DatenschutzWoche vom 18. Dezember 2023

EU-Kommission startet Evaluation der DSGVO – Bericht des EDSA liegt schon vor

Unter dem Titel „Bericht über die Datenschutz-Grundverordnung“ hat die EU-Kommission ihre Initiative zur Evaluation der DSGVO gestartet, die seit 2018 verbindlich anzuwenden ist. Der Bericht stützt sich auf den 2020 veröffentlichten Vorgängerbericht und soll im zweiten Quartal 2024 vorliegen.

Der Europäische Datenschutzausschuss (EDSA) hat seinen Beitrag zum Bericht bereits veröffentlicht. Die Datenschutzaufsichtsbehörden beurteilen darin die Anwendung der DSGVO bisher als erfolgreich. Eine Überarbeitung der DSGVO halten sie für verfrüht, und fordern die rasche Verabschiedung der geplanten Verordnung zur verbesserten Durchsetzung der DSGVO in grenzüberschreitenden Fällen (vgl. DatenschutzWoche vom 27.02.2023) sowie ausreichende personelle und finanzielle Ressourcen.

EuGH: Befürchtung eines Datenmissbrauchs kann immateriellen Schaden darstellen

Mit Urteil vom 14. Dezember 2023 (Rs. C-340/21) hat der EuGH entschieden, dass die Befürchtung eines möglichen Datenmissbrauchs für sich genommen einen immateriellen Schaden begründen kann. Ausgangspunkt des Vorabentscheidungsverfahrens war eine Vorlage des bulgarischen Obersten Verwaltungsgerichts. Dieses hatte über eine Schadensersatzklage nach einem Cyberangriff auf eine bulgarische Steuerbehörde zu entscheiden, bei dem die personenbezogenen Daten von mehr als sechs Millionen Betroffenen offengelegt worden waren. Das bulgarische Gericht wollte vom EuGH insbesondere wissen, ob der Schadenersatzanspruch aus Art. 82 DSGVO auch einen immateriellen Schaden umfasst, der Betroffenen aus der Befürchtung eines möglichen Missbrauchs ihrer Daten entstanden ist.

In seinem Urteil stellt der EuGH fest:

1. Kommt es durch einen Cyberangriff zu einer unbefugten Offenlegung von bzw. einem unbefugten Zugang zu personenbezogenen Daten, bedeutet dies nicht zwangsläufig, dass die getroffenen Sicherheitsmaßnahmen nicht „geeignet“ im Sinne von Art. 24 und 32 DSGVO waren. Die Beweislast für die Angemessenheit der Maßnahmen trägt der Verantwortliche.
2. Ob die getroffenen Maßnahmen tatsächlich ausreichend waren, ist von den nationalen Gerichten unter Berücksichtigung der individuellen Risiken der Verarbeitung zu beurteilen. Ein Sachverständigengutachten ist hierfür nicht in jedem Fall erforderlich.
3. Die bloße Befürchtung eines Datenmissbrauchs reicht aus, um einen Anspruch auf immateriellen Schadenersatz zu begründen.
4. Der Verantwortliche ist nicht automatisch von seiner Schadenersatzpflicht befreit, wenn der Schaden auf einen Cyberangriff durch Dritte zurückzuführen ist. Er muss auch in diesem Fall nachweisen, dass er für den Umstand, der den Schaden verursacht hat, in keiner Weise verantwortlich ist.

Mit seiner Entscheidung betont der EuGH, dass Verantwortliche nicht nur geeignete technische und organisatorische Maßnahmen ergreifen, sondern auch deren Angemessenheit nachweisen müssen. Dies gilt auch bei Cyberangriffen durch Dritte.

Zudem stellt der EuGH klar, dass ein immaterieller Schaden bereits in einer "Befürchtung" liegen kann. Auch bei dieser für die Betroffenen günstigen Sichtweise müssen die Kläger nachweisen, dass ein Verstoß gegen die DSGVO für sie negative Folgen hatte und diese Folgen einen immateriellen Schaden darstellen.

Internationale Nachrichten

• Norwegen: Wegen Verstößen bei der Umsetzung von Betroffenenrechten hat die norwegische Datenschutzaufsichtsbehörde gegen eine Unternehmensgruppe aus dem Fitnesssektor ein Bußgeld in Höhe von 10 Millionen Kronen (ca. 850.000 Euro) verhängt.

Aktuelle Gerichtsentscheidungen

• VG Karlsruhe, Urteil vom 19.10.2023, Az. 7 K 2578/22 (Volltext): Die Fragen des Tests für Medizinische Studiengänge stellen keine personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO dar. Es besteht daher kein Anspruch aus Auskunft.
• LG Mannheim, Schlussurteil vom 31.10.2023, Az. 10 O 80/23 (GRUR-RS 2023, 35373): Wegen des Verlusts der Kontrolle über die eigenen Daten und wegen Zeiteinbußen durch unerwünschte Anrufe hat die Klägerin einen Anspruch auf immateriellen Schadensersatz i.H.v. 500 Euro.
• OLG Karlsruhe, Urteil vom 07.11.2023, Az. 19 U 23/23 (Volltext): Ein potenzieller oder hypothetischer Schaden oder die bloße Beunruhigung wegen des Datendiebstahls reicht für einen immateriellen Schaden nach Art. 82 Abs. 1 DSGVO nicht aus.
• VG München, Entscheidung vom 22.11.2023, Az. M 7 E 23.5047 (Volltext): Der Einsatz einer Drohne zur Ermittlung der Geschossflächen ist datenschutzrechtlich unzulässig, da er zur Zweckerreichung nicht erforderlich im Sinne von Art. 6 Abs. 1 lit. e DSGVO ist.
• OLG Brandenburg, Urteil vom 22.11.2023, Az. 11 U 206/23 (juris): Bei den Nachträgen zum Versicherungsschein handelt es sich bereits in der Gesamtheit nicht um personenbezogene Daten des  Versicherungsnehmers i.S.v. Art. 4 Nr. 1 DSGVO.
• EuGH, Urteil vom 14.12.2023, Rs. C-340/21 (Volltext): Die Befürchtung eines möglichen Missbrauchs personenbezogener Daten kann für sich genommen einen immateriellen Schaden nach Art. 82 DSGVO darstellen.
• EuGH, Urteil vom 14.12.2023, Rs. C‑456/22 (Volltext): Art. 82 DSGVO steht einer nationalen Rechtsvorschrift oder ‑praxis entgegen, die für einen durch einen Verstoß gegen die DSGVO verursachten immateriellen Schaden eine „Bagatellgrenze“ vorsieht.

Neuigkeiten aus den Aufsichtsbehörden

• Bundesdatenschutzbeauftragter: „BfDI für freie und vertrauenswürdige globale Datenverkehre“ – Pressemitteilung vom 15.12.2023
• Bundesdatenschutzbeauftragter: „Statement“ des Bundesdatenschutzbeauftragten zur Fortführung seiner Amtsgeschäfte vom 15.12.2023