Rechtsdatenbank
Welche Fragen Arbeitgeber auch zum Thema Sozialversicherungsrecht bewegen: Die Rechtsdatenbank der AOK liefert die Antworten – einfach, fundiert und topaktuell.
Rechtsdatenbank
Welche Fragen Arbeitgeber auch zum Thema Sozialversicherungsrecht bewegen: Die Rechtsdatenbank der AOK liefert die Antworten – einfach, fundiert und topaktuell.
EuGH 25.01.2024 - C-687/21
EuGH 25.01.2024 - C-687/21 - URTEIL DES GERICHTSHOFS (Dritte Kammer) - 25. Januar 2024 ( *1) - „Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Auslegung der Art. 5, 24, 32 und 82 – Beurteilung der Gültigkeit von Art. 82 – Unzulässigkeit des Ersuchens um Beurteilung der Gültigkeit – Anspruch auf Ersatz des Schadens, der durch eine unter Verstoß gegen diese Verordnung erfolgte Verarbeitung solcher Daten eingetreten ist – Übermittlung von Daten an einen unbefugten Dritten aufgrund eines Fehlers von Mitarbeitern des für die Verarbeitung Verantwortlichen – Beurteilung der Eignung der von dem für die Verarbeitung Verantwortlichen getroffenen Schutzmaßnahmen – Ausgleichsfunktion des Schadensersatzanspruchs – Auswirkung der Schwere des Verstoßes – Erfordernis des Nachweises eines durch den Verstoß verursachten Schadens – Begriff des immateriellen Schadens“
Leitsatz
In der Rechtssache C-687/21
betreffend ein Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht vom Amtsgericht Hagen (Deutschland) mit Entscheidung vom 11. Oktober 2021, beim Gerichtshof eingegangen am 16. November 2021, in dem Verfahren
BL
gegen
MediaMarktSaturn Hagen-Iserlohn GmbH, vormals Saturn Electro-Handelsgesellschaft mbH Hagen,
erlässt
DER GERICHTSHOF (Dritte Kammer)
unter Mitwirkung der Kammerpräsidentin K. Jürimäe sowie der Richter N. Piçarra, M. Safjan, N. Jääskinen (Berichterstatter) und M. Gavalec,
Generalanwalt: M. Campos Sánchez-Bordona,
Kanzler: A. Calot Escobar,
aufgrund des schriftlichen Verfahrens,
unter Berücksichtigung der Erklärungen
von BL, vertreten durch Rechtsanwalt D. Pudelko,
der MediaMarktSaturn Hagen-Iserlohn GmbH, vormals Saturn Electro-Handelsgesellschaft mbH Hagen, vertreten durch Rechtsanwalt B. Hackl,
Irlands, vertreten durch M. Browne, Chief State Solicitor, A. Joyce und M. Lane als Bevollmächtigte im Beistand von D. Fennelly, BL,
des Europäischen Parlaments, vertreten durch O. Hrstková Šolcová und J.-C. Puffer als Bevollmächtigte,
der Europäischen Kommission, vertreten durch A. Bouchagiar, M. Heller und H. Kranenborg als Bevollmächtigte,
aufgrund des nach Anhörung des Generalanwalts ergangenen Beschlusses, ohne Schlussanträge über die Rechtssache zu entscheiden,
folgendes
Entscheidungsgründe
Urteil
Das Vorabentscheidungsersuchen betrifft die Auslegung von Art. 2 Abs. 1, Art. 4 Nr. 7, Art. 5 Abs. 1 Buchst. f, Art. 6 Abs. 1, Art. 24, Art. 32 Abs. 1 Buchst. b und Abs. 2 sowie Art. 82 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, berichtigt in ABl. 2018, L 127, S. 2, im Folgenden: DSGVO) sowie die Beurteilung der Gültigkeit von Art. 82 DSGVO.
Es ergeht im Rahmen eines Rechtsstreits zwischen BL, einer natürlichen Person, und der MediaMarktSaturn Hagen-Iserlohn GmbH, vormals Saturn Electro-Handelsgesellschaft mbH Hagen (im Folgenden: Saturn), über den Ersatz des immateriellen Schadens, der BL dadurch entstanden sein soll, dass einige seiner personenbezogenen Daten aufgrund eines Fehlers von Mitarbeitern von Saturn an einen Dritten weitergegeben wurden.
Rechtlicher Rahmen
In den Erwägungsgründen 11, 74, 76, 83, 85 und 146 der DSGVO heißt es:
Ein unionsweiter wirksamer Schutz personenbezogener Daten erfordert die Stärkung und präzise Festlegung der Rechte der betroffenen Personen sowie eine Verschärfung der Verpflichtungen für diejenigen, die personenbezogene Daten verarbeiten und darüber entscheiden, …
…
Die Verantwortung und Haftung des Verantwortlichen für jedwede Verarbeitung personenbezogener Daten, die durch ihn oder in seinem Namen erfolgt, sollte geregelt werden. Insbesondere sollte der Verantwortliche geeignete und wirksame Maßnahmen treffen müssen und nachweisen können, dass die Verarbeitungstätigkeiten im Einklang mit dieser Verordnung stehen und die Maßnahmen auch wirksam sind. Dabei sollte er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung und das Risiko für die Rechte und Freiheiten natürlicher Personen berücksichtigen.
…
Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Person sollten in Bezug auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung bestimmt werden. Das Risiko sollte anhand einer objektiven Bewertung beurteilt werden, bei der festgestellt wird, ob die Datenverarbeitung ein Risiko oder ein hohes Risiko birgt.
…
Zur Aufrechterhaltung der Sicherheit und zur Vorbeugung gegen eine gegen diese Verordnung verstoßende Verarbeitung sollte der Verantwortliche oder der Auftragsverarbeiter die mit der Verarbeitung verbundenen Risiken ermitteln und Maßnahmen zu ihrer Eindämmung, wie etwa eine Verschlüsselung, treffen. Diese Maßnahmen sollten unter Berücksichtigung des Stands der Technik und der Implementierungskosten ein Schutzniveau – auch hinsichtlich der Vertraulichkeit – gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden personenbezogenen Daten angemessen ist. Bei der Bewertung der Datensicherheitsrisiken sollten die mit der Verarbeitung personenbezogener Daten verbundenen Risiken berücksichtigt werden, wie etwa – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von oder unbefugter Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden, insbesondere wenn dies zu einem physischen, materiellen oder immateriellen Schaden führen könnte.
…
Eine Verletzung des Schutzes personenbezogener Daten kann – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person. …
…
Der Verantwortliche oder der Auftragsverarbeiter sollte Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, ersetzen. Der Verantwortliche oder der Auftragsverarbeiter sollte von seiner Haftung befreit werden, wenn er nachweist, dass er in keiner Weise für den Schaden verantwortlich ist. Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht. Dies gilt unbeschadet von Schadenersatzforderungen aufgrund von Verstößen gegen andere Vorschriften des Unionsrechts oder des Rechts der Mitgliedstaaten. Zu einer Verarbeitung, die mit der vorliegenden Verordnung nicht im Einklang steht, zählt auch eine Verarbeitung, die nicht mit den nach Maßgabe der vorliegenden Verordnung erlassenen delegierten Rechtsakten und Durchführungsrechtsakten und Rechtsvorschriften der Mitgliedstaaten zur Präzisierung von Bestimmungen der vorliegenden Verordnung im Einklang steht. Die betroffenen Personen sollten einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. …“
In Kapitel I („Allgemeine Bestimmungen“) der DSGVO sieht Art. 2 („Sachlicher Anwendungsbereich“) in Abs. 1 vor:
„Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.“
In Art. 4 („Begriffsbestimmungen“) DSGVO heißt es:
„Im Sinne dieser Verordnung bezeichnet der Ausdruck:
‚personenbezogene Daten‘ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ‚betroffene Person‘) beziehen; …
…
‚Verantwortlicher‘ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; …
…
‚Dritter‘ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;
…
‚Verletzung des Schutzes personenbezogener Daten‘ eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;
…“
Kapitel II („Grundsätze“) der DSGVO umfasst ihre Art. 5 bis 11.
Art. 5 („Grundsätze für die Verarbeitung personenbezogener Daten“) DSGVO sieht vor:
„(1) Personenbezogene Daten müssen
…
in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen (‚Integrität und Vertraulichkeit‘)[.]
(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (‚Rechenschaftspflicht‘).“
Art. 6 („Rechtmäßigkeit der Verarbeitung“) DSGVO legt in Abs. 1 fest, welche Voraussetzungen erfüllt sein müssen, damit eine Verarbeitung rechtmäßig ist.
Kapitel IV („Verantwortlicher und Auftragsverarbeiter“) der DSGVO umfasst ihre Art. 24 bis 43.
Der zu Abschnitt 1 („Allgemeine Pflichten“) des Kapitels IV gehörende Art. 24 („Verantwortung des für die Verarbeitung Verantwortlichen“) bestimmt in den Abs. 1 und 2:
„(1) Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.
(2) Sofern dies in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten steht, müssen die Maßnahmen gemäß Absatz 1 die Anwendung geeigneter Datenschutzvorkehrungen durch den Verantwortlichen umfassen.“
Der zu Abschnitt 2 („Sicherheit personenbezogener Daten“) des Kapitels IV gehörende Art. 32 DSGVO („Sicherheit der Verarbeitung“) bestimmt in Abs. 1 Buchst. b und Abs. 2:
„(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:
…
die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
…
(2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.“
Kapitel VIII („Rechtsbehelfe, Haftung und Sanktionen“) der DSGVO enthält ihre Art. 77 bis 84.
In Art. 82 („Haftung und Recht auf Schadenersatz“) DSGVO heißt es:
„(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
(2) Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. …
(3) Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.
…“
Art. 83 („Allgemeine Bedingungen für die Verhängung von Geldbußen“) DSGVO sieht vor:
„(1) Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 4, 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.
(2) … Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt:
Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens;
Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;
…
Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen;
…
jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.
(3) Verstößt ein Verantwortlicher oder ein Auftragsverarbeiter bei gleichen oder miteinander verbundenen Verarbeitungsvorgängen vorsätzlich oder fahrlässig gegen mehrere Bestimmungen dieser Verordnung, so übersteigt der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß.
…“
Art. 84 („Sanktionen“) DSGVO bestimmt in Abs. 1:
„Die Mitgliedstaaten legen die Vorschriften über andere Sanktionen für Verstöße gegen diese Verordnung – insbesondere für Verstöße, die keiner Geldbuße gemäß Artikel 83 unterliegen – fest und treffen alle zu deren Anwendung erforderlichen Maßnahmen. Diese Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein.“
Ausgangsverfahren und Vorlagefragen
Der Kläger des Ausgangsverfahrens begab sich in die Geschäftsräume von Saturn und erwarb dort ein Elektrohaushaltsgerät. Zu diesem Zweck erstellte ein Mitarbeiter von Saturn einen Kauf- und Kreditvertrag. Dabei gab er in das EDV-System von Saturn mehrere personenbezogene Daten des Kunden ein, und zwar seinen Namen und Vornamen, seine Anschrift, seinen Wohnort, den Namen seines Arbeitgebers, seine Einkünfte sowie seine Bankdaten.
Die Vertragsunterlagen mit diesen personenbezogenen Daten wurden ausgedruckt und von beiden Parteien unterzeichnet. Der Kläger des Ausgangsverfahrens brachte sie sodann den an der Warenausgabe tätigen Mitarbeitern von Saturn. Ein anderer Kunde, der sich unbemerkt vorgedrängelt hatte, erhielt daraufhin irrtümlich sowohl das vom Kläger bestellte Gerät als auch die betreffenden Unterlagen und nahm alles mit.
Der Irrtum wurde rasch bemerkt, und ein Mitarbeiter von Saturn erwirkte die Rückgabe des Geräts und der Unterlagen, die er sodann, etwa eine halbe Stunde, nachdem sie dem anderen Kunden ausgehändigt worden waren, dem Kläger des Ausgangsverfahrens zurückgab. Das Unternehmen bot dem Kläger des Ausgangsverfahrens an, ihn durch unentgeltliche Lieferung des betreffenden Geräts in seine Wohnung für diesen Fehler zu entschädigen; der Kläger hielt eine solche Entschädigung jedoch für unzureichend.
Der Kläger des Ausgangsverfahrens erhob beim Amtsgericht Hagen (Deutschland), dem vorlegenden Gericht in dieser Rechtssache, Klage auf Ersatz des immateriellen Schadens, den er aufgrund des Irrtums der Angestellten von Saturn und des daraus resultierenden Risikos des Verlusts der Kontrolle über seine personenbezogenen Daten erlitten habe; dabei stützte er sich u. a. auf die Bestimmungen der DSGVO.
Saturn hält dem zum einen entgegen, dass kein Verstoß gegen die DSGVO vorgelegen habe und dass ein solcher Verstoß die Überschreitung einer bestimmten Erheblichkeitsschwelle voraussetze, die hier nicht erreicht worden sei. Zum anderen sei dem Kläger des Ausgangsverfahrens kein Schaden entstanden, da weder festgestellt noch auch nur geltend gemacht worden sei, dass der betreffende Dritte die personenbezogenen Daten des Klägers missbräuchlich verwendet habe.
Das vorlegende Gericht wirft erstens die Frage nach der Gültigkeit von Art. 82 DSGVO auf, da es ihm keine näheren Angaben zu seinen Rechtswirkungen im Fall des Ersatzes eines immateriellen Schadens entnehmen kann.
Zweitens möchte es für den Fall, dass Art. 82 vom Gerichtshof nicht für ungültig erklärt werden sollte, wissen, ob die Geltendmachung des darin vorgesehenen Schadensersatzanspruchs nicht nur den Nachweis eines Verstoßes gegen die DSGVO voraussetze, sondern auch, dass der Person, die Schadensersatz verlange, ein Schaden, insbesondere immaterieller Art, entstanden sei.
Drittens möchte das vorlegende Gericht wissen, ob die bloße Tatsache, dass ausgedruckte Dokumente, die personenbezogene Daten enthielten, aufgrund eines Irrtums der Mitarbeiter des Verantwortlichen unbefugt an einen Dritten weitergegeben worden seien, einen Verstoß gegen die DSGVO begründen könne.
Viertens führt das vorlegende Gericht aus, dass „der Unschuldsbeweis auf Seiten des [beklagten] Unternehmens liegt“, und möchte wissen, ob ein Verstoß gegen die DSGVO – insbesondere im Hinblick auf die Verpflichtung des für die Verarbeitung Verantwortlichen nach den Art. 2, 5, 6 und 24 DSGVO, geeignete Maßnahmen zur Gewährleistung der Sicherheit der verarbeiteten Daten zu ergreifen – schon dann vorliege, wenn festgestellt werde, dass fahrlässig eine solche Weitergabe von Unterlagen erfolgt sei.
Fünftens wirft das vorlegende Gericht die Frage auf, ob auch dann, wenn der unbefugte Dritte vor der Rückgabe der Dokumente offenbar keine Kenntnis von den darin enthaltenen personenbezogenen Daten erlangt habe, das Vorliegen eines „immateriellen Schadens“ im Sinne von Art. 82 DSGVO allein deshalb bejaht werden könne, weil die Person, deren Daten auf diese Weise übermittelt worden seien, befürchte, dass sich in der Zukunft das nicht auszuschließende Risiko verwirkliche, dass die Daten von dem Dritten an andere Personen weitergegeben oder gar missbräuchlich verwendet würden.
Sechstens fragt das vorlegende Gericht nach den eventuellen Auswirkungen, die im Rahmen einer auf Art. 82 DSGVO gestützten Klage auf Ersatz eines immateriellen Schadens die Schwere eines unter Umständen wie denen des Ausgangsverfahrens begangenen Verstoßes angesichts dessen haben könne, dass der für die Verarbeitung Verantwortliche wirksamere Sicherheitsmaßnahmen hätte treffen können.
Siebtens schließlich möchte es wissen, welcher Zweck mit dem nach der DSGVO geschuldeten Ersatz eines immateriellen Schadens verfolgt werde und ob davon ausgegangen werden könne, dass er den Charakter einer Sanktion wie bei einer Vertragsstrafe habe.
Unter diesen Umständen hat das Amtsgericht Hagen beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:
Ist die Schadensersatznorm in der DSGVO (Art. 82 DSGVO) mangels Bestimmtheit über die anzuordnenden Rechtsfolgen beim immateriellen Schadensersatz unwirksam?
Ist es für einen Schadensersatzanspruch erforderlich, dass außer dem unberechtigten Bekanntgeben der zu schützenden Daten an einen unberechtigten Dritten ein vom Anspruchsteller darzulegender immaterieller Schaden festzustellen ist?
