Der EuGH hatte im Rahmen eines deutschen Falls viele spannende Fragen vom AG München auf den Tisch bekommen. Eine klare Antwort, wann ein Datendiebstahl immateriellen Schadensersatz nach der DSGVO begründet, blieb er aber schuldig.
Ein Datenklau kann schwerwiegende Folgen haben. Wie schwerwiegend, das hängt davon ab, welche personenbezogenen Daten betroffen sind. Gelangen Hacker etwa in den Besitz des Namens, Geburtsdatums, der Anschrift und E-Mail-Adresse einer fremden Person, können sie womöglich unter der fremdem Identität Verträge abschließen oder Accounts auf Online-Plattformen eröffnen.
Inwiefern es möglich ist, sich im Rahmen eines solchen Identitätsdiebstahls auch Vermögensvorteile zu verschaffen, hängt aber von der Art des Vertrags, den branchenüblichen Identifizierungsstandards und den AGB des Vertragspartners ab. Verfügen die Täter nicht über die Zahlungsinformationen des Betroffenen, werden sie in der Regel nicht kostenpflichtig Produkte oder Leistungen bestellen und den Betroffenen dafür zahlen lassen können. Dennoch birgt ein Identitätsdiebstahl stets das Risiko, dass dem Betroffenen ein Schaden dadurch entsteht, dass unter seinem Namen Rechtshandlungen vorgenommen werden.
Rechtfertigt diese latente Gefahr bereits einen Schadensersatz nach der Datenschutzgrundverordnung (DSGVO)? Ist das auch dann der Fall, wenn gar nicht nachgewiesen ist, dass der Datendiebstahl auch zu einem Identitätsdiebstahl geführt hat? Diese und weitere Fragen stellte das Amtsgericht (AG) München dem Europäischen Gerichtshof (EuGH). Der antwortete mit Urteil vom Donnerstag (Az. C-182/22 u. C189/22) tendenziell zurückhaltend: Von einem Datenklau Betroffene können nicht allzu viel erwarten.
Perso-Kopie und Trading-Daten betroffen
In den zwei vom EuGH zur Entscheidung verbundenen Münchner Verfahren klagten Nutzer einer Trading-Plattform gegen deren Betreiber. Die App war 2020 Ziel eines Angriffs, durch den personenbezogene Daten sowie Angaben über die Wertpapier-Depots Zehntausender Anleger abgegriffen wurden. Die Nutzer hinterlegen in der App Name, Geburtsdatum, Anschrift, E-Mail sowie eine digitale Personalausweiskopie. Zudem zahlen sie für die Eröffnung des Trading-Accounts Kapital in Höhe mehrere tausend Euro ein.
Der Kontrollverlust über die Daten war nachweisbar, ein Missbrauch der Daten, etwa im Rahmen eines Identitätsdiebstahls, konnte nicht festgestellt werden. Daher fehlte es auch an einem Vermögensschaden. Art. 82 Abs. 1 DSGVO erkennt Personen, die von einer Datenschutzverletzung betroffen sind, aber auch einen immateriellen Schadensersatz zu. Diesen machten die Kläger in den beiden Ausgangsverfahren in München geltend.
Das AG stellte sich hierzu etliche Fragen: Liegt auch ohne Belege für einen betrügerischen Datenmissbrauch ein immaterieller Schaden vor? Welche Höhe ist angemessen? Sind Datenschutzverletzungen weniger wert als Körperverletzungen? Und im Zuge dessen: Welche Funktion erfüllt der immaterielle Schadensersatz?
EuGH: Immaterieller Schadensersatz hat keine Straffunktion
Die Luxemburger Richter stellten nun fest: Der immaterielle Schadensersatz dient nur dazu, einen tatsächlich erlittenen Schaden zu kompensieren (Kompensations- oder Ausgleichsfunktion). Eine Genugtuungsfunktion oder gar ein Strafzweck komme ihm nicht zu. Dies begründete der EuGH mit einem Umkehrschluss zu Art. 83 und 84 DSGVO. Diese enthalten nämlich bereits Bestimmungen zu Geldbußen und Sanktionen, die für den Datenschutzverantwortlichen bereits hinreichende Anreize setzen sollen, sich an die Vorgaben der DSGVO zu halten. Abschreckungs- und Straffunktionen würden durch diese Regelungen bereits erfüllt, so der EuGH. Der Schadensersatz diene demgegenüber dazu, "den erlittenen Schaden in vollem Umfang auszugleichen". Doch was folgt daraus?
