[pinguin]

Vorwort:
Die bloße Befürchtung, daß die eigenen personen-bezogenen Daten mißbraucht werden könnten, kann für sich bereits einen immateriellen Schaden darstellen; so fast wortwörtlich steht es in der Pressemitteilung zu dieser Rechtsache, als auch im Tenor, Nummer 6, zu lesen.

URTEIL DES GERICHTSHOFS (Dritte Kammer)
14. Dezember 2023(*)

„Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 5 – Grundsätze dieser Verarbeitung – Art. 24 – Verantwortung des für die Verarbeitung Verantwortlichen – Art. 32 – Zur Gewährleistung der Sicherheit der Verarbeitung getroffene Maßnahmen – Beurteilung der Geeignetheit solcher Maßnahmen – Umfang der gerichtlichen Überprüfung – Beweisführung – Art. 82 – Haftung und Recht auf Schadenersatz – Mögliche Befreiung des Verantwortlichen von der Haftung bei Verstößen durch Dritte – Klage auf Ersatz eines immateriellen Schadens aufgrund der Befürchtung eines möglichen Missbrauchs personenbezogener Daten“

In der Rechtssache C-340/21
https://curia.europa.eu/juris/document/document.jsf?text=&docid=280623&pageIndex=0&doclang=de&mode=lst&dir=&occ=first&part=1&cid=6713455

Aus diesen Gründen hat der Gerichtshof (Dritte Kammer) für Recht erkannt:

1.      Die Art. 24 und 32 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

sind dahin auszulegen, dass

eine unbefugte Offenlegung von bzw. ein unbefugter Zugang zu personenbezogenen Daten durch „Dritte“ im Sinne von Art. 4 Nr. 10 dieser Verordnung allein nicht ausreicht, um anzunehmen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht „geeignet“ im Sinne der Art. 24 und 32 dieser Verordnung waren.

2.      Art. 32 der Verordnung 2016/679

ist dahin auszulegen, dass

die Geeignetheit der vom Verantwortlichen nach diesem Artikel getroffenen technischen und organisatorischen Maßnahmen von den nationalen Gerichten konkret zu beurteilen ist, wobei die mit der betreffenden Verarbeitung verbundenen Risiken zu berücksichtigen sind und zu beurteilen ist, ob Art, Inhalt und Umsetzung dieser Maßnahmen diesen Risiken angemessen sind.

3.      Der in Art. 5 Abs. 2 der Verordnung 2016/679 formulierte und in Art. 24 dieser Verordnung konkretisierte Grundsatz der Rechenschaftspflicht des Verantwortlichen

ist dahin auszulegen, dass

im Rahmen einer auf Art. 82 der Verordnung gestützten Schadenersatzklage der für die betreffende Verarbeitung Verantwortliche die Beweislast dafür trägt, dass die von ihm getroffenen Sicherheitsmaßnahmen im Sinne von Art. 32 dieser Verordnung geeignet waren.

4.      Art. 32 der Verordnung 2016/679 und der unionsrechtliche Effektivitätsgrundsatz

sind dahin auszulegen, dass

für die Beurteilung der Geeignetheit der Sicherheitsmaßnahmen, die der Verantwortliche nach diesem Artikel getroffen hat, ein gerichtliches Sachverständigengutachten kein generell notwendiges und ausreichendes Beweismittel sein kann.

5.      Art. 82 Abs. 3 der Verordnung 2016/679

ist dahin auszulegen, dass

der Verantwortliche von seiner nach Art. 82 Abs. 1 und 2 dieser Verordnung bestehenden Pflicht zum Ersatz des einer Person entstandenen Schadens nicht allein deshalb befreit werden kann, weil dieser Schaden die Folge einer unbefugten Offenlegung von bzw. eines unbefugten Zugangs zu personenbezogenen Daten durch „Dritte“ im Sinne von Art. 4 Nr. 10 dieser Verordnung ist, wobei der Verantwortliche dann nachweisen muss, dass er in keinerlei Hinsicht für den Umstand, durch den der betreffende Schaden eingetreten ist, verantwortlich ist.

6.      Art. 82 Abs. 1 der Verordnung 2016/679

ist dahin auszulegen, dass

allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen diese Verordnung befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, einen „immateriellen Schaden“ im Sinne dieser Bestimmung darstellen kann.

Zur fünften Frage

75      Mit seiner fünften Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, einen „immateriellen Schaden“ im Sinne dieser Bestimmung darstellen kann.

76      Was erstens den Wortlaut von Art. 82 Abs. 1 DSGVO betrifft, ist darauf hinzuweisen, dass dieser Folgendes vorsieht: „Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“

77      Insoweit hat der Gerichtshof festgestellt, dass aus dem Wortlaut von Art. 82 Abs. 1 DSGVO klar hervorgeht, dass das Vorliegen eines „Schadens“, der entstanden ist, eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DSGVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (Urteil vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 32).

