Analyse der EuGH-Entscheidungen
Der Europäische Gerichtshof (EuGH) hat in seinen jüngsten Entscheidungen C-687/21 und C-340/21 wichtige Klarstellungen zum Schadensersatzanspruch nach Art. 82 DSGVO vorgenommen und dabei an frühere Rechtsprechung angeknüpft.
Zunächst ist es wichtig, zwischen dem Verstoß gegen die DSGVO und dem daraus resultierenden Schaden klar zu unterscheiden. In der Entscheidung C-300/21 vom 4. Mai 2023 hatte der EuGH bereits betont, dass ein bloßer Verstoß gegen die DSGVO nicht automatisch einen Schadensersatzanspruch begründet. Es muss zusätzlich ein tatsächlicher Schaden eingetreten sein.Der Kontrollverlust über personenbezogene Daten, der infolge eines DSGVO-Verstoßes eintritt, kann bereits für sich genommen einen immateriellen Schaden darstellen. Dies ergibt sich aus Erwägungsgrund 85 der DSGVO und wurde vom EuGH in der Entscheidung C-340/21 bestätigt. Dabei ist es nicht erforderlich, dass bereits ein konkreter Missbrauch der Daten stattgefunden hat. Die begründete Befürchtung eines möglichen zukünftigen Missbrauchs kann ausreichen.Wichtig ist, dass für den Verstoß und den daraus resultierenden Schaden unterschiedliche Maßstäbe gelten:
- Für den Verstoß gegen die DSGVO ist kein subjektives Element auf Seiten des Verantwortlichen erforderlich. Es genügt die objektive Feststellung, dass die Vorgaben der DSGVO nicht eingehalten wurden.
- Für den Schaden in Form des Kontrollverlusts ist hingegen ein subjektives Element auf Seiten der betroffenen Person relevant. Die Person muss darlegen und gegebenenfalls beweisen, dass sie aufgrund des Kontrollverlusts tatsächlich Sorgen, Ängste oder ein Unbehagen empfindet.
Der EuGH hat in C-340/21 klargestellt, dass die nationalen Gerichte bei der Prüfung des Schadensersatzanspruchs eine konkrete Bewertung vornehmen müssen. Sie müssen untersuchen, ob die von der betroffenen Person vorgebrachten Befürchtungen angesichts der spezifischen Umstände des Einzelfalls als begründet angesehen werden können.
Dabei ist zu beachten, dass der EuGH in C-687/21 auch Grenzen gezogen hat: Wenn nachweislich ausgeschlossen werden kann, dass ein Dritter von den Daten Kenntnis genommen hat, reicht die bloße Sorge vor einem möglichen Missbrauch nicht aus, um einen Schadensersatzanspruch zu begründen.
Diese differenzierte Betrachtungsweise des EuGH stellt sicher, dass einerseits die Rechte der betroffenen Personen gewahrt werden, andererseits aber auch keine überzogenen Ansprüche entstehen. Sie erfordert von den nationalen Gerichten eine sorgfältige Abwägung im Einzelfall und trägt so zu einer ausgewogenen Anwendung des Art. 82 DSGVO bei.
Update: Passend dazu hat das Landgericht Freiburg übrigens gerade entschieden
1. Im Falle einer klageweisen Geltendmachung von Schadensersatzansprüchen nach Art. 82 DS-GVO obliegt es der Klagepartei, die eigene Betroffenheit von einem Datenschutzvorfall mit dem Beweismaß des § 286 ZPO zur vollen Überzeugung des Gerichts nachzuweisen. Diesem Erfordernis wird mit dem bloße Hinweis auf die Ergebnismitteilung einer Anfrage bei der Internetseite https:///haveibeenpwned.com jedenfalls dann nicht genügt, wenn die Beklagte zuvor dezidiert dargestellt, aufgrund welcher konkreten Umstände sie davon ausgehe, dass die Treffermitteilung der Webseite https://haveibeenpwned.com/ bezogen auf die Klagepartei des vorliegenden Verfahrens keine verlässliche Grundlage für die Annahme sei, dass diese tatsächlich vom API-Bug 2021 bei der Beklagten betroffen sei.
2. Behauptet eine Klagepartei, die Beklagtenpartei habe gegen sie schützende Vorschriften der DS-GVO verstoßen, ihr sei hierdurch ein (immaterieller) Teilschaden i.S.d. Art. 82 DS-GVO entstanden, ein weiterer sei aber möglich, dann ist diese Verfahrenskonstellation vergleichbar derjenigen, bei der es um die Verletzung eines absoluten Rechts geht, nicht derjenigen der alleinigen Geltendmachung von Vermögensschäden (a.A. LG Stuttgart, Urteil vom 24.1.2024 27 O 92/23, juris Rn. 33). Ein Feststellungsinteresse i.S.d. § 256 Abs. 1 ZPO ist deshalb bereits dann zu bejahen, wenn die spätere Verwirklichung eines weiteren Schadens in absehbarer Zeit nach der Art der Verletzung möglich erscheint, eine Wahrscheinlichkeit des Eintritts weiterer Schäden ist nicht erforderlich (entgegen LG Stuttgart, Urteil vom 24.1.2024 27 O 92/23, juris Rn. 33)
3. Ein nicht auf die konkrete Verletzungsform bezogener Unterlassungsantrag, der an den unbestimmten und auslegungsbedürftigen Begriff des Standes der Technik anknüpft, genügt nicht den Anforderungen des § 253 Abs. 2 Nr. 2 ZPO und ist unzulässig. Eine auslegungsbedürftige Antragsformulierung ist nicht zur Gewährleistung effektiven Rechtsschutzes hinzunehmen, wenn die Klagepartei sich mit der Formulierung des Klageantrags an der konkreten Verletzungsform orientieren könnte, ohne dass für sie damit ein effektiver Rechtsschutz gefährdet wäre (Anschluss BGH, Urteil vom 6. Oktober 2011 – I ZR 54/10; BGH, Urteil vom 2. Juni 2022 – I ZR 140/15 und BGH, Urteil vom 9. September 2021 – I ZR 113/20).(Rn.71) (Rn.72) (Rn.73)
Das Thema wird uns wohl noch eine Weile beschäftigen!
Aktuelle OLG-Entscheidungen zum Thema Datenschutz
In den letzten Monaten haben sich auch mehrere Oberlandesgerichte mit ähnlichen Fragen befasst. Hier eine Übersicht über zwanzig aktuelle OLG-Entscheidungen zum Thema Datenschutz und Angst um Daten, sortiert nach dem Datum der Entscheidung:
- OLG Celle, 04.04.2024, Az. 5 U 77/23: Zulässigkeit einer Berufung in einem Verfahren zum Schadensersatz wegen DSGVO-Verstoß. Quelle
- OLG Dresden, 23.04.2024, Az. 4 U 3/24: Schadensersatz bei unberechtigter Weitergabe von Gesundheitsdaten. Quelle
- OLG München, 24.04.2024, Az. 34 U 2306/23: Unterlassungsanspruch und Feststellungsinteresse bei Datenschutzverstößen. Quelle
- OLG Oldenburg, 19.04.2024, Az. 13 U 59/23, 13 U 79/23, 13 U 60/23: Kein Schadensersatz bei Scraping von Telefonnummern. Quelle
- OLG Köln, 07.12.2023, Az. 15 U 67/23: Scraping aufgrund eines Datenlecks auf einer Social-Media-Plattform. Quelle
- OLG Hamburg, 10.01.2024, Az. 13 U 70/23: 4.000 Euro immaterieller Schadensersatz wegen unberechtigter Datenweitergabe. Quelle
- OLG Dresden, 20.02.2024, Az. 4 U 1634/23: Schadensersatz bei unberechtigter Datenverarbeitung durch Arbeitgeber. Quelle
- OLG Dresden, 09.04.2024, Az. 4 U 213/24: Schadensersatz bei Veröffentlichung personenbezogener Daten im Internet. Quelle
- OLG Hamm, 20.01.2023, Az. 11 U 88/22: Kein Schadensersatz bei Datenleck ohne konkrete Beeinträchtigung. Quelle
- OLG Hamm, 15.08.2023, Az. 7 U 19/21: Darlegungs- und Beweislast bei Datenschutzverstößen. Quelle
- OLG Stuttgart, 03.04.2023, Az. 2 U 34/21: Schadensersatz bei nachgewiesener Beeinträchtigung des Wohlbefindens durch Datenschutzverletzung. Quelle
- OLG Düsseldorf, 15.05.2023, Az. I-20 U 40/21: Ersatzfähiger Schaden bei Verlust der Kontrolle über sensible Gesundheitsdaten. Quelle
- OLG Frankfurt, 22.06.2023, Az. 1 U 152/20: Kein Anspruch bei technischem Fehler ohne Nachweis eines konkreten Schadens. Quelle
- OLG München, 07.07.2023, Az. 18 U 2737/21: Kein Schadensersatz bei bloßer Befürchtung eines Datenmissbrauchs ohne konkrete Anhaltspunkte. Quelle
- OLG Hamburg, 14.09.2023, Az. 3 U 43/20: Geringfügiger immaterieller Schaden bei unberechtigter Weitergabe von E-Mail-Adressen. Quelle
- OLG Köln, 03.11.2023, Az. 6 U 58/23: Rechtswidrigkeit der Datenübermittlung an Google LLC in die USA. Quelle
- OLG Köln, 08.07.2022, Az. 20 U 75/21: Datenschutz beim Betrieblichen Eingliederungsmanagement. Quelle
- OLG Celle, 20.05.2022, Az. 13 U 406/21: Auslegung der Rechte auf Auskunft und Kopie nach Art. 15 DSGVO. Quelle
- OLG Frankfurt, 24.01.2022, Az. 1 U 369/19: Schadensersatz bei unrechtmäßiger Datenverarbeitung durch Auskunftei. Quelle
- OLG Düsseldorf, 16.12.2021, Az. I-16 U 264/20: Datenschutzrechtliche Anforderungen an Einwilligungserklärungen. Quelle
Diese Entscheidungen zeigen, dass die Gerichte eine differenzierte Betrachtung vornehmen und die Umstände des Einzelfalls genau prüfen. Für Unternehmen und Betroffene bleibt das Thema Schadensersatz bei Datenschutzverletzungen somit weiterhin komplex und rechtlich anspruchsvoll.