Es ist Freitag, der 29.12.23 und das neue Jahr steht vor der Tür. Es wird also Zeit für das Update Datenschutz No.10 und das letztes Update Datenschutz für dieses Jahr.

Ich hatte es im Update Datenschutz No9 schon angekündigt, dass in diesem Jahr noch zwei Entscheidungen des EuGH zum Thema Datenschutz ausstehen. And here they are!

EuGH konkretisiert Schadensersatz weiter

Am 14.12.2023 und am 21.12.2023 hat sich der EuGH noch einmal zum Thema positioniert, mit mehr oder weniger guten Nachrichten aus eurer unternehmerischen Sicht.

Bloßer Verdacht auf Missbrauch reicht als Voraussetzung für Schadensersatz

Einen kleinen Hammer verkündete der EuGH mit seiner Entscheidung aus Mitte Dezember (EuGH – C340/21, 14.12.2023). Der EuGH stellt hier klar, dass bereits die Befürchtung eines Missbrauchs personenbezogener Daten durch Dritte einen immateriellen Schaden i.S.d. Art. 82 DSGVO darstellen kann. Diese Frage war bisher umstritten. Einige Gerichte in Deutschland gingen davon aus, dass ein konkreter Schaden nachzuweisen ist. Das ist gerade bei immateriellem Schadensersatz schwierig, also bei Schäden, die nicht mit einer direkten Einbuße des Vermögens, ein hergehen. Immaterielle Schäden sind, um das mal einfach auszudrücken, so etwas wie Schmerzensgeld. Das können z. B. psychische Beeinträchtigungen wie Angstzustände sein, die auf dem Missbrauch der Daten beruhen . Der EuGH stellt nun klar, dass allein die Befürchtung eines entsprechenden Missbrauchs ausreicht. In dem konkreten Fall ging es um einen Hacker-Angriff, bei dem personenbezogene Daten entwendet wurden.

Der EuGH stellt allerdings auch klar, dass die betroffene Person nachweisen muss, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen. In diesem Fall muss das angerufene nationale Gericht prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann. Dieser Punkt wird sicherlich noch für einigen Streit sorgen. Gerade bei Hacker-Angriffen, bei denen es um das Abziehen von Daten geht, sehe ich hier aber weniger Probleme für einen Nachweis.

Die Voraussetzungen für immateriellen Schadensersatz sinken damit erheblich. Ich bin gespannt, welche Auswirkungen es hier geben wird.

Technische und organisatorische Maßnahmen

In dem Urteil äußert sich der EuGh auch zu den Anforderungen der technischen und organisatorischen Maßnahmen.

Der EuGH stellt klar, dass eine unbefugte Offenlegung von und ein unbefugter Zugang zu personenbezogenen Daten durch „Dritte“ per se nicht ausreicht, um anzunehmen, dass die technischen und organisatorischen Maßnahmen, nicht „geeignet“ im Sinne der Art. 24 und 32 DSGVO waren. In einem gerichtlichen Verfahren muss dann ein Gericht konkret beurteilen, ob die Maßnahmen geeignet waren. Das Gericht muss dabei die mit der betreffenden Verarbeitung verbundenen Risiken berücksichtigen und beurteilen, ob Art, Inhalt und Umsetzung dieser Maßnahmen diesen Risiken angemessen waren. Die Beweislast, dass die von ihm getroffenen Sicherheitsmaßnahmen im Sinne von Art. 32 DSGVO geeignet waren, trägt aber wieder der Verantwortliche. Auch in diesem Punkt wird es also spannend.

Kein Strafschaden

Mit seinem letzten Urteil vor Weihnachten (EuGH, C-667/21 – 21.12.2023) stellt der EuGH eine weitere wichtige Sache klar: Schadensersatz soll einen Ausgleich schaffen, der einen erlittenen Schaden kompensiert. Schadensersatz im Sinne des Art. 82 DSGVO hat allerdings keine Abschreckungs- oder Straffunktion. Diese Entscheidung ist insbesondere für die Höhe des Schadensersatzes relevant und dürfte uferlosen Beträgen einen Riegel vorschieben.

Zudem geht der EuGH auch bei Art. 82 DSGVO von einer verschuldensunabhängigen Haftung aus. Was genau verschuldensunabhängige im Sinne des Art. 82 DSGVO bedeutet, wird uns noch beschäftigen.

Geringe Hürden, geringere Strafen

Fassen wir die Urteile zusammen, gehe ich davon aus, dass die Zahl der Klagen zunehmen wird. Die Hürden sind einfach geringer. Es reicht bereits die bloße Befürchtung aus, damit ein Schaden vorliegen kann. Außerdem gibt es keine Bagatellgrenze für den Schadensersatz (siehe EuGH C-300/21 vom 4.5.2023 – „Österreichische Post“ und unser Update Datenschutz 23/04). Andererseits wirkt sich die Klarstellung zur „bloßen“ Ausgleichsfunktion des Art. 82 DSGVO auf die Höhe des Schadensersatzes auswirken. Schaut man auf die deutsche Rechtsprechung zum immateriellen Schadensersatz allgemein, sollten die Beträge eher niedrig ausfallen.

Du solltest dennoch die Urteile zum Anlass nehmen und deine Prozesse durchgehen. Wir sehen aktuell wir immer mehr Prozesse auf Schadensersatz bei ausgeschiedenen Mitarbeitern. Diese Gefahr sollte man nicht unterschätzen. Unabhängig davon ist auch dein Unternehmen ein lohnendes Ziel für Hacker.

In eigener Sache: CIPP/E

In eigener Sache darf ich mitteilen, dass es nach fast 10 Jahren als zertifizierter „Datenschutzbeauftragter DSB-TÜV“ an der Zeit, die Zertifizierung mal auf ein aktuelleres Niveau zu heben. Da „mittlerweile“ die DSGVO gilt und das Thema Datenschutz immer europäischer geworden ist, habe ich die Zertifizierung zum CIPP/E absolviert. Das war dann mein kleines Weihnachtsgeschenk an mich selbst.

Der CIPP/E oder Certified International Privacy Professionell / Europe ist eine Zertifizierung der IAPP und wird alle 2 Jahre erneuert. Mehr dazu im Blogbeitrag.

Das wars dann auch erst einmal mit dem Update Datenschutz No.10 und damit für dieses Jahr. Ich wünsche einen guten Rutsch und freue mich auf 2024!