In der Tendenz sicherlich, dass das AG München den Schaden hier geringer bemessen wird, weil es zusätzlich zum "erlittenen Schaden" keinen Sanktionszuschlag berechnen darf. Das AG scheint ohnehin dazu zu tendieren, einen Geldbetrag festzusetzen, der so geringfügig ist, dass er als symbolisch angesehen werden kann. Es fragte den EuGH nämlich, ob ein nationales Gericht hierzu berechtigt ist. Und der EuGH bejahte das nun: Der Geldbetrag darf auch gering sein – "sofern dieser Schadensersatz geeignet ist, den entstandenen Schaden in vollem Umfang auszugleichen".
Zur Bestimmung und Berechnung des "erlittenen Schadens" äußerte sich der EuGH nicht. Das liegt – auch nach seiner bisherigen Rechtsprechung zu Art. 82 Abs. 1 DSGVO – weitgehend im Ermessen der nationalen Gerichte.
EuGH musste Äpfel mit Birnen vergleichen
Immerhin äußerten sich die Luxemburger Richter auf die entsprechende Vorlagefrage aus München dazu, was die Gerichte nicht berücksichtigen müssen: Die DSGVO verpflichte nicht dazu, den Grad des Verschuldens beim Datenschutzverantwortlichen zu berücksichtigen.
Ferner stellte der EuGH auf Wunsch des vorlegenden AG einen Äpfel-Birnen-Vergleich an – das Ergebnis: Der durch eine Datenschutzverletzung verursachte Schaden ist "seiner Natur nach nicht weniger schwerwiegend […] als eine Körperverletzung". Denn das, so das Gericht, "könnte den Grundsatz des vollständigen und wirksamen Schadenersatzes für den erlittenen Schaden in Frage stellen".
Schließlich legte der EuGH den Begriff des Identitätsdiebstahls aus. Diesen nennt nämlich Erwägungsgrund 85 der DSGVO neben dem Kontrollverlust über die Daten u.a. als Beispiel für einen immateriellen Schaden. Liegt ein solcher Verlust nur bei konkreten Anhaltspunkten für einen Datenmissbrauch wie etwa durch Betrug vor? Oder genügt schon der Verlust der Kontrolle über identifizierende Daten aus? Auch das wollte das AG München wissen.
Weiterhin wenig Rechtsklarheit
Der EuGH äußerte sich mäandernd: Einerseits liege ein Identitätsdiebstahl nur vor, "wenn ein Dritter die Identität einer Person, die von einem Diebstahl personenbezogener Daten betroffen ist, tatsächlich angenommen hat". Andererseits sei nicht erforderlich, dass "nachgewiesen wird, dass ein solcher Diebstahl von Daten anschließend zu einem Identitätsdiebstahl oder -betrug geführt hat".
Was das AG München mit diesen Vorgaben anfangen wird, bleibt abzuwarten. Seiner Neigung, vorliegend nur einen geringen Geldbetrag als Schadensersatz festzulegen, legte der EuGH jedenfalls keine Steine in den Weg.
In welchen Fällen ein immaterieller Schaden besteht, ist damit auch sechs Jahre nach Inkrafttreten der DSGVO noch weitgehend ungeklärt. Der EuGH hatte kürzlich schon mehrfach einzelne Fragen beantwortet, über die Urteile in den Verfahren Saturn und Juris hatte LTO berichtet. Jedoch hat er bislang offengelassen, welche Tatsachen Betroffene vortragen müssen, um einen immateriellen Schaden darzulegen. Die Entscheidung vom Donnerstag ändert daran nicht viel.
EuGH zur DSGVO: . In: Legal Tribune Online, 20.06.2024 , https://www.lto.de/persistent/a_id/54821 (abgerufen am: 22.11.2024 )
Infos zum Zitiervorschlag