Vier Entscheidungen zu immateriellem Schadensersatz bei Datenpannen: EuGH kon­k­re­ti­siert Rahmen für DSGVO-Scha­dens­er­satz­klagen

"Bedrohung im Cyberraum so hoch wie nie zuvor" – so beschreibt das Bundesamt für Sicherheit in der Informationstechnik die Lage im Jahr 2023. Selbst wenn ein Unternehmen von Ransomware-Attacken und Cybercrime-as-a-Service verschont bleibt, lösen nicht selten interne Versehen Datenpannen aus. 2023 wurden allein in Deutschland 32.000 solche Vorfälle an die Aufsichtsbehörden gemeldet. Drohen den Opfern – neben Bußgeldern, Lösegeldforderungen und Produktionsstillstand – auch noch Wellen von Schadensersatzforderungen? 

Die Interpretation von Artikel 82 Abs. 1 DSGVO, wonach "jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist", Anspruch auf Schadensersatz hat, ist schon lange umkämpft. Seitdem mit dem Verbandsklagegesetz die prozeduralen Hürden für Massenschadensersatzklagen nochmal abgesenkt wurden, kommt insbesondere der Frage hohe Bedeutung zu, wann einer betroffenen Person im Fall einer Datenpanne eigentlich ein immaterieller Schaden entsteht. 

Von Datenpannen betroffene Personen beklagen oft ein Gefühl von Angst, Ärger, Hilflosigkeit oder Kontrollverlust, selbst wenn sich aus dem Abzug ihrer Daten keine weiteren negativen Folgen ergeben. Begründen diese Gefühle – einen Verstoß gegen die DSGVO vorausgesetzt – schon einen Anspruch auf immateriellen Schadensersatz? 

Das EuGH-Quartett 

C-300/21 – Österreichische Post; C-456/22 – Gemeinde Ummendorf

In seiner Entscheidung vom 4. Mai 2023 zur Praxis der Österreichischen Post, Daten über die vermeintliche politische Neigung von Österreichern zu kommerzialisieren, stellte der EuGH als Ausgangspunkt klar, dass nicht jeder Verstoß gegen die DSGVO automatisch zu einem Schaden führt. Wenn der Anspruchsteller jedoch einen (immateriellen) Schaden darlegen könne, dann gelte keine "Erheblichkeitsschwelle" für den Anspruch auf Ersatz dieses Schadens. Diese Auffassung bestätigte der EuGH nochmal am 14. Dezember 2023, in seiner Entscheidung über die Veröffentlichung eines ungeschwärzten Urteils durch die nunmehr unionsrechtlich verewigte Gemeinde Ummendorf. Die Kernfrage – wann liegt eigentlich ein immaterieller Schaden vor? – blieb jedoch unbeantwortet.

C-340/21 – agentsia za prihodite

In der ebenfalls am 14. Dezember 2023 verkündeten Entscheidung zu den Folgen eines Cyber-Angriffs auf die ungarische Finanzbehörde ließ der EuGH verlauten, dass auch "allein der Umstand, dass eine betroffene Person [einen Missbrauch ihrer Daten] befürchte" einen immateriellen Schaden begründen könne. 

Nun, "wer kann, der kann", aber muss er auch? Der EuGH ließ ein weiteres Mal den kritischen Punkt offen, ob bzw. in welchen Fällen bloße negative Gefühle wie Angst, Ärger, Hilflosigkeit oder Kontrollverlust einen immateriellen Schaden begründen.

Immerhin gab der EuGH noch den nationalen Gerichten auf, bei der Prüfung der Schadenswürdigkeit von "bloßen Befürchtungen" zu berücksichtigen, ob diese nach Kontext und Person "als begründet angesehen werden" können. Dies erscheint instinktiv richtig, trägt jedoch nicht unbedingt zur Klarheit bei, da subjektive Befürchtungen sich nun einmal typischerweise nicht durch ihre "objektive Begründetheit" auszeichnen. 