Ist es für einen Verstoß gegen die DSGVO ausreichend, dass die Personendaten des Betroffenen (Name, Anschrift, Beruf, Einkommen, Arbeitgeber) durch ein Versehen von Mitarbeitern des tätigen Unternehmens irrtümlich in ausgedruckter Form, auf Papier, an einen Dritten auf einem Papierdokument weitergegeben werden?
Liegt eine illegale Weiterverarbeitung durch unbeabsichtigte Weitergabe (Offenlegung) an einen Dritten vor, wenn das Unternehmen durch seine Mitarbeiter versehentlich die Daten, die im Übrigen in die EDV-Anlage eingespeist werden, in ausgedruckter Form an einen unberechtigten Dritten weitergegeben hat (Art. 2 Abs. 1, Art. 5 Abs. 1 Buchst. f, Art. 6 Abs. 1, Art. 24 DSGVO)?
Liegt ein immaterieller Schaden bereits dann im Sinne des Art. 82 DSGVO vor, wenn die Daten von dem Dritten, der das Dokument mit den persönlichen Daten erhalten hat, nicht zur Kenntnis genommen worden sind, bevor das Papier, auf dem die Informationen enthalten sind, zurückgegeben wurde, oder genügt für einen immateriellen Schaden im Sinne des Art. 82 DSGVO das Unbehagen desjenigen, dessen persönliche Daten illegal weitergegeben wurden, weil bei jeder unberechtigten Offenlegung von persönlichen Daten die nicht ausschließbare Möglichkeit besteht, dass die Daten doch gegenüber einer unbekannten Vielzahl von Personen weiterverbreitet oder gar missbraucht werden könnten?
Als wie gravierend ist der Verstoß anzusehen, wenn die unbeabsichtigte Weitergabe an den Dritten durch bessere Kontrolle der bei dem Unternehmen tätigen Hilfsmitarbeiter und/oder durch bessere Organisation der Datensicherheit, etwa durch getrennte Handhabung der Warenausgabe und der Vertrags-, vor allem der Finanzierungsdokumentation, mittels gesondertem Ausgabeschein oder durch Weiterleitung innerhalb des Unternehmens an die Warenausgabe-Mitarbeiter – ohne Zwischenschaltung des Kunden, dem die ausgedruckten Dokumente, einschließlich der Abholberechtigung, ausgehändigt worden sind –, zu verhindern ist (Art. 32 Abs. 1 Buchst. b und Abs. 2 sowie Art. 4 Nr. 7 DSGVO)?
Ist unter Ersatz für immateriellen Schaden die Zuerkennung einer Strafe wie bei einer Vertragsstrafe zu verstehen?
Zu den Vorlagefragen
Zur ersten Frage
Mit seiner ersten Frage möchte das vorlegende Gericht wissen, ob Art. 82 DSGVO unwirksam ist, weil er keine näheren Angaben zu den anzuordnenden Rechtsfolgen beim immateriellen Schadensersatz enthält.
Das Europäische Parlament hält diese Frage für unzulässig, da das vorlegende Gericht – das eine besonders komplexe Problematik aufwerfe, und zwar die Beurteilung der Gültigkeit einer Bestimmung des Unionsrechts – die Anforderungen von Art. 94 Buchst. c der Verfahrensordnung des Gerichtshofs nicht erfüllt habe.
Nach Art. 94 Buchst. c der Verfahrensordnung muss das Vorabentscheidungsersuchen außer den dem Gerichtshof zur Vorabentscheidung vorgelegten Fragen u. a. eine Darstellung der Gründe enthalten, aus denen das vorlegende Gericht Zweifel bezüglich der Auslegung oder der Gültigkeit bestimmter Vorschriften des Unionsrechts hat.
Insoweit ist die Darstellung der Gründe des Vorabentscheidungsersuchens unerlässlich, nicht nur, damit der Gerichtshof zweckdienliche Antworten geben kann, sondern auch, um den Regierungen der Mitgliedstaaten und den anderen Beteiligten die Möglichkeit zu geben, gemäß Art. 23 der Satzung des Gerichtshofs der Europäischen Union Erklärungen abzugeben. Genauer gesagt muss der Gerichtshof die Gültigkeit einer Bestimmung des Unionsrechts anhand der in der Vorlageentscheidung bezeichneten Ungültigkeitsgründe prüfen; werden die genauen Gründe, aus denen das vorlegende Gericht Zweifel daran hat, überhaupt nicht angegeben, führt dies zur Unzulässigkeit der die Gültigkeit betreffenden Fragen (vgl. in diesem Sinne Urteile vom 15. Juni 2017, T.KUP, C-349/16, EU:C:2017:469, Rn. 16 bis 18, und vom 22. Juni 2023, Vitol, C-268/22, EU:C:2023:508, Rn. 52 bis 55).
Im vorliegenden Fall legt das vorlegende Gericht jedoch keinen konkreten Anhaltspunkt dar, der es dem Gerichtshof ermöglichen würde, die Gültigkeit von Art. 82 DSGVO zu prüfen.
Infolgedessen ist die erste Frage unzulässig.
Zur dritten und zur vierten Frage
Mit seiner dritten und seiner vierten Frage, die gemeinsam zuerst zu prüfen sind, möchte das vorlegende Gericht im Wesentlichen wissen, ob die Art. 5, 24, 32 und 82 DSGVO zusammen betrachtet dahin auszulegen sind, dass im Rahmen einer auf Art. 82 gestützten Schadensersatzklage der Umstand, dass Mitarbeiter des für die Verarbeitung Verantwortlichen irrtümlich ein Dokument mit personenbezogenen Daten an einen unbefugten Dritten weitergegeben haben, für sich genommen ausreicht, um davon auszugehen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht „geeignet“ im Sinne der Art. 24 und 32 waren.
