Auf einen Blick: Relevante Entscheidungen des EuGH zum Datenschutzrecht

Die Entscheidung des EuGH betrifft vordergründig den Umfang von Bereitstellungspflichten bei der Datenüberlassung durch die Automobilindustrie. In diesem Zusammenhang setzt sich das Urteil am Rande mit dem Begriff des relativen Personenbezugs auseinander – und betrifft somit auch eine zentrale datenschutzrechtliche Fragestellung. Diese ist deshalb so praxisrelevant, da in verschiedenen Konstellationen ein Datum für eine Organisation A ein personenbezogenes Datum darstellen kann, für eine Organisation B hingegen nicht.

Der EuGH urteilte auf Vorlage des LG Köln, dass Fahrzeughersteller auch unabhängigen Wirtschaftsakteuren Fahrzeug-Identifizierungsnummern (FIN) zur Verfügung stellen müssen. Das Unionsrecht verpflichtet Fahrzeughersteller unabhängigen Wirtschaftakteuren, also Akteure, die selbst keine Reparaturbetriebe sind (etwa Ersatzteilhändler), Zugang zu Reparatur- und Wartungsinformationen zu verschaffen. Das Landgericht wollte vom EuGH wissen, ob es sich bei der Übermittlung der FIN um eine rechtliche Pflicht im Sinne von Art. 6 Abs. 1 lit. c DSGVO handelt. Implizit wurde insoweit auch die Frage aufgeworfen, ob die FIN ein personenbezogenes Datum im Sinne des Art. 4 Nr. 1 DSGVO darstellt, d.h. ob sie sich auf eine identifizierte oder identifizierbare natürliche Person bezieht. Im vorliegenden Fall war dabei in erster Linie entscheidend, nach welchen Kriterien die Identifizierbarkeit zu beurteilen ist. Grundsätzlich ist eine natürliche Person dann identifizierbar, wenn sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung, identifiziert werden kann. Bei der FIN handelt es sich um einen alphanumerischen Code, den der Hersteller einem Fahrzeug zu dessen einwandfreier Identifikation zuweist. Da der Code damit zunächst nicht die Zuordnung zu einer natürlichen Person ermöglicht, ist ein möglicher Personenbezug augenscheinlich verneinbar. Die FIN ist jedoch auch Bestandteil der Zulassungsbescheinigung eines Fahrzeugs, die weitere – personenbezogene – Daten zu dem jeweiligen Fahrzeughalter enthält. Folglich kann unter Zuhilfenahme ergänzender Informationen durchaus eine natürliche Person identifiziert werden. Ob die FIN ein personenbezogenes Datum darstellt, hängt also davon ab, ob im konkreten Fall zusätzliche Informationen vorliegen, die einen solchen Rückschluss ermöglichen. Dies kann von Situation zu Situation unterschiedlich bewertet werden.

In diesem Sinne erfolgt auch die Einordnung durch den EuGH: Personenbezogene Daten liegen demnach nur dann vor, sofern derjenige, der Zugang zu den fraglichen Informationen hat, über Mittel verfügen könnte, die es ihm ermöglichen die Informationen einer natürlichen Person zuzuordnen.

Daten wie die FIN stellen zunächst keine personenbezogenen Daten dar. Sie können jedoch dann als solche betrachtet werden, wenn die diejenigen, gegenüber denen sie offengelegt werden, vernünftigerweise über die Mittel verfügen, die Daten einer natürlichen Person zuzuordnen. Dafür müssen auch Beziehungen des Verantwortlichen zu einem Dritten mit weiteren Kenntnissen berücksichtigt werden, die schlussendlich zu einem Personenbezug führen können. Der EuGH lässt insofern offen, ob es sich bei diesem Dritten um eine natürliche oder juristische Person handeln kann. Denkbar sind somit auch Konstellationen, in denen die relative Anonymität eines Datums auch innerhalb einer Unternehmensgruppe bejaht werden könnte. Dies betrifft beispielsweise Fälle, in denen nur einzelne natürliche oder juristische Personen über die zur Identifizierung notwendigen Mittel verfügen.

Die Entscheidung betrifft schließlich auch die datenschutzrechtliche Rechtmäßigkeit der Bereitstellung der FIN. Sofern diese im konkreten Fall ein personenbezogenes Datum darstellt, handelt es bei den unionsrechtlichen Bestimmungen zur Übermittlung der FIN um eine rechtliche Verpflichtung nach Art. 6 Abs. 1 lit. c DSGVO. Die Bereitstellung der FIN gegenüber unabhängigen Wirtschaftsakteuren ist danach datenschutzrechtlich zulässig.

Wesentliche Schlussfolgerungen aus der Entscheidung: Das Urteil unterstreicht die Notwendigkeit, nicht nur den Inhalt, sondern auch die möglichen Mittel zur Identifizierung von Daten zu berücksichtigen. Bei der Prüfung sind nicht alle theoretisch denkbaren Mittel, sondern nur die bei vernünftiger Betrachtung auch wirklich verfügbaren Mittel einzubeziehen (siehe Erwägungsgrund 26 DSGVO). Dies kann zu dem Ergebnis führen, dass Daten für eine Organisation personenbezogene Daten darstellen, für eine andere Organisation jedoch gerade nicht. Die Auswirkungen des Urteils reichen somit weit über den Automobilbranche hinaus und berühren grundlegende Fragen zur Bewertung des Personenbezugs von Daten.

Am 7. Dezember 2023 verkündete der EuGH seine lang erwartete Entscheidung im SCHUFA-Verfahren. Das Gericht hatte sich unter anderem zur Rechtmäßigkeit des durch die deutsche Wirtschaftsauskunftei betriebenen Scorings im Hinblick auf Art. 22 DSGVO beschäftigt. Hintergrund waren mehrere Rechtssachen aus Deutschland, die dem EuGH im Vorabentscheidungsverfahren durch das Verwaltungsgericht Wiesbaden vorgelegt wurden. Im Ergebnis entschied der EuGH, dass das von der SCHUFA betriebene Scoring bereits eine Entscheidung i.S.d. Art. 22 Abs. 1 DSGVO darstelle und zudem wohl regelmäßig unzulässig sei; die ebenfalls bislang betriebene Speicherung über die Erteilung einer Restschuldbefreiung in seiner aktuellen Länge von 3 Jahren stünde zudem vollständig im Widerspruch zur DSGVO.

Ausgangsverfahren

Im ersten dem EuGH vorgelegten Fall (Rechtssache C-634/21) wurde dem Kläger die Gewährung eines Kredits verwehrt, anschließend beantragte er bei der SCHUFA die Löschung eines Eintrags sowie Zugang zu den ihn betreffenden Daten. Nachdem die SCHUFA dem Betroffenen lediglich seinen Score-Wert sowie allgemeine Informationen zu dessen Berechnung mitteilte, erhob dieser Beschwerde beim zuständigen Hessischen Beauftragten für Datenschutz und Informationsfreiheit: dieser wurde allerdings nicht tätig, da die Verfahrensweisen der SCHUFA den Voraussetzungen des § 31 BDSG, der die Zulässigkeit von Scoring unter bestimmten Voraussetzungen bestimmt, entsprächen. Der Betroffene klagte vor dem VG, dieses legte den Fall dem EuGH vor und stellte hier unter anderem die Frage, ob es sich bei der Vorgehensweise der SCHUFA um eine (unzulässige) Verarbeitung im Sinne des Art. 22 DSGVO handele.

Der zweite dem EuGH vorgelegte Fall (Rechtssachen C-26/22 und C-64/22) des Verfahrens befasste sich mit der Speicherung von Informationen über die Restschuldbefreiung nach einer Insolvenz: Insolvenzgerichte machen dies grundsätzlich öffentlich, entsprechende Informationen werden allerdings nach Ablauf von 6 Monaten gelöscht. Die SCHUFA allerdings speicherte entsprechende Daten, den Verhaltensregeln der deutschen Wirtschaftsauskunfteien folgend, für 3 Jahre.

Bereits der Generalanwalt Priit Pikamäe hatte sich in seinen Schlussanträgen gegen das Scoring der SCHUFA ausgesprochen, die Erstellung von Score-Werten für die Kreditwürdigkeit verstoße gegen die DSGVO und stelle bereits als solche eine nach Art. 22 DSGVO verbotene automatisierte Entscheidung dar. Die SCHUFA hatte bislang zugunsten des eigenen Geschäftsmodells argumentiert, die in Frage stehenden Entscheidungen würden nur von der jeweiligen Bank und nicht von der SCHUFA selbst getroffen werden. Der Generalanwalt legte zudem dar, dass die SCHUFA Daten aus Registern der Insolvenzgerichte nicht länger speichern als die Verzeichnisse selbst speichern dürfe.

Urteil

Der EuGH traf im Kern folgende Aussagen und schloss sich damit weitestgehend den Schlussanträgen des Generalanwalts an:

• Rechtssache C-634/21
  o Rn. 46: Bereits die Zuschreibung einer Bonität („das Ergebnis der Berechnung der Fähigkeit einer Person zur Erfüllung künftiger Zahlungsverpflichtungen in Form eines Wahrscheinlichkeitswerts“) könne vom Begriff der Entscheidung nach Art. 22 DSGVO umfasst werden
  o Rn. 48 ff.: Das von der SCHUFA betriebene Scoring sei im Ergebnis als eine von Art. 22 DSGVO grundsätzlich verbotene „automatisierte Entscheidung im Einzelfall“ anzusehen, sofern das Scoring wie in der vorgelegten Rechtssache bei der Entscheidung z.B. über die Gewährung eines Kredits eine „maßgebliche Rolle“ spiele
  o Rn. 56: Wirtschaftsauskunfteien treffen hinsichtlich der Arbeitsweise ihres Scoring-Algorithmus Informationspflichten nach Art. 14 Abs. 2 lit. e und f DSGVO, sprich entsprechende Informationen müssen proaktiv bereitgestellt werden
  o Rn. 64: Das von der SCHUFA betriebene Scoring sei nach Art. 22 Abs. 1 DSGVO grundsätzlich verboten, wenn nicht eine der in Art. 22 Abs. 2 DSGVO genannten Ausnahmen anwendbar und die Anforderungen des Art. 22 Abs. 3, 4 DSGVO erfüllt seien
  o Rn. 71, 72: Nur § 31 BDSG könne eine solche Rechtsgrundlage i.S.d. Art. 22 Abs. 21 lit. b DSGVO und damit eine Ausnahme von Art. 22 Abs. 1 DSGVO darstellen; die entsprechende Qualifizierung sei durch das VG Wiesbaden zu prüfen, da das VG Wiesbaden „bezüglich der Vereinbarkeit des § 31 BDAG mit dem Unionsrecht […] durchgreifende Bedenken“ hege.
• Rechtssachen C-23/22 und C-64/22
  o Rn. 91: Die Frage der Rechtmäßigkeit der zeitlich parallelen „Vorratsdatenspeicherung“ im Register und bei der SCHUFA sei durch das vorlegende Gericht zu beurteilen
  o Rn. 99: Private Auskunfteien dürfen nach der Entscheidung des EuGH Daten über eine Restschuldbefreiung allerdings nicht länger speichern als die öffentlichen Insolvenzregister, aus denen sich diese Informationen speisen; eine entsprechende Speicherung könne nicht auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden
  o Rn. 100: Auch die parallele Speicherung greife allerdings ebenso wie die Speicherung über 3 Jahre in Art. 7 und 8 der Charta der Grundrechte der Europäischen Union ein
  o Rn. 106 ff.: Art. 17 Abs. 1 lit. d DSGVO sei dahin auszulegen, dass die SCHUFA die unrechtmäßig verarbeiteten Daten unverzüglich löschen müsse; dies gelte entsprechend auch bei einem Widerspruch gegen eine nicht schutzwürdigen Gründen i.S.d. Art. 21 Abs. 1 S. 2 DSGVO unterfallende Verarbeitung

Fazit

Die Entscheidung in der Rechtssache C-634/21 schiebt der bisherigen Scoring-Praxis der SCHUFA unter Heranziehung des Art. 22 DSGVO vorläufig einen Riegel vor, für eine Großzahl der Kunden der SCHUFA wird der durch sie bereitgestellte Scoring-Wert wohl eine „maßgebliche Rolle“ (Rn. 50) bei der Entscheidung über einen Vertragsschluss mit betroffenen Personen sein.
Fraglich ist zudem, ob sich die in den Rechtssachen C-23/22 und C-64/22 getroffene Entscheidung tatsächlich nur auf Daten aus dem öffentlichen Insolvenzregister beschränkt. Private Wirtschaftsauskunfteien werden wohl prüfen müssen, ob andere durch sie gespeicherte Negativdaten wie verspätet gezahlte Rechnungen tatsächlich so lange aufbewahrt werden dürfen, wie dies bislang Praxis ist.