C-687/21 – Saturn 

Die neueste Entscheidung des EuGH zum Thema wurde am 25. Januar 2024 verkündet. Wer nun ernste Hoffnungen auf ein happy end hegt, hat wahrscheinlich nicht beruflich mit EuGH-Jurisprudenz zu tun. 

Der Entscheidung zugrunde liegt die aufregende Szene eines Saturn-Kunden, der zum Erwerb eines Elektrohaushaltsgeräts (für die Zwecke dieses Beitrags vermuten die Autoren einen Kühlschrank) einen Kauf- und Kreditvertrag erstellen und mit seinen Stamm- und Bankdaten sowie Einkünften befüllen ließ. Diese Unterlagen wurden an der Kasse jedoch versehentlich einem anderen Kunden ausgehändigt, der sich vorgedrängelt hatte. Ein engagierter Saturn-Mitarbeiter erwirkte innerhalb einer halben Stunde die Retoure von Gerät und Unterlagen an den vom Schicksal so gebeutelten Kühlschrank-Interessenten, ohne dass dessen Daten zwischenzeitlich vom Drängler zur Kenntnis genommen werden konnten. Dass der Drängler die Unterlagen vor Rückgabe kopiert habe, sei aber nicht auszuschließen, sodass der Kühlschrank-Kunde ein "Unbehagen wegen des Risikos einer künftigen missbräuchlichen Verwendung der Daten" verspüre. Dieses Unbehagen konnte auch das Angebot einer kostenlosen Lieferung des Kühlschranks nicht beseitigen. 

Der EuGH hielt an seiner bisherigen Linie und insbesondere auch daran fest, dass die begründete Befürchtung eines Datenmissbrauchs einen immateriellen Schaden "– so geringfügig er auch sein mag –" begründen könne, etwa wenn personenbezogene Daten enthaltene Dokumente an unbefugte Dritte weitergegeben werden. Einschränkend gibt der EuGH aber zu bedenken, dass "ein rein hypothetisches Risiko der missbräuchlichen Verwendung" nicht ausreicht. Ein solches, rein hypothetisches Risiko liege vor, wenn "kein Dritter die fraglichen personenbezogenen Daten zur Kenntnis genommen hat". Solange erwiesenermaßen keine Kenntnisnahme stattgefunden habe, begründe die Befürchtung des unbefugten Kopierens und Verwendens daher keinen immateriellen Schaden. 

Die Auswirkungen für Schadensersatz bei Cyber-Angriffen

Was ist nun also der aktuelle Stand? Wie sehr müssen sich Unternehmen, die von Cyber-Angriffen oder anderen Datenpannen betroffen sind, vor Wellen aus datenschutzrechtlichen Schadensersatzansprüchen fürchten? 

Das jüngste EuGH-Urteil lässt auf den ersten Blick (leicht) aufatmen. Auch wenn bloß subjektive Befürchtungen von – insbesondere in Deutschland für Datenschutzthemen (über-)sensibilisierten – betroffenen Personen theoretisch geeignet sind, Ansprüche auf immateriellen Schadensersatz zu begründen, sind die Hürden für solche Ansprüche dennoch mehr als nur kniehoch. 

Zunächst muss überhaupt ein Verstoß gegen die DSGVO vorliegen. Dass die Datensicherheitsmaßnahmen eines Unternehmens vor den Hacking-Künsten von Anonymous, BlackBasta und Co. nicht gefeit waren, bedeutet für sich genommen erst mal nichts. Stellt sich allerdings im Nachhinein beispielsweise heraus, dass das Unternehmen keine Datensicherheitsrichtlinie implementiert hat, liegt ein Verstoß näher. Dokumentation ist hier das Zauberwort, um der datenschutzrechtlichen Rechenschaftspflicht und damit der Darlegungs- und Beweislast genüge tun zu können.

