Newsflash – Neues vom EuGH zu Bußgeldern und Schadensersatz

Es geht Schlag auf Schlag: Der Europäische Gerichtshof hat in mehreren Verfahren wichtige Weichen in den Bereichen Bußgelder und Schadensersatz gestellt. Unsere Expert:innen geben Ihnen einen Überblick und zeigen, worauf Unternehmen jetzt achten müssen.

• Eine verschuldensunabhängige Haftung („strict liability“) kennt die DSGVO nicht. Vielmehr erfordert die Haftung eines Unternehmens nach Art. 83 DSGVO für Datenschutzverstöße von Mitarbeitern den Nachweis eines vorsätzlichen und fahrlässigen Handelns. Jedoch sind an die Annahme eines solchen Verschuldens (insbesondere Fahrlässigkeit) wohl keine zu hohen Anforderungen zu stellen.
• Verantwortliche können gemäß Art. 83 DSGVO für vorsätzliche oder fahrlässige Verstöße bestraft werden, selbst wenn die unrechtmäßige Verarbeitung durch einen Auftragsverarbeiter erfolgt (Stichwort: Gefährdungshaftung).
• Der bloße Verstoß gegen die DSGVO begründet noch keinen Schadