenen Person haben, und vielleicht auch die Wahrnehmung, die die Gesellschaft zu diesem Zeitpunkt von dieser spezifischen, mit der Datenverletzung verbundenen Beeinträchtigung hat…“