Art. 24 DSGVO sieht eine allgemeine Verpflichtung des für die Verarbeitung personenbezogener Daten Verantwortlichen vor, geeignete technische und organisatorische Maßnahmen umzusetzen, um sicherzustellen, dass die Verarbeitung im Einklang mit der DSGVO erfolgt, und den Nachweis dafür erbringen zu können (Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, Rn. 24).
Art. 32 DSGVO regelt die Pflichten des Verantwortlichen und eines etwaigen Auftragsverarbeiters in Bezug auf die Sicherheit der Verarbeitung. So bestimmt Art. 32 Abs. 1 DSGVO, dass diese Personen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der betreffenden Verarbeitung geeignete technische und organisatorische Maßnahmen treffen müssen, um ein Schutzniveau zu gewährleisten, das den mit der Verarbeitung verbundenen Risiken angemessen ist. Ebenso sind nach Art. 32 Abs. 2 DSGVO bei der Beurteilung des angemessenen Schutzniveaus insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von bzw. unbefugten Zugang zu personenbezogenen Daten (vgl. in diesem Sinne Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, Rn. 26 und 27).
Somit ergibt sich aus dem Wortlaut der Art. 24 und 32 DSGVO, dass die Geeignetheit der vom Verantwortlichen umgesetzten Maßnahmen konkret zu bewerten ist, unter Berücksichtigung der verschiedenen in diesen Artikeln aufgeführten Kriterien und der Datenschutzbedürfnisse, die speziell mit der betreffenden Verarbeitung sowie den davon ausgehenden Risiken verbunden sind. Dies gilt umso mehr, als der Verantwortliche die Möglichkeit haben muss, den Nachweis zu erbringen, dass seine Maßnahmen im Einklang mit der DSGVO stehen; diese Möglichkeit bliebe ihm verwehrt, wenn von einer unwiderlegbaren Vermutung ausgegangen würde (vgl. in diesem Sinne Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, Rn. 30 bis 32).
Diese Auslegung des Wortlauts wird durch eine Gesamtbetrachtung der Art. 24 und 32 mit Art. 5 Abs. 2 und Art. 82 DSGVO im Licht ihrer Erwägungsgründe 74, 76 und 83 bestätigt, aus denen sich insbesondere ergibt, dass der für die Verarbeitung Verantwortliche verpflichtet ist, die Risiken einer Verletzung des Schutzes personenbezogener Daten einzudämmen, und nicht, jede Verletzung ihres Schutzes zu verhindern (vgl. in diesem Sinne Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, Rn. 33 bis 38).
Infolgedessen hat der Gerichtshof die Art. 24 und 32 DSGVO dahin ausgelegt, dass eine unbefugte Offenlegung personenbezogener Daten oder ein unbefugter Zugang zu ihnen durch „Dritte“ im Sinne von Art. 4 Nr. 10 DSGVO allein nicht ausreicht, um anzunehmen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht „geeignet“ im Sinne der Art. 24 und 32 waren (Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, Rn. 39).
Der Umstand, dass Mitarbeiter des für die Verarbeitung Verantwortlichen irrtümlich ein Dokument mit personenbezogenen Daten an einen unbefugten Dritten weitergegeben haben, könnte im vorliegenden Fall zeigen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht „geeignet“ im Sinne der Art. 24 und 32 waren. Ein solcher Umstand kann insbesondere aus Fahrlässigkeit oder aus Organisationsmängeln des für die Verarbeitung Verantwortlichen resultieren, der den mit der Verarbeitung der betreffenden Daten verbundenen Risiken nicht konkret Rechnung trägt.
Insoweit ergibt sich aus einer Gesamtbetrachtung der Art. 5, 24 und 32 DSGVO im Licht ihres 74. Erwägungsgrundes, dass im Rahmen einer auf Art. 82 DSGVO gestützten Schadensersatzklage der für die betreffende Verarbeitung Verantwortliche die Beweislast dafür trägt, dass die personenbezogenen Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der Daten im Sinne von Art. 5 Abs. 1 Buchst. f und Art. 32 DSGVO gewährleistet. Eine solche Beweislastverteilung ist nicht nur geeignet, die für die Verarbeitung dieser Daten Verantwortlichen dazu anzuhalten, die nach der DSGVO erforderlichen Sicherheitsmaßnahmen zu ergreifen, sondern auch, die praktische Wirksamkeit des in Art. 82 DSGVO vorgesehenen Schadensersatzanspruchs zu schützen und die in ihrem elften Erwägungsgrund genannten Absichten des Unionsgesetzgebers zu wahren (vgl. in diesem Sinne Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, Rn. 49 bis 56).
Daher hat der Gerichtshof den in Art. 5 Abs. 2 DSGVO aufgestellten und in ihrem Art. 24 konkretisierten Grundsatz der Rechenschaftspflicht des Verantwortlichen dahin ausgelegt, dass im Rahmen einer auf Art. 82 DSGVO gestützten Schadensersatzklage der für die betreffende Verarbeitung Verantwortliche die Beweislast dafür trägt, dass die von ihm getroffenen Sicherheitsmaßnahmen im Sinne von Art. 32 DSGVO geeignet waren (Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, Rn. 57).