Am 14.12.2023 verkündete der EuGH sein mit Spannung erwartetes Urteil in der Rechtssache Natsionalna agentsia za prihodite (NAP). Das Urteil befasst sich mit der Beurteilung von Schadensersatzansprüchen bei Cyberattacken und ist für die datenschutzrechtliche Praxis dadurch hochrelevant. Schwerpunkte sind der Beurteilungsmaßstab für die Überprüfung geeigneter technisch-organisatorischer Maßnahmen (TOM), die Beweislastverteilung im Falle eines Cyberangriffs und die Reichweite des immateriellen Schadensbegriffs.

Ausgangsverfahren

Die NAP ist die bulgarische nationale Agentur für Einnahmen und als solche dem bulgarischen Finanzminister unterstellt. Am 15.07.2019 wurde öffentlich, dass die NAP Ziel eines Cyberangriffs war, infolgedessen personenbezogene Daten von Millionen Menschen im Internet veröffentlicht wurden. Viele der Betroffenen forderten Schadensersatz nach Art. 82 DSGVO mit Verweis auf die Befürchtung eines möglichen Missbrauchs ihrer personenbezogenen Daten. Im Ausgangsverfahren lehnte das Verwaltungsgericht der Stadt Sofia den Anspruch einer Betroffenen gegen die NAP ab. Der unbefugte Zugriff auf die personenbezogenen Daten sei zum einen auf einen von Dritten begangenen Hackerangriff zurückzuführen. Die Klägerin habe zudem nicht nachgewiesen, dass die NAP es unterlassen habe, Sicherheitsmaßnahmen zu ergreifen. Darüber hinaus sei ihr durch die genannten Befürchtungen noch kein ersatzfähiger immaterieller Schaden entstanden. Die Klägerin legte daraufhin Kassationsbeschwerde beim Obersten Verwaltungsgericht (Bulgarien) ein. Da es sich bei den aufgeworfenen datenschutzrechtlichen Aspekten um unionsrechtliche Auslegungsfragen handelt, legte das Oberste Verwaltungsgericht diese dem EuGH zur Klärung vor.

Ist die unbefugte Offenlegung von Daten ein Indiz für unzureichende Schutzmaßnahmen des Verantwortlichen?

Im Rahmen der ersten Vorlagefrage musste sich der EuGH mit der Frage beschäftigen, ob bereits die unbefugte Offenlegung bzw. der unbefugte Zugang durch Dritte ausreicht, um geeignete TOM des Verantwortlichen zu verneinen. Dies hat der EuGH verneint. Die DSGVO verlange nicht, dass durch TOM das Risiko einer Verletzung des Schutzes personenbezogener Daten komplett beseitigt werde. Die Art. 24 und 32 DSGVO legen vielmehr einen Rahmen fest, anhand dessen die Geeignetheit von TOM im Einzelfall zu messen ist. Die in Art. 24 Abs. 1 DSGVO genannten Kriterien (beispielsweise Art und Umfang der Verarbeitung, Eintrittswahrscheinlichkeit und Schwere der Risiken) setzen gerade eine individuelle Beurteilung der Geeignetheit solcher Maßnahmen voraus. Auch Art. 32 DSGVO garantiert keinen absoluten Schutz personenbezogener Daten, sondern fordert ein angesichts der spezifischen Verarbeitungsrisiken, dem Stand der Technik und der Implementierungskosten angemessenes Schutzniveau. Ob diese Maßnahmen schließlich dem gesetzlich geforderten Rahmen entsprechen, ist stets Gegenstand einer konkreten Bewertung.

Wer trägt die Beweislast für die Geeignetheit der TOM?

Die Frage nach der Beweislast bei Ansprüchen nach Art. 82 DSGVO war auch hierzulande umstritten. Nach dem Im deutschen Zivilprozessrecht geltenden Beibringungsgrundsatz, muss jede Prozesspartei die für sie günstigen Tatsachen darlegen und beweisen. Entsprechend wurde vertreten, dass die betroffene Person die Ungeeignetheit der TOM beweisen müsse. Diese Ansicht stand jedoch in einem Spannungsverhältnis zu der Rechenschaftspflicht des Verantwortlichen (Art. 5 Abs. 2 DSGVO) wonach dieser die Einhaltung zahlreicher Pflichten, wie etwa geeignete TOM, nachweisen können muss. Zudem haben betroffene Personen üblicherweise keinen Einblick in die unternehmensinterne Verarbeitung und sind insofern nicht in der Lage, Aussagen zur (Un)Geeignetheit der TOM zu tätigen. Der EuGH hat nun diese Beweislastverteilung zugunsten der betroffenen Person bestätigt. Im Rahmen einer auf Art. 82 DSGVO gestützten Klage muss der Verantwortliche gegebenenfalls beweisen, dass seine TOM geeignet im Sinne des Art. 32 DSGVO waren. Nach wie vor muss die betroffene Person zunächst einen DSGVO-Verstoß belegen. Im Falle eines Cyber-Angriffs dürfte künftig aber eine Vermutung bestehen, dass unzureichende TOM den Angriff ermöglicht haben und es sodann dem Verantwortlichen obliegen, diese Vermutung zu widerlegen.

Ist der Verantwortliche von der Haftung befreit, weil der Schaden durch „Dritte“ entstanden ist?

