Ein neues Jahr hat begonnen. Gerne möchten wir das nutzen zurückzuschauen, was das Jahr 2023 im Hinblick auf Haftung und immaterillen Schadensersatz an Klarheit gebracht hat.
Kein immaterieller Schadensersatz alleine wegen einem Datenschutzverstoß
Begonnen hat alles rund um das Urteil des EuGH in der Rechtssache „Österreichische Post“ (EuGH, Urteil v. 04.05.2023., Az. C-300/21). In dem Urteil hatte sich der EuGH mit der Frage des Rechts auf Kompensation eines immateriellen Schadens zu befassen. In dem von uns an anderer Stelle besprochenen Urteil entschied der EuGH, dass der bloße Verstoß gegen die DSGVO nicht für einen Schadensersatzanspruch ausreicht. Dass Urteil ließt sich vielmehr so, dass es erforderlich ist, dass tatsächlich ein Schaden entstanden ist. Wann dies der Fall sein sollte, und ob eine „bloße Verärgerung“ bereits einen Schaden darstellt, ließ der EuGH offen. Gleichwohl war jedenfalls klar, dass der datenschutzrechtliche Schadensersatzanspruch entgegen der noch im Januar 2023 vom OLG Hamm zum Az. 11 U 88/22 vertretenen Auffassung nicht (alleine) der Abschreckung dient.
Im weiteren Jahresverlauf sahen wir die unterschiedlichen Interpretationen des EuGH Urteils durch die nationalen Gerichte. So änderte das OLG Hamm mit Urteil vom 15.08.2023 seine Auffassung dahingehend, dass der mit dem bloßen Datenschutzverstoß einhergehende Kontrollverlust jedenfalls nicht ausreichend sei. Andere Gerichte verhielten sich dagegen weniger eindeutig.
Immaterieller Schadensersatz hat keine Bagatellgrenze; Kein Rückschluss alleine aus Datenschutzverstoß
So passte es sich gut, dass der EuGH sich zu Weihnachten mit Urteilen vom 14.12.2023 in den Verfahren C-340/21 und C-456/22 nochmal zu dem Themenbereich äußerte. Während der EuGH im Urteil C-456/22 klarstellte, dass es keine Bagatellgrenze gibt, führt er im Urteil C-340/21 aus, dass ein Datenschutzverstoß alleine nicht ausreicht, um auf unzureichende Sicherheitsmaßnahmen zu schließen. Ließt man beide Urteile im Kontext der vorausgegangenen Entwicklung, so ergeben sich folgende beachtenswerte Schlussfolgerungen:
- Alleine das Vorliegen eines Datenschutzverstoß genügt nicht für die Annahme unangemessener Sicherheitsmaßnahmen. Im Zweifel muss jedoch der Verantwortliche beweisen, dass seine Sicherheitsmaßnahmen angemessen waren. Verantwortliche sollten daher ein Augenmerk auf die Implementierung und Nachweisbarkeit angemessener Sicherheitsmaßnahmen legen.
- Aufgrund der Ablehnung der Bagatellgrenze dürfte die bloße „Angst vor Missbrauch personenbezogener Daten“ unter betimmten Voraussetzungen für einen Schadensersatzanspruch ausreichen.
- Dies dürfte nicht so zu verstehen sein, dass es ausreicht zu behaupten, dass man „Angst vor Missbrauch seiner Daten“ hat. Vielmehr ist es erforderlich nachzuweisen, dass ein immaterieller Schaden besteht und dieser auf den Datenschutzverstoß kausal zurückzuführen ist. Dass jede behauptete „Angst vor Missbrauch von Daten“ daher bereits für einen Schadensersatzanspruch ausreicht, dürfte auch nach der jüngsten Klarstellung des EuGH nicht der Fall sein.
Insgesamt hat das Jahr 2023 somit eine Verschärfung der Haftung nach den Vorschriften der DSGVO gebracht aber gleichzeitig auch entscheidende Frage offengelassen. Insbesondere die Fragen nach den Anforderungen an die Konkretheit eines Schadens sowie den Nachweis durch den Betroffenen dürften insofern auch 2024 die Gerichte weiter beschäftigen.