Besteht ein Verstoß, muss die betroffene Person den (immateriellen) Schaden sowie die kausale Verbindung von Verstoß und Schaden darlegen. Der darzulegende Schaden muss dann mindestens in der begründeten Befürchtung eines Datenmissbrauchs liegen. Dieser Begriff ist weiterhin etwas unscharf, fällt doch die Übertragung des Saturn-Szenarios auf größere Cyber-Angriffe nicht unbedingt leicht. Dass die an den Falschen herausgegebenen Daten nicht zur Kenntnis genommen waren, konnte der EuGH dort den Feststellungen des vorlegenden Gerichts entnehmen. Wie das Amtsgericht Hagen zu diesen etwas widersprüchlich mutmaßenden Feststellungen – Kenntnisnahme ausgeschlossen, Anfertigen einer Kopie dagegen möglich – gelangen konnte, bleibt jedoch etwas nebelhaft und wird sich in anderen Fällen voraussichtlich selten wiederholen.

Werden etwa, wie bei Ransomware-Angriffen (jedenfalls bei Ablehnung einer Lösegeldzahlung) üblich, ungeordnete Datensätze einschließlich personenbezogener Daten im Deep Web veröffentlicht, ist eine Verarbeitung durch unbefugte Dritte – die Angreifer – sicher, ob es tatsächlich zu einer Kenntnisnahme kommt, ist dagegen offen. Zwar gibt es im Deep Web grundsätzlich keinen "Publikumsverkehr", doch das Risiko einer Zweitverwertung auf bekannten Leak Sites veröffentlichter Daten ist schwierig auszuschließen. Im Streitfall wird es daher maßgeblich auf die Verteilung der Beweislast ankommen. Besonders sorgfältig umzugehen ist in jedem Fall mit der Benachrichtigung von betroffenen Personen, die kontraproduktiver Weise das Risiko der Kenntnisnahme durch andere Mitbetroffene sogar erhöhen kann. 

Keine klare Prognose zur Rechtsanwendung möglich

Insgesamt scheint der EuGH keine konkretere Hilfestellung dazu geben zu wollen, ab wann eine Befürchtung des Datenmissbrauchs als "begründet" gelten kann. Damit überlässt er das Feld den nationalen Gerichten, die dies im Einzelfall prüfen müssen. So steht die Tür weit offen für eine Beeinflussung durch atmosphärische Faktoren der konkreten Umstände, die die Rechtsanwendung trotz der inzwischen vier EuGH-Urteile nur schwer vorhersehbar machen. 

In jedem Fall sollten die enormen Kosten, die ein Cyber-Angriff und dessen Bewältigung verursachen, Unternehmen dazu motivieren, ihre Cybersecurity-Maßnahmen an die aktuelle Bedrohungslage anzupassen und vor dem Hintergrund der Rechtsprechung ausführlich zu dokumentieren. Mit der Verbreitung von KI-Anwendungen und NIS2 sowie dem Cyber Resilience Act am Horizont steigen die Anforderungen an ein Cybersecurity-System, das den tatsächlichen und gesetzlichen Herausforderungen gewachsen ist, stetig an. 

Und auch die Rechtsprechungslinie des EuGH zu diesem spannenden Thema ist wohl nicht zu Ende. Wie sagte schon John Lennon: "If it`s not okay, it`s not the end." Eigentlich sagte das der brasilianische Schriftsteller Fernando Sabino, aber wenn er wegen der weitverbreiteten unrichtigen Zuschreibung des Zitats (vgl. das Richtigkeitsprinzip gemäß Art. 5(1)(d) DSGVO) immaterielle Schaden erlitten hat, hat er sie bisher nicht geltend gemacht. 

 

Moritz Stilz, LL.M. (Duke), berät als Rechtsanwalt im Bereich Cybersecurity, Digital Transformation und Compliance bei Gleiss Lutz in Stuttgart. 

Er ist sowohl in Deutschland als auch in New York als Rechtsanwalt zugelassen und hat für mehr als vier Jahre in New York als US-Litigation Associate gearbeitet.

Simon Wegmann berät als Rechtsanwalt im Bereich Datenregulatorik, insbesondere Datenschutz und Cybersecurity, bei Gleiss Lutz in Berlin. 

Er berät insbesondere Mandanten aus dem außereuropäischen Ausland und befindet sich aktuell auf Secondment bei Nagashima Ohno & Tsunematsu in Tokyo.