DatenschutzWoche vom 29. Januar 2024

EuGH: Weitere Rechtsprechung zum Ersatz immaterieller Schäden

In seinem Urteil vom 25. Januar 2024 (Rs. C‑687/21) hatte der EuGH erneut mit Schadensersatzansprüchen für immaterielle Schäden bei Datenschutzverletzungen zu beschäftigen. Der Entscheidung zugrunde lag ein Vorabentscheidungsersuchen des AG Hagen. Im Mittelpunkt des Rechtsstreits stand die Frage, ob und unter welchen Umständen eine Person, deren Daten unrechtmäßig an Dritte weitergegeben wurden, Anspruch auf Schadensersatz hat.

Im konkreten Fall hatten Beschäftigte eines Elektronikmarkts Daten des Kunden und späteren Klägers fälschlicherweise einem anderen Kunden ausgehändigt. Der EuGH entschied, dass ein Schadensersatzanspruch sowohl den Nachweis eines Verstoßes gegen die DSGVO als auch den Nachweis eines dadurch entstandenen materiellen oder immateriellen Schadens erfordert.

Die berechtigte Befürchtung einer missbräuchlichen Verwendung der Daten kann ein immaterieller Schaden sein. Der Betroffenen muss diesen Schaden nachweisen können.

Konkret trifft der EuGH folgende Feststellungen:

1. Der Umstand, dass Mitarbeiter des Verantwortlichen irrtümlich ein Dokument mit personenbezogenen Daten an einen unbefugten Dritten weitergegeben haben, reicht für sich genommen nicht aus, um davon auszugehen, dass die technischen und organisatorischen Maßnahmen, die der Verantwortliche getroffen hat, nicht „geeignet“ im Sinne der Art. 24 und 32 DSGVO waren.
2. Der Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO hat eine Ausgleichsfunktion und keine Straffunktion. Eine auf ihn gestützte Entschädigung in Geld soll es ermöglichen, den konkret aufgrund des Verstoßes gegen die DSGVO erlittenen Schaden vollständig auszugleichen.
3. Bei der Bemessung des Schadensersatzanspruch aus Art. 82 DSGVO muss die Schwere des begangenen Verstoßes nicht berücksichtigt werden.
4. Der Betroffene muss nicht nur den Verstoß gegen die DSGVO nachweisen, sondern auch, dass ihm dadurch ein materieller oder immaterieller Schaden entstanden ist.
5. Ist ein Dokument mit personenbezogenen Daten an einen unbefugten Dritten weitergegeben worden, der diese Daten erwiesenermaßen nicht zur Kenntnis genommen hat, liegt nicht schon deshalb ein „immaterieller Schaden“ vor, weil die betroffene Person befürchtet, dass im Anschluss an die Weitergabe des Dokuments und vor dessen Rückgabe eine Kopie hätte angefertigt werden können, die in der Zukunft eine Weiterverbreitung oder gar einen Missbrauch ihrer Daten hätte ermöglichen können.

BayLfD: Aktuelle Kurzinformation zum Personenbezug

In einer aktuellen Kurzinformation (.pdf) setzt sich der für den öffentlichen Bereich zuständige Bayerische Landesbeauftragte für den Datenschutz (BayLfD) mit dem Personenbezug von Daten auseinander. Die Frage, ob eine Person identifizierbar ist, entscheidet darüber, ob die DSGVO auf ein Datum Anwendung findet oder nicht. Der Personenbezug ist für das Datenschutzrecht daher von enormer Bedeutung.

Nach Art. 4 Nr. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Umstritten ist allerdings, auf welche Mittel es bei der Identifizierbarkeit ankommt. In seiner Kurzinformation geht der BayLfD sowohl auf die subjektive und absolute Theorie zum Personenbezug als auch auf die gesetzlichen Anforderungen, die sich aus der DSGVO ergeben, ein. Den inhaltlichen Schwerpunkt der Kurzinformation bildet eine Übersicht zur aktuellen Rechtsprechung des EuG und des EuGH.

Abschließend empfiehlt der BayLfD öffentlichen Stellen, im Zweifelsfall von einem Personenbezug auszugehen und die Vorgaben der DSGVO zu beachten. Nach seiner Auffassung sei das letzte Wort zum Personenbezug noch nicht gesprochen und mit weiterer (EuGH-)Rechtsprechung zu rechnen.

Internationale Nachrichten

• Frankreich: Die französische Datenschutzaufsicht CNIL hat gegen ein Logistikunternehmen wegen Verstößen gegen den Beschäftigtendatenschutz und unzureichender Information über Videoüberwachung ein Bußgeld von 32 Millionen Euro verhängt.
• Belgien: Die belgische Datenschutzaufsichtsbehörde hat gegen ein Unternehmen ein Bußgeld i.H.v. 174.640 Euro verhängt und zugleich ein Verarbeitungsverbot ausgesprochen. Anlass waren die fehlende Rechtsgrundlage und ein Mangel an Transparenz.
• Luxemburg: Die Datenschutzaufsicht Luxemburg hat gegen einen Telekommunikationsanbieter ein Bußgeld i.H.v. 1.500 Euro verhängt. Anlass waren eine unzureichende Betroffeneninformation und unangemessene TOM.

Aktuelle Gerichtsentscheidungen

• LG Münster, Urteil vom 04.07.2023, Az. 16 O 238/22 (BeckRS 2023, 40176): Erfolgreiche Klage auf Löschung von Negativeinträgen gegen eine Wirtschaftsauskunftei
• LAG Sachsen, Urteil vom 17.08.2023, Az. 4 Sa 73/23 (juris): Der Einsatz eines Zutrittskontrollsystems mit personalisierten Transpondern und die damit einhergehende Verarbeitung von Daten über das Kommen und Gehen von Beschäftigten ist datenschutzrechtlich unzulässig.
• LAG Mecklenburg-Vorpommern, Urteil vom 17.10.2023, Az. 2 Sa 61/23 (Volltext): Die reine Sanktionierung von Datenschutzverstößen ist von Art. 82 DSGVO losgelöst durch die Vorschriften zu Geldbußen und weiteren Sanktionsmöglichkeiten geregelt.
• LG Arnsberg, Urteil vom 31.10.2023, Az. 7 O 691/22 (juris): Der bloße Verstoß gegen die Vorschriften der DSGVO reicht nicht aus, um einen Schadensersatzanspruch zu begründen. Es bedarf darüber hinaus der Darlegung und des Nachweises eines konkreten Schadens.
• LG Bonn, Urteil vom 21.11.2023, Az. 10 O 98/23 (BeckRS 2023, 33370): Bei einem Antrag auf Auskunft nach Art. 15 DSGVO ist eine Spezifizierung der Daten grundsätzlich nicht erforderlich.
• OVG Bremen, Beschluss vom 12.12.2023, Az. 1 LA 191/23 (juris): Will ein Betroffener die Rechtswidrigkeit eines Rundfunkbeitragsfestsetzungsbescheides wegen Verstößen gegen die DSGVO geltend machen, muss er grundsätzlich auf eine Anfechtungsklage zurückgreifen.
• BGH, Beschluss vom 12.12.2023, Az. VI ZR 277/22 (Volltext): Der Betroffene, der Ersatz des immateriellen Schadens verlangt, muss geltend machen und ggf. nachweisen, dass der Verstoß gegen die DSGVO negative Folgen für ihn gehabt hat, die einen immateriellen Schaden darstellen können.
• VG Potsdam, Urteil vom 27.12.2023, Az. VG 3 K 2581/19 (BeckRS 2023, 40613): Für eine Klage auf Berichtigung des Melderegisters ist die Verpflichtungsklage gemäß § 42 Abs. 1 VwGO statthaft, da der Schwerpunkt auf dem der Berichtigung vorgelagerten Prüfungsverfahren liegt.
• VG Köln, Beschluss vom 15.01.2024, Az. 13 K 4989/23 (BeckRS 2024, 554): Bei Auskunftsbegehren nach Art. 15 Abs. 1 DSGVO kommt es nicht auf eine Begründung oder sachliche Rechtfertigung an.
• OVG Lüneburg, Beschluss vom 23.01.2024, Az. 14 LA 1/24 (BeckRS 2024, 465): Eine Online-Versandapotheke darf im Bestellvorgang das Geburtsdatum und die Anrede nicht bei jedem Produkt verarbeiten.
• LG Stuttgart, Urteil vom 24.01.2024, Az. 27 O 92/23 (Volltext): Zum Nachweis der Betroffenheit eines individuellen Nutzerkontos von einer offenen API-Schnittstelle beim Anbieter einer Internetkommunikationsplattform
• EuGH, Urteil vom 25.01.2024, Rs. C‑687/21 (Volltext): Ein Datenschutzverstoß reicht für sich genommen nicht aus, um davon auszugehen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht „geeignet“ im Sinne der Art. 24 und 32 DSGVO waren.

Neuigkeiten aus den Aufsichtsbehörden

• Datenschutzaufsicht Bayern (BayLfD): „Wann ist eine natürliche Person identifizierbar?“ – Aktuelle Kurz-Information mit Stand vom 19.01.2023
• Datenschutzaufsicht Bayern (BayLDA): „Europaweite Prüfung zu Stellung und Aufgaben von Datenschutzbeauftragten ergibt gemischte Bilanz“ – Pressemitteilung vom 22.01.2024
• Datenschutzaufsicht Niedersachsen: „Statement zum Aus von „Section Control“: Verkehrssicherheit und Datenschutz nicht gegeneinander ausspielen“ – Pressemitteilung vom 24.01.2024
• Datenschutzaufsicht Bayern (BayLDA): „Datenschutzkonforme Künstliche Intelligenz“ – Checkliste mit Prüfkriterien; Stand 24.01.2024
• Datenschutzaufsicht Sachsen: „Private Kameras immer häufiger Fall für Sachsens Datenschutzbeauftragte“ vom 26.01.2024 (Neue Broschüre: »Achtung Kamera!«)
• Datenschutzaufsicht Berlin: „Europäischer Datenschutztag: Veröffentlichung von Online-Spielen für Kinder“ – Pressemitteilung vom 26.01.2024
• Datenschutzaufsicht Hamburg: „Datenschutzmythen und der Safer Internet Day“ – Pressemitteilung vom 26.01.2024
• Datenschutzaufsicht Hamburg: „Abo-Modelle bei großen Online-Plattformen“ – Pressemitteilung vom 29.01.2024