Somit darf ein Gericht, das mit einer solchen auf Art. 82 DSGVO gestützten Schadensersatzklage befasst ist, bei der Klärung der Frage, ob ein Verstoß gegen eine in dieser Verordnung vorgesehene Verpflichtung vorliegt, nicht allein den Umstand berücksichtigen, dass Mitarbeiter des Verantwortlichen irrtümlich ein Dokument mit personenbezogenen Daten an einen unbefugten Dritten weitergegeben haben. Es muss vielmehr auch sämtliche Beweise heranziehen, die der für die Verarbeitung Verantwortliche vorgelegt hat, um die Geeignetheit der technischen und organisatorischen Maßnahmen nachzuweisen, die er getroffen hat, um seinen Verpflichtungen aus den Art. 24 und 32 DSGVO nachzukommen.
Nach alledem ist auf die dritte und die vierte Frage zu antworten, dass die Art. 5, 24, 32 und 82 DSGVO zusammen betrachtet dahin auszulegen sind, dass im Rahmen einer auf Art. 82 gestützten Schadensersatzklage der Umstand, dass Mitarbeiter des für die Verarbeitung Verantwortlichen irrtümlich ein Dokument mit personenbezogenen Daten an einen unbefugten Dritten weitergegeben haben, für sich genommen nicht ausreicht, um davon auszugehen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht „geeignet“ im Sinne der Art. 24 und 32 waren.
Zur siebten Frage
Mit seiner siebten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 DSGVO dahin auszulegen ist, dass der in dieser Bestimmung vorgesehene Schadensersatzanspruch, insbesondere im Fall eines immateriellen Schadens, eine Straffunktion erfüllt.
Hierzu hat der Gerichtshof entschieden, dass Art. 82 DSGVO – anders als andere, ebenfalls in Kapitel VIII dieser Verordnung enthaltene Bestimmungen, und zwar ihre Art. 83 und 84, die im Wesentlichen einen Strafzweck haben, da sie die Verhängung von Geldbußen und anderen Sanktionen erlauben – keine Straf-, sondern eine Ausgleichsfunktion hat. Das Verhältnis zwischen den in Art. 82 DSGVO und den in ihren Art. 83 und 84 enthaltenen Vorschriften zeigt, dass zwischen diesen beiden Kategorien von Bestimmungen ein Unterschied besteht, sie einander aber auch als Anreiz zur Einhaltung der DSGVO ergänzen, wobei das Recht jeder Person, den Ersatz eines Schadens zu verlangen, die Durchsetzungskraft der in dieser Verordnung vorgesehenen Schutzvorschriften erhöht und geeignet ist, von der Wiederholung rechtswidriger Verhaltensweisen abzuschrecken (vgl. in diesem Sinne Urteile vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 38 und 40, sowie vom 21. Dezember 2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, Rn. 85).
Der Gerichtshof hat hinzugefügt, dass sich, da der in Art. 82 Abs. 1 DSGVO vorgesehene Schadensersatzanspruch keine abschreckende oder gar Straffunktion erfüllt, sondern eine Ausgleichsfunktion hat, die Schwere des Verstoßes gegen die DSGVO, durch den der betreffende Schaden entstanden ist, nicht auf die Höhe des auf der Grundlage dieser Bestimmung gewährten Schadensersatzes auswirken kann, auch wenn es sich nicht um einen materiellen, sondern um einen immateriellen Schaden handelt, so dass dieser Betrag nicht so hoch bemessen werden darf, dass er über den vollständigen Ersatz des Schadens hinausgeht (vgl. in diesem Sinne Urteil vom 21. Dezember 2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, Rn. 86 und 87).
Aus dem Vorstehenden ergibt sich, dass es nicht erforderlich ist, zu dem vom vorlegenden Gericht in Betracht gezogenen Zusammenhang zwischen dem Zweck, der mit dem in Art. 82 Abs. 1 DSGVO verankerten Schadensersatzanspruch verfolgt wird, und der Straffunktion einer Vertragsstrafe Stellung zu nehmen.
Infolgedessen ist auf die siebte Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass der in dieser Bestimmung vorgesehene Schadensersatzanspruch, insbesondere im Fall eines immateriellen Schadens, eine Ausgleichsfunktion hat, da eine auf sie gestützte Entschädigung in Geld es ermöglichen soll, den konkret aufgrund des Verstoßes gegen die DSGVO erlittenen Schaden vollständig auszugleichen, und keine Straffunktion erfüllt.
Zur sechsten Frage
Mit seiner sechsten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 DSGVO dahin auszulegen ist, dass er verlangt, dass die Schwere des von dem für die Verarbeitung Verantwortlichen begangenen Verstoßes gegen die DSGVO für die Zwecke des Ersatzes eines Schadens auf der Grundlage dieser Bestimmung berücksichtigt wird.
Insoweit geht aus Art. 82 DSGVO hervor, dass zum einen die Haftung des Verantwortlichen u. a. vom Vorliegen eines ihm anzulastenden Verschuldens abhängt, das vermutet wird, sofern er nicht nachweist, dass die Handlung, die den Schaden verursacht hat, ihm nicht zurechenbar ist, und dass Art. 82 zum anderen nicht verlangt, dass die Schwere dieses Verschuldens bei der Bemessung der Höhe des als Entschädigung für einen immateriellen Schaden auf der Grundlage dieser Bestimmung gewährten Schadensersatzes berücksichtigt wird (Urteil vom 21. Dezember 2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, Rn. 103).
Was die Bemessung der Höhe des etwaigen gemäß Art. 82 DSGVO geschuldeten Schadensersatzes betrifft, haben die nationalen Gerichte, da die DSGVO keine Bestimmung mit diesem Gegenstand enthält, bei seiner Bemessung die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden (vgl. in diesem Sinne Urteil vom 21. Dezember 2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, Rn. 83 und 101 sowie die dort angeführte Rechtsprechung).
Der Gerichtshof hat außerdem klargestellt, dass Art. 82 DSGVO in Anbetracht der Ausgleichsfunktion des darin verankerten Schadensersatzanspruchs nicht verlangt, dass die Schwere des Verstoßes gegen die Verordnung, den der für die Verarbeitung Verantwortliche begangen haben soll, bei der Bemessung des Betrags des zum Ausgleich eines immateriellen Schadens auf der Grundlage dieser Bestimmung gewährten Schadensersatzes berücksichtigt wird; er verlangt vielmehr, den Betrag so festzulegen, dass er den konkret aufgrund des Verstoßes gegen die DSGVO erlittenen Schaden vollständig ausgleicht (vgl. in diesem Sinne Urteil vom 21. Dezember 2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, Rn. 84 bis 87 und 102 sowie die dort angeführte Rechtsprechung).
Nach alledem ist auf die sechste Frage zu antworten, dass Art. 82 DSGVO dahin auszulegen ist, dass er nicht verlangt, dass die Schwere des von dem für die Verarbeitung Verantwortlichen begangenen Verstoßes für die Zwecke des Ersatzes eines Schadens auf der Grundlage dieser Bestimmung berücksichtigt wird.
Zur zweiten Frage
Mit seiner zweiten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass die Person, die aufgrund dieser Bestimmung Schadensersatz verlangt, nicht nur den Verstoß gegen Bestimmungen der DSGVO nachweisen muss, sondern auch, dass ihr dadurch ein materieller oder immaterieller Schaden entstanden ist.
Art. 82 Abs. 1 DSGVO lautet: „Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“
Wie sich aus dem Wortlaut dieser Bestimmung ergibt, reicht der bloße Verstoß gegen die DSGVO nicht aus, um einen Schadensersatzanspruch zu begründen. Das Vorliegen eines „Schadens“ stellt nämlich eine der Voraussetzungen für den in Art. 82 Abs. 1 vorgesehenen Schadensersatzanspruch dar, ebenso wie das Vorliegen eines Verstoßes gegen die DSGVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (vgl. in diesem Sinne Urteile vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 32 und 42, vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, Rn. 77, vom 14. Dezember 2023, Gemeinde Ummendorf, C-456/22, EU:C:2023:988, Rn. 14, und vom 21. Dezember 2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, Rn. 82).
Speziell in Bezug auf immaterielle Schäden hat der Gerichtshof ferner entschieden, dass Art. 82 Abs. 1 DSGVO einer nationalen Vorschrift oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person im Sinne von Art. 4 Nr. 1 DSGVO entstandene Schaden eine gewisse Schwere erreicht hat (vgl. in diesem Sinne Urteile vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 51, vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, Rn. 78, und vom 14. Dezember 2023, Gemeinde Ummendorf, C-456/22, EU:C:2023:988, Rn. 16).
Der Gerichtshof hat hinzugefügt, dass eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie nachteilige Folgen hatte, jedoch den Nachweis erbringen muss, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen, da der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen (vgl. in diesem Sinne Urteile vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 42 und 50, vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, Rn. 84, und vom 14. Dezember 2023, Gemeinde Ummendorf, C-456/22, EU:C:2023:988, Rn. 21 und 23).
Nach alledem ist auf die zweite Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass die Person, die aufgrund dieser Bestimmung Schadensersatz verlangt, nicht nur den Verstoß gegen Bestimmungen der DSGVO nachweisen muss, sondern auch, dass ihr dadurch ein materieller oder immaterieller Schaden entstanden ist.
Zur fünften Frage
Mit seiner fünften Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass in einem Fall, in dem ein Dokument, das personenbezogene Daten enthält, an einen unbefugten Dritten weitergegeben wurde, der diese Daten erwiesenermaßen nicht zur Kenntnis genommen hat, schon deshalb ein „immaterieller Schaden“ im Sinne dieser Bestimmung vorliegen kann, weil die betroffene Person befürchtet, dass im Anschluss an die Weitergabe, die es ermöglichte, vor der Rückgabe des Dokuments eine Kopie von ihm anzufertigen, in der Zukunft eine Weiterverbreitung oder gar ein Missbrauch ihrer Daten stattfindet.
Nach den Angaben des vorlegenden Gerichts erhielt der Kläger des Ausgangsverfahrens im vorliegenden Fall das Dokument mit den betreffenden Daten binnen einer halben Stunde nach der Weitergabe an einen unbefugten Dritten zurück, ohne dass dieser vor der Rückgabe des Dokuments die Daten zur Kenntnis genommen hatte; der Kläger macht aber geltend, der Dritte habe die Möglichkeit gehabt, vor der Rückgabe des Dokuments Kopien von ihm anzufertigen, was bei ihm Unbehagen wegen des Risikos einer künftigen missbräuchlichen Verwendung der Daten ausgelöst habe.
Angesichts dessen, dass Art. 82 Abs. 1 DSGVO nicht auf das innerstaatliche Recht der Mitgliedstaaten verweist, muss der Begriff „immaterieller Schaden“ im Sinne dieser Bestimmung eine autonome und einheitliche unionsrechtliche Definition erhalten (vgl. in diesem Sinne Urteile vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 30 und 44, sowie vom 14. Dezember 2023, Gemeinde Ummendorf, C-456/22, EU:C:2023:988, Rn. 15).
Der Gerichtshof hat entschieden, dass sich nicht nur aus dem Wortlaut von Art. 82 Abs. 1 DSGVO im Licht ihrer Erwägungsgründe 85 und 146, wonach der Begriff „immaterieller Schaden“ im Sinne von Art. 82 Abs. 1 weit zu verstehen ist, sondern auch aus dem mit der DSGVO verfolgten Ziel der Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten ergibt, dass die durch einen Verstoß gegen die DSGVO ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, für sich genommen einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 darstellen kann (vgl. in diesem Sinne Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, Rn. 79 bis 86).
Überdies hat der Gerichtshof, ebenfalls gestützt auf Erwägungen zu Wortlaut, Systematik sowie Sinn und Zweck, festgestellt, dass die betroffene Person durch den kurzzeitigen Verlust der Kontrolle über personenbezogene Daten einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO erleiden kann, der einen Schadensersatzanspruch begründet, sofern diese Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat, wobei der bloße Verstoß gegen die Bestimmungen der DSGVO nicht ausreicht, um auf dieser Grundlage einen Schadensersatzanspruch zu begründen (vgl. in diesem Sinne Urteil vom 14. Dezember 2023, Gemeinde Ummendorf, C-456/22, EU:C:2023:988, Rn. 18 bis 23).
Desgleichen ist im vorliegenden Fall festzustellen, dass es sowohl mit dem Wortlaut von Art. 82 Abs. 1 DSGVO als auch mit dem Schutzziel dieser Verordnung im Einklang steht, dass der Begriff „immaterieller Schaden“ eine Situation umfasst, in der die betroffene Person die begründete Befürchtung hegt – was zu prüfen Sache des angerufenen nationalen Gerichts ist –, dass einige ihrer personenbezogenen Daten künftig von Dritten weiterverbreitet oder missbräuchlich verwendet werden, weil ein Dokument, das diese Daten enthält, an einen unbefugten Dritten weitergegeben wurde, der in der Lage war, vor der Rückgabe des Dokuments Kopien von ihm anzufertigen.
Gleichwohl obliegt es demjenigen, der eine auf Art. 82 DSGVO gestützte Schadensersatzklage erhebt, das Vorliegen eines solchen Schadens nachzuweisen. Insbesondere kann ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten nicht zu einer Entschädigung führen. Dies ist der Fall, wenn kein Dritter die fraglichen personenbezogenen Daten zur Kenntnis genommen hat.
Daher ist auf die fünfte Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass in einem Fall, in dem ein Dokument, das personenbezogene Daten enthält, an einen unbefugten Dritten weitergegeben wurde, der diese Daten erwiesenermaßen nicht zur Kenntnis genommen hat, nicht schon deshalb ein „immaterieller Schaden“ im Sinne dieser Bestimmung vorliegt, weil die betroffene Person befürchtet, dass im Anschluss an die Weitergabe, die es ermöglichte, vor der Rückgabe des Dokuments eine Kopie von ihm anzufertigen, in der Zukunft eine Weiterverbreitung oder gar ein Missbrauch ihrer Daten stattfindet.
Kosten
Für die Beteiligten des Ausgangsverfahrens ist das Verfahren Teil des beim vorlegenden Gericht anhängigen Verfahrens; die Kostenentscheidung ist daher Sache dieses Gerichts. Die Auslagen anderer Beteiligter für die Abgabe von Erklärungen vor dem Gerichtshof sind nicht erstattungsfähig.
Gründe
Aus diesen Gründen hat der Gerichtshof (Dritte Kammer) für Recht erkannt:
Die Art. 5, 24, 32 und 82 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
sind zusammen betrachtet dahin auszulegen, dass
im Rahmen einer auf Art. 82 gestützten Schadensersatzklage der Umstand, dass Mitarbeiter des für die Verarbeitung Verantwortlichen irrtümlich ein Dokument mit personenbezogenen Daten an einen unbefugten Dritten weitergegeben haben, für sich genommen nicht ausreicht, um davon auszugehen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht „geeignet“ im Sinne der Art. 24 und 32 waren.
Art. 82 Abs. 1 der Verordnung 2016/679
ist dahin auszulegen, dass
der in dieser Bestimmung vorgesehene Schadensersatzanspruch, insbesondere im Fall eines immateriellen Schadens, eine Ausgleichsfunktion hat, da eine auf sie gestützte Entschädigung in Geld es ermöglichen soll, den konkret aufgrund des Verstoßes gegen die Verordnung 2016/679 erlittenen Schaden vollständig auszugleichen, und keine Straffunktion erfüllt.
Art. 82 der Verordnung 2016/679
ist dahin auszulegen, dass
er nicht verlangt, dass die Schwere des von dem für die Verarbeitung Verantwortlichen begangenen Verstoßes für die Zwecke des Ersatzes eines Schadens auf der Grundlage dieser Bestimmung berücksichtigt wird.
Art. 82 Abs. 1 der Verordnung 2016/679
ist dahin auszulegen, dass
die Person, die aufgrund dieser Bestimmung Schadensersatz verlangt, nicht nur den Verstoß gegen Bestimmungen der Verordnung 2016/679 nachweisen muss, sondern auch, dass ihr dadurch ein materieller oder immaterieller Schaden entstanden ist.
Art. 82 Abs. 1 der Verordnung 2016/679
ist dahin auszulegen, dass
in einem Fall, in dem ein Dokument, das personenbezogene Daten enthält, an einen unbefugten Dritten weitergegeben wurde, der diese Daten erwiesenermaßen nicht zur Kenntnis genommen hat, nicht schon deshalb ein „immaterieller Schaden“ im Sinne dieser Bestimmung vorliegt, weil die betroffene Person befürchtet, dass im Anschluss an die Weitergabe, die es ermöglichte, vor der Rückgabe des Dokuments eine Kopie von ihm anzufertigen, in der Zukunft eine Weiterverbreitung oder gar ein Missbrauch ihrer Daten stattfindet.
Unterschriften
( *1)Verfahrenssprache: Deutsch.
Kontakt zur AOK NordWest
Persönlicher Ansprechpartner