78      Darüber hinaus hat der Gerichtshof Art. 82 Abs. 1 DSGVO auf der Grundlage von Erwägungen zu Wortlaut, Systematik sowie Sinn und Zweck dahin ausgelegt, dass er einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines „immateriellen Schadens“ im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat (Urteil vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 51).

79      Weiter ist im vorliegenden Fall festzustellen, dass Art. 82 Abs. 1 DSGVO nicht danach unterscheidet, ob der infolge eines erwiesenen Verstoßes gegen die Bestimmungen der DSGVO von der betroffenen Person behauptete „immaterielle Schaden“ mit einer zum Zeitpunkt ihres Schadenersatzantrags bereits erfolgten missbräuchlichen Verwendung ihrer personenbezogenen Daten durch Dritte verbunden ist oder ob er mit ihrer Angst verknüpft ist, dass eine solche Verwendung in Zukunft erfolgen könnte.

80      Somit schließt der Wortlaut von Art. 82 Abs. 1 DSGVO nicht aus, dass der in dieser Bestimmung enthaltene Begriff „immaterieller Schaden“ eine Situation wie die vom vorlegenden Gericht beschriebene umfasst, in der sich die betroffene Person, um Schadenersatz nach dieser Bestimmung zu erhalten, auf ihre Befürchtung beruft, dass ihre personenbezogenen Daten aufgrund des eingetretenen Verstoßes gegen die DSGVO in Zukunft von Dritten missbräuchlich verwendet werden.

81      Diese wörtliche Auslegung wird zweitens durch den 146. Erwägungsgrund der DSGVO bestätigt, der speziell den in Art. 82 Abs. 1 DSGVO vorgesehenen Schadenersatzanspruch betrifft und in dessen drittem Satz es heißt, dass „[d]er Begriff des Schadens … im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden [sollte], die den Zielen dieser Verordnung in vollem Umfang entspricht.“ Eine Auslegung des Begriffs „immaterieller Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO, die nicht die Fälle umfasst, in denen die von einem Verstoß gegen die DSGVO betroffene Person sich auf die Befürchtung beruft, dass ihre eigenen personenbezogenen Daten in Zukunft missbräuchlich verwendet werden, entspräche jedoch nicht einer weiten Auslegung dieses Begriffs, wie sie vom Unionsgesetzgeber beabsichtigt ist (vgl. entsprechend Urteil vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 37 und 46).

82      Zudem heißt es im ersten Satz des 85. Erwägungsgrundes der DSGVO, dass „[e]ine Verletzung des Schutzes personenbezogener Daten … – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen [kann], wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder ?betrug, finanzielle Verluste … oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person“. Aus dieser beispielhaften Aufzählung der „Schäden“, die den betroffenen Personen entstehen können, geht hervor, dass der Unionsgesetzgeber unter den Begriff „Schaden“ insbesondere auch den bloßen „Verlust der Kontrolle“ über ihre eigenen Daten infolge eines Verstoßes gegen die DSGVO fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte.

83      Drittens und letztens wird die in Rn. 80 des vorliegenden Urteils vorgenommene Auslegung durch die Ziele der DSGVO gestützt, denen die Definition des Begriffs „Schaden“ in vollem Umfang entsprechen muss, wie es im dritten Satz des 146. Erwägungsgrundes der DSGVO heißt. Eine Auslegung von Art. 82 Abs. 1 DSGVO dahin, dass der Begriff „immaterieller Schaden“ im Sinne dieser Bestimmung keine Situationen umfasst, in denen sich eine betroffene Person nur auf ihre Befürchtung beruft, dass ihre Daten in Zukunft von Dritten missbräuchlich verwendet werden, wäre jedoch nicht mit der Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten in der Union vereinbar, die mit diesem Rechtsakt bezweckt wird.

84      Allerdings ist darauf hinzuweisen, dass eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie negative Folgen gehabt hat, nachweisen muss, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen (vgl. in diesem Sinne Urteil vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 50).

85      Insbesondere muss das angerufene nationale Gericht, wenn sich eine Person, die auf dieser Grundlage Schadenersatz fordert, auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann.

86      Nach alledem ist auf die fünfte Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, einen „immateriellen Schaden“ im Sinne dieser Bestimmung darstellen kann.

Zur Pressemitteilung:
Cyberkriminalität: Die Befürchtung eines möglichen Missbrauchs personenbezogener Daten kann für sich genommen einen immateriellen Schaden darstellen
https://curia.europa.eu/jcms/upload/docs/application/pdf/2023-12/cp230191de.pdf