Der EuGH stellt dahingehend klar, dass der Verantwortliche sich nicht grundsätzlich durch den Verweis auf das rechtswidrige Dazwischentreten Dritter von der Haftung befreien kann. Art. 82 Abs. 3 DSGVO verlange dem Verantwortlichen den Nachweis ab, dass dieser in keinerlei Hinsicht den Umstand, durch den der betreffende Schaden eingetreten ist, zu verantworten hat. Der Verantwortliche muss somit beweisen, dass zwischen seiner (etwaigen) Pflichtverletzung und dem entstandenen Schaden kein Kausalzusammenhang besteht. Damit ergibt sich folgender Maßstab: Ist der Schaden der betroffenen Person die Folge eines unbefugten Zugriffs durch Dritte, muss der Verantwortliche nachweisen, dass ihm dies nicht zugerechnet werden kann. Dies kann durch den Nachweis der Einhaltung geeigneter TOM erfolgen, muss sich jedoch nicht zwangsläufig darin erschöpfen. Die Nachweispflicht bezieht sich vielmehr auf alle Umstände, die zu dem rechtswidrigen Zugriff durch die Dritten geführt haben.

Kann bereits die Sorge vor einem Missbrauch der personenbezogenen Daten einen immateriellen Schaden darstellen?

Mit Fragen des immateriellen Schadensersatzes nach Art. 82 DSGVOI hatte der EuGH sich bereits im Urteil vom 04.05.2023, Az. C‑300/21, „Österreichische Post“ beschäftigt. In einer folgerichtigen Fortsetzung seiner Rechtsprechung hat der EuGH nun entschieden, dass Sorgen und Befürchtungen für sich genommen bereits einen immateriellen Schaden im Sinne des Art. 82 DSGVO begründen können. Die Ansicht, dass eine spürbare, also über reine Besorgnis hinausgehende, Beeinträchtigung des Betroffenen erforderlich sei, lehnt der EuGH ab. Aus Sicht des EuGH bieten der Wortlaut und die Ziele der DSGVO jedoch keine Anhaltspunkte, die eine solche grundsätzliche Beschränkung rechtfertigen würden. Art. 82 Abs. 1 DSGVO schließe nicht aus, dass bereits die Befürchtung einer missbräuchlichen Verwendung als immaterieller Schaden zu qualifizieren sei. Dies entspreche auch dem gesetzgeberisch gewollten weiten Schadensbegriff. Erwägungsgrund 85 der DSGVO ergebe zudem, dass bereits der bloße Kontrollverlust über die eigenen Daten einen Schaden darstellen könne. Schließlich sei eine solche Eingrenzung auch nicht mit dem durch die DSGVO verfolgten Ziel eines unionsweit gewährleisteten hohen Datenschutzniveaus vereinbar. Der EuGH weist jedoch darauf hin, dass die betroffene Person den Schaden im Hinblick auf die konkrete Situation begründet darlegen und beweisen muss. Ein pauschaler Verweis auf mögliche Sorgen genügt somit auch zukünftig nicht für die Begründung eines Anspruchs nach Art. 82 DSGVO.

Ist ein gerichtliches Sachverständigengutachten generell notwendig zur Bewertung der Geeignetheit von TOM?

Der EuGH verweist zunächst darauf, dass die Modalitäten der Rechtsbehelfe durch die Mitgliedstaaten festgelegt werden, wobei die unionsrechtlichen Äquivalenz- und Effektivitätsgrundsätze zu beachten seien. Mit Blick auf den Effektivitätsgrundsatz verneint der EuGH die generelle Notwendigkeit eines Sachverständigengutachtens. Die Wahrung der Betroffenenrechte, insbesondere das Recht auf einen wirksamen gerichtlichen Rechtsbehelf nach Art. 79 Abs. 1 DSGVO, erfordert, dass ein unparteiisches Gericht eine objektive Beurteilung der Geeignetheit der Maßnahmen vornimmt. Ein Sachverständigengutachten kann dafür in Anbetracht weiterer Beweise überflüssig sein. Die generelle Anerkennung eines solchen Gutachten als „ausreichend“ könne außerdem dazu führen, dass die Geeignetheit von TOM ausschließlich daraus abgeleitet würde. Damit fände keine eigene gerichtliche Prüfung der TOM statt. Ein gerichtliches Sachverständigengutachten ist deshalb kein generell notwendiges oder ausreichendes Beweismittel, um die Geeignetheit von TOM zu beurteilen.

Fazit

Nach wie vor ist der unbefugte Zugriff durch Dritte per se noch keine Pflichtverletzung des Verantwortlichen. Eine derart enge Auslegung der Art. 24, 32 DSGVO war jedoch auch im Vorfeld nicht erwartet worden. Relevant sind dagegen die Ausführungen des EuGH zur Beweislastverteilung. Verantwortliche Stellen sind künftig prozessual in der Pflicht, gegebenenfalls die Einhaltung ihrer Pflichten aus Art. 32 DSGVO zu beweisen. Das Einhalten und die beweissichere Dokumentation der Grundsätze des DSGVO (Art. 5 DSGVO), insbesondere hinsichtlich geeigneter TOM, wird somit erneut deutlich wichtiger, da künftig auch der Ausgang von Schadensersatzklagen davon abhängen kann. Betreffend die Reichweite des immateriellen Schadens führt der EuGH seinen weiten Schadensbegriff erwartungsgemäß fort. Ob Sorgen und Befürchtungen im Einzelfall tatsächlich einen Schaden darstellen, bleibt jedoch weiter Gegenstand gerichtlicher Überprüfung und obliegt der Beweislast der betroffenen Person.

Im Verfahren „Deutsche Wohnen“ hat der EuGH endlich Grundsatzfragen zur ordnungswidrigkeitenrechtlichen Haftung von Unternehmen bei Datenschutzverstößen geklärt. Die Luxemburger Richter haben sich größtenteils den Anträgen des Generalanwalts angeschlossen, so dass die Überraschung begrenzt bleibt.

Nach der Entscheidung können Datenschutzbehörden in Deutschland und anderen EU-Staaten in Zukunft wahrscheinlich einfacher Bußgelder gegen Unternehmen verhängen, die Datenschutzverstöße begangen haben. Die Feststellung eines Datenschutzverstoßes im Unternehmen genügt gemäß der Entscheidung des EuGH grundsätzlich für eine Bußgeldverhängung, ohne dass dies einer konkreten Person zugeschrieben werden muss. Dennoch muss die Datenschutzaufsichtsbehörde dem Unternehmen weiterhin ein Verschulden (Vorsatz oder Fahrlässigkeit) nachweisen. Es ist noch unklar, welche Anforderungen in Zukunft ausreichend sein werden, um diesen Nachweis zu erbringen, sowie weitere wichtige Detailfragen sind noch offen.
Der Hauptstreitpunkt des Verfahrens, ob Unternehmen sofortig für Datenschutzverletzungen haftbar gemacht werden sollten, wurde vom EuGH zugunsten einer Verbandshaftung des betreffenden Unternehmens entschieden. In einem Nebensatz stellt der EuGH fest, dass für Geldbußen gemäß der DSGVO der kartellrechtliche Unternehmensbegriff (Art. 101, 102 AEUV) gilt. Genau genommen bedeutet dies, dass der Datenschutzverstoß nicht unbedingt von Führungskräften oder Geschäftsführern des Unternehmens begangen werden muss, wie es im deutschen Ordnungswidrigkeitenrecht vorgesehen ist (§ 30 OWiG) oder diesem als Organisationsverschulden anzulasten ist (§ 130 OWiG). Für die Bestrafung einer juristischen Person genügt es als Grundlage, dass der Verstoß von einer Person begangen wurde, die für das Unternehmen tätig war und diesem Vorsatz oder Fahrlässigkeit vorzuwerfen ist. Dies ergibt sich aus den umfangreichen Pflichten des Verantwortlichen nach der DSGVO. Er muss nicht nur angemessene und wirksame Schutzmaßnahmen für personenbezogene Daten ergreifen, sondern auch deren Rechtmäßigkeit sowie sämtliche Verarbeitungstätigkeiten nachweisen können.
Für die Bearbeitung von Daten durch einen von einem Unternehmen beauftragten Verarbeiter kann eine Geldstrafe gegen das verantwortliche Unternehmen verhängt werden, wenn ihm die Verantwortung dafür zuzuschreiben ist. Der Europäische Gerichtshof lehnt damit das sog. Rechtsträgerprinzip klar ab. Die Verhängung von Bußgeldern gemäß der DSGVO darf auch nicht davon abhängig gemacht werden, dass der Verstoß einer identifizierten natürlichen Person nachgewiesen werden muss. Die DSGVO enthalte keine Bestimmungen, wonach ein festgestellter Verstoß einer natürlichen Person zurechenbar sein müsse. Es bedarf nach Ansicht des EuGH nicht einmal der Kenntnis durch eine Leitungsperson.

Dies wirft die Frage auf, ob Unternehmen für jeden eindeutig festgestellten Verstoß („strict liability“) haftbar gemacht werden müssen. Der Europäische Gerichtshof lehnt eine solche schuldhafte Haftung ab und bezieht dabei Art. 83 Abs. 2 und 3 der DSGVO sowie deren Schutzziele mit ein. Art. 83 macht die Schuld des Verantwortlichen oder der Auftragsverarbeiter zur Bedingung für die Verhängung von Bußgeldern. Die Notwendigkeit einer absichtlichen oder fahrlässigen Verletzung schafft auch einen Anreiz, um die DSGVO einzuhalten. Aufgrund der Kohärenz und eines einheitlichen Schutzniveaus in der gesamten Union lehnt der EuGH auch die Möglichkeit ab, von diesem Schuldprinzip abweichende Regelungen auf nationaler Ebene zu erlassen. Ein entsprechender Hinweis in § 42 Abs. 2 BDSG auf das Ordnungswidrigkeitenrecht ist daher wirkungslos.

Die praktischen Auswirkungen des Urteils sind: Der Verantwortliche muss die Rechtmäßigkeit der Datenverarbeitung – möglicherweise auch durch einen Auftragsverarbeiter – nachweisen sowie den Verstoß und das Verschulden gegenüber der Aufsichtsbehörde dokumentieren. Eine Geldstrafe kann unabhängig davon verhängt werden, wer den Verstoß begangen hat, solange die Person im Namen des Unternehmens gehandelt hat.

Diese Denkweise ist im deutschen Recht im Allgemeinen nicht üblich, da Unternehmen nicht selbst handeln, sondern durch ihre Führungskräfte handeln können. Es bleibt abzuwarten, was die deutschen Datenschutzaufsichtsbehörden in Zukunft konkret beweisen müssen, um den Beweis der Schuld zweifelsfrei zu erbringen. Im ursprünglichen Fall, der zur Entscheidung des EuGH geführt hat, muss das KG Berlin nun darüber entscheiden, ob der Staatsanwaltschaft Berlin der Nachweis der Schuld der Deutsche Wohne SE gelingt. Es ist wahrscheinlich, dass die Deutsche Wohnen SE im Falle einer schuldhaften Verletzung sprechen würde, dass sie trotz entsprechender Anweisungen durch die zuständige Datenschutzbehörde und ausreichender Zeit keine angemessene Umsetzung von Löschanforderungen gemäß DSGVO durchgeführt hat.

Ob dies ausreicht, um die Deutsche Wohnen SE zu verurteilen, bleibt abzuwarten. Die Entscheidung des EuGH wirft grundsätzliche verfassungs- und europarechtliche Folgefragen auf. Art. 49 der Charta der Grundrechte der Europäischen Union besagt beispielsweise, dass niemand für eine Handlung oder Unterlassung verurteilt werden darf, die zum Zeitpunkt ihrer Begehung nach innerstaatlichem Recht nicht strafbar war. Es ist unklar, ob und wie weit dieser Rechtsgedanke auch auf den aktuellen Fall und das Ordnungswidrigkeitenrecht angewendet werden kann, weil das Verhalten der Deutschen Wohnen SE nach § 30 OWiG nicht zurechenbar ist. Laut des EuGH soll es jedoch nicht darauf ankommen. Es bleibt abzuwarten, ob das Datenschutzrecht nach der Entscheidung sich dem Kartellrecht weiter annähern wird.

Der EuGH entschied in einem durch das OLG Düsseldorf angestrebten Vorabentscheidungsverfahren verschiedene Vorlagefragen, unter anderem zu den Kompetenzen nationaler Wettbewerbsbehörden in Bezug auf die Beurteilung datenschutzrechtlicher Fragestellungen. Hintergrund des Verfahrens vor dem OLG Düsseldorf war eine Abstellungsverfügung des Bundeskartellamtes gegen Meta Platforms, Meta Platforms Ireland und Facebook Deutschland, die unter Berufung auf Verstöße gegen die DSGVO die Ausnutzung einer marktbeherrschenden Stellung gem. §§ 19, 32 GWB feststellte. Grund der Verfügung war, dass Nutzer:innen zur Anmeldung auf Facebook sowohl den Nutzungsbedingungen als auch den Richtlinien zur Verwendung von Daten und Cookies zustimmen mussten. Diese wiederum sahen vor, dass Meta bzw. Facebook die Aktivitäten der Nutzer:innen sowohl innerhalb als auch außerhalb der Plattform trackte und diese „Off-Facebook-Daten“ bestehenden Konten zuordnete, um darauf basierend personalisierte Werbung auszuspielen. Facebook klagte gegen die Abstellungsverfügung vor dem OLG Düsseldorf.

Zusammenfassend hat der EuGH Folgendes entschieden:

1. DSGVO-Prüfung durch Wettbewerbsbehörden:
   Nationale Kartellbehörden können sich im Rahmen von wettbewerbsrechtlichen Verfahren auch auf datenschutzrechtliche Verstöße stützen, so durfte das Bundeskartellamt etwa im vorliegenden Fall den durch Meta begangenen DSGVO-Verstoß als Indiz für eine marktbeherrschende Stellung im Sinne des GWB heranziehen. Die Kartellbehörden trifft hierbei allerdings eine Pflicht zur Abstimmung mit den Datenschutzaufsichtsbehörden sowie zur Loyalität, eine rechtliche Einschätzung der Aufsichtsbehörden hat für die Kartellbehörden Bindungswirkung. Die Auferlegung datenschutzrechtlicher Sanktionen und das Treffen „verbindlicher“ Entscheidungen steht ausschließlich den zuständigen Datenschutzaufsichtsbehörden zu.
   
2. Verarbeitung besonderer Kategorien personenbezogener Daten:
   Auch etwa Log-Daten von Nutzer:innen beim Besuch von Websites oder Apps können wohl als Verarbeitung besonderer Kategorien personenbezogener Daten i.S.d. Art. 9 Abs. 1 DSGVO betrachtet werden, etwa beim Besuch von Dating- oder gesundheitsbezogenen Seiten. Konkret kann laut EuGH eine entsprechende Verarbeitung schon dann vorliegen, wenn „Daten über den Aufruf der fraglichen Websites oder Apps solche Informationen offenbaren [können], ohne dass die Nutzer dort Informationen eingeben müssten, indem sie sich registrieren oder Online-Bestellungen aufgeben“. Der bloße Besuch einer Website stellt dabei kein „offensichtliches Öffentlichmachen“ i.S.d. Art. 9 Abs. 2 lit. e DSGVO dar, damit gilt auch diese Ausnahmebestimmung des Generalverbots in Art. 9 Abs. 1 DSGVO nicht.
   
3. Art. 6 Abs. 1 lit. b, f DSGVO:
   Die Verarbeitung personenbezogener Daten für personalisierte Werbung aufgrund eines berechtigten Interesses durch Meta war in der oben beschriebenen Konstellation nicht zulässig, dies gelte trotz der Finanzierung von Facebook durch ebendiese personalisierte Werbung. Trotz der aktuellen Entscheidung bleibt die Möglichkeit personalisierter Werbung auf Basis legitimer Interessen wohl grundsätzlich weiter bestehen. Dies sollte zumindest dort gelten, wo der Verantwortliche nach sorgfältig erfolgter Interessenabwägung ein berechtigtes Interesse nachweisen kann.
   Soll eine Verarbeitung auf Art. 6 Abs. 1 lit. b DSGVO erfolgen, schärft der EuGH die Voraussetzung der „Erforderlichkeit [der Verarbeitung] für die Vertragserfüllung“ dahingehend, dass eine entsprechende Verarbeitung tatsächlich „objektiv unerlässlich“ für die Erfüllung des Vertrages sein müsse. Das Gericht macht zudem klar, dass Art. 6 Abs. 1 lit. f DSGVO keine taugliche Rechtsgrundlage für die Informierung von Strafverfolgungs- und Vollstreckungsbehörden darstellt, sofern es sich bei den Verantwortlichen um „private Wirtschaftsteilnehmer“ handelt.
   
4. Einwilligung gegenüber marktbeherrschenden Unternehmen:
   Eine Einwilligung kann grundsätzlich auch von marktbeherrschenden Unternehmen eingeholt werden, auch sie können Verarbeitungen also zumindest theoretisch auf Art. 6 Abs. 1 lit. a DSGVO stützen. Es sollte allerdings sorgfältig geprüft werden, ob die betroffene Person diese auch tatsächlich freiwillig abgeben konnte. Hierbei ist insbesondere zu berücksichtigen, dass Umstände wie das Innehaben einer „marktbeherrschenden Stellung“ dazu führen können, dass die “ betroffene Person nicht über eine echte Wahlfreiheit verfügt oder nicht in der Lage ist, ihre Einwilligung zu verweigern oder zu widerrufen, ohne Nachteile zu erleiden“.

Das heutige Urteil des Gerichtshofes der Europäischen Union (EuGH) zum Vorabentscheidungsverfahren „Österreichische Post“ (Rs. C-300/21) ist mit großer Spannung erwartet worden. Von der Entscheidung der Luxemburger Richter haben sich viele Praktiker Klarheit in Bezug auf die Anspruchsvoraussetzungen eines immateriellen Schadensersatzes nach Art. 82 DSGVO (DSGVO-Schadensersatz) erhofft. Die Frage, unter welchen Bedingungen einer betroffenen Person DSGVO-Schadensersatz zusteht, wurde auch vor deutschen Gerichten bereits kontrovers diskutiert. Der EuGH hat nun klargestellt, dass ein bloßer DSGVO-Verstoß noch keinen solchen Anspruch begründet. Zugleich sei der Zuspruch einer Entschädigung jedoch nicht davon abhängig, dass der immaterielle Schaden eine gewisse Erheblichkeit überschreite. Das Urteil kann insofern durchaus als Paukenschlag gewertet werden. Welche Auswirkungen der heutige Richterspruch zudem im Detail hat, lesen Sie im Folgenden.

EuGH-Urteil: Bedeutung der Schadensersatzansprüche bei DSGVO-Verstößen ohne Datenweitergabe

Dem Vorabentscheidungsverfahren ging ein Rechtsstreit zwischen einem österreichischen Staatsbürger und der Österreichische Post AG (Österreichische Post) voraus. Die Österreichische Post hatte diesem eine Affinität zur rechten FPÖ zugeschrieben, was der Kläger als beleidigend, beschämend und kreditschädigend empfand. Das Unternehmen erhob seit 2017 ohne Einwilligung der betroffenen Personen Informationen zu den Parteiaffinitäten der österreichischen Bevölkerung. Die ermittelten soziodemographischen Merkmale nutzte das Unternehmen, um Bürger im Wege algorithmische Hochrechnung bestimmten politischen Zielgruppen zu zuweisen. Auch der Kläger war von einer solchen – allerdings falschen – Zuordnung betroffen. Eine Weitergabe dieser Daten an Dritte erfolgte jedoch nicht. Da das Verhalten der Österreichischen Post bei ihm ein großes Ärgernis und einen Vertrauensverlust sowie ein Gefühl der Bloßstellung ausgelöst habe (inneres Ungemach), machte der Kläger einen Anspruch auf DSGVO-Schadensersatz in Höhe von 1.000€ geltend.

Kein automatischer Schadensersatz: DSGVO-Verstoß und die Bedeutung des österreichischen Schadensrechts

Das Erstgericht wies die Klage ab, dies wurde vom Oberlandesgericht Wien in der Berufung bestätigt. Aus Sicht der Instanzgerichte liege infolge der fehlenden Einwilligung zwar möglicherweise ein DSGVO-Verstoß vor. Die Daten wurden jedoch nicht weitergegeben, weshalb dem Kläger kein tatsächlicher Schaden entstanden sei. Nicht jeder Verstoß gegen die DSGVO bedinge automatisch einen Schadensersatzanspruch nach Art. 82 DSGVO. Vielmehr ergänze das österreichische Schadensrecht – vergleichbar den Anforderungen nach deutschem Recht – die DSGVO. Ersatzfähig seien nur solche Schäden, die über bloßen Ärger oder Gefühlsschaden hinausgingen und eine gewisse Erheblichkeit aufweisen würden.

EuGH beantwortet Vorlagefragen des OGH: Klärung zu DSGVO durch wegweisendes Urteil

Gegen das Urteil wurde Revision beim Obersten Gerichtshof in Österreich (OGH Österreich) eingelegt. Da – aus Sicht des OGH – entscheidungsrelevante Unklarheiten in die Auslegungskompetenz des EuGH fielen, setzte der Gerichtshof das Revisionsverfahren aus und formulierte drei Vorlagefragen. Mit seinem heutigen Urteil hat der EuGH diese wie folgt beantwortet.

Darlegung des Schadens erforderlich: EuGH präzisiert Voraussetzungen für DSGVO-Schadensersatz

Mit seiner ersten Vorlagefrage wollte der OGH klären lassen, ob ein bloßer DSGVO-Verstoß für den Zuspruch eines Schadensersatzes nach Art. 82 DSGVO ausreiche oder ein tatsächlicher Schaden eingetreten sein müsse. Der EuGH hat nun festgestellt, dass nicht jeder DSGVO-Verstoß für sich genommen einen Schadensersatzanspruch eröffnet. Der Betroffene muss einen materiellen oder immateriellen Schaden konkret darlegen können.
Die Notwendigkeit einer entsprechenden Darlegung des eingetretenen Schadens war zwar bereits bisher von einigen Instanzgerichten bejaht worden. Zum einen werde der Eintritt eines Schadens im Wortlaut von Art. 82 DSGVO ausdrücklich als Voraussetzung genannt so die Argumentation, weshalb eine gegenteilige Auslegung kaum mit dem Wortlaut der Norm in Einklang zu bringen sei. Ohne Schadenserfordernis verliere die Norm zudem ihren Ausgleichscharakter und würde zu einer reinen Sanktionsvorschrift. Im Übrigen werde der Betroffene dank weiterer Rechtsbehelfe – beispielsweise der Beschwerde – dadurch nicht schutzlos gestellt. Es gab allerdings auch durchaus gewichtige gegenläufige Tendenzen. So hat z.B. das BAG in seinem Vorlagebeschluss an den EuGH eine gegenteilige Auffassung vertreten und argumentiert, dass bereits eine Rechtsverletzung infolge eines DSGVO-Verstoßes an sich zu einem auszugleichenden immateriellen Schaden nach Art. 82 DSGVO führen würde (BAG, Beschluss v. 22.09.2022 – 8 AZR 209/21 (A)). Entsprechenden Tendenzen in der Rechtsprechung erteilt der EuGH eine klare Absage und stellt klar, dass nicht jeder Verstoß gegen die DSGVO für sich genommen einen Schadensersatzanspruch eröffnet.

Bemessung des Schadensersatzes: EuGH bestätigt Anwendung nationaler Vorschriften unter Berücksichtigung unionsrechtlicher Grundsätze

Die zweite Vorlagefrage des OGH war darauf gerichtet, welche Regeln bei der Bemessung der Schadensersatzhöhe Anwendung finden sollen. Die DSGVO selbst enthält dahingehend keine Bestimmungen. Der EuGH hat nunmehr festgestellt, dass die Bemessung nach nationalen Vorschriften zu erfolgen habe, sofern die unionsrechtlichen Grundsätze der Effektivität und Äquivalenz beachtet werden

Keine Bagatellgrenze für DSGVO-Schadensersatz: EuGH lehnt Erheblichkeitsschwelle ab und betont Notwendigkeit des Schadensnachweises

Mit seiner dritten Vorlagefrage wollte der OGH wissen, ob nationale Gerichte den Zuspruch eines DSGVO-Schadensersatzes davon abhängig machen dürfen, dass eine Konsequenz oder Folge der Rechtsverletzung von einigem Gewicht vorliegt (sog. „Bagatellgrenze“). Im Ergebnis hätte dies eine Untergrenze für geringfügige Beeinträchtigungen bedeutet. Damit wäre nicht jeder immaterielle Schaden automatisch ersatzfähig, sondern müsste eine gewisse Erheblichkeitsschwelle überschreiten. Diese Auffassung war bereits im Vorfeld heiß diskutiert und von vielen Vertretern befürwortet worden. Auch der zuständige Generalanwalt Sánchez-Bordona hatte in seinem Schlussantrag im Wege einer ausführlichen Begründung für die Möglichkeit einer Erheblichkeitsschwelle durch nationale Gerichte argumentiert.
In seinem Urteil hat der EuGH dies nun im Rahmen einer weitaus weniger umfassenden Begründung verneint. Die DSGVO erwähne keine Erheblichkeitsschwelle, zudem stünde eine solche in Widerspruch zum weiten Verständnis des unionsrechtlichen Schadensbegriffes. Zugleich gefährde eine solche Beschränkung die mit der DSGVO verfolgte Kohärenz (einheitliche Rechtsanwendung), da die graduelle Abstufung je nach Gericht unterschiedlich ausfallen könne. Eine Regelung oder Praxis nationaler Gerichte, die eine solche Erheblichkeitsschwelle vorsehe, sei mit Art. 82 DSGVO nicht vereinbar. Die betroffene Person müsste jedoch gleichwohl dennoch den Nachweis erbringen, dass die negativen Folgen eines DSGVO-Verstoßes auch tatsächlich einen immateriellen Schaden darstellen.

Mehr Rechtssicherheit bei Schadensersatzansprüchen nach Art. 82 DSGVO: EuGH-Urteil und Möglichkeiten der Abwehr von unbegründeten Forderungen

Das Urteil verschafft den Rechtsanwendern durchaus in gewichtigen, wenn auch nicht allen offenen Fragestellungen im Zusammenhang mit Art. 82 DSGVO, erheblich mehr Rechtssicherheit. Die Feststellung, dass es eines tatsächlichen Schadens bedarf, erteilt gegenläufigen Tendenzen in der Rechtsprechung einiger Gerichte (insbesondere Arbeitsgerichte) eine Absage. Betroffene müssen einen tatsächlichen immateriellen Schaden nachweisen und können sich gegenüber dem Verantwortlichen nicht lediglich auf einen DSGVO-Verstoß berufen. Der Begriff des Schadens wird jedoch leider nicht weiter umrissen. Indem der EuGH die teils von mitgliedstaatlichen Gerichten geforderte Beeinträchtigung „von einigem Gewicht“ als mit Art. 82 DSGVO unvereinbar ansieht, droht der unionsrechtliche Schadensbegriff weiterhin konturlos zu werden. In der bisherigen nationalen Rechtsprechungspraxis wurden Schadenersatzansprüche teilweise wegen Unterschreitung einer „Bagatellschwelle“ abgelehnt. Künftig dürfen Gerichte den Zuspruch eines solchen Anspruchs jedoch nicht mehr davon abhängig machen, ob der immaterielle Schaden tatsächlich erheblich ist. Grundsätzlich können somit auch geringfügige Beeinträchtigungen zu einem Anspruch des Betroffenen führen. Allerdings müssen entsprechende Beeinträchtigungen auch nach dem EuGH-Urteil konkret dargelegt werden. Floskelartige Begründungen wie der Verweis auf ein Stör- oder Unmutsgefühl dürften nicht ohne Weiteres ausreichen. Dies im Einzelfall zu entscheiden, obliegt allerdings den Gerichten der EU-Mitgliedsstaaten. In dieser Hinsicht hat das jetzige Urteil tatsächlich nicht unbedingt zu mehr Klarheit geführt.

Erfolgreiche Abwehr von Schadensersatzansprüchen: Möglichkeiten und Argumentationsspielraum im Lichte des EuGH-Urteils

Beklagte Unternehmen sollten weiterhin Forderungen nach Schadensersatzansprüchen sehr sorgfältig überprüfen. Auch im Lichte des EuGH-Urteils bieten sich nach wie vor Möglichkeiten, unbegründete Forderungen erfolgreich abzuwehren. So können viele Kläger schon den behaupteten Verstoß und auch den geltend gemachten Schaden nicht ausreichend darlegen und beweisen. Auch im Rahmen der notwendigen Ursächlichkeit des DSGVO-Verstoßes für den Schaden besteht häufig Argumentationsspielraum.

Ausblick DSGVO-Schadensersatz: Das EuGH-Urteil als Auftakt – Weitere Rechtsfragen und anhängige Verfahren

Mit der heutigen Entscheidung des EuGH ist das letzte Wort zum DSGVO-Schadensersatz noch nicht gesprochen. Das Urteil bildet vielmehr den Auftakt zur Klärung weiterer Rechtsfragen im Zusammenhang mit Art. 82 DSGVO. Mit den Vorabentscheidungsersuchen des bulgarischen Obersten Verwaltungsgerichts (VB) (Rs. C-340/21) und des LG Saarbrücken (C-741/21) sind diesbezüglich unter anderem weitere Verfahren anhängig. Der VB möchte insbesondere klären lassen, ob Sorgen und Ängste vor einem möglichen Datenmissbrauch einen immateriellen Schaden darstellen und somit zum Schadensersatz berechtigen. Das Thema bleibt somit für Verantwortliche und Betroffene gleichermaßen spannend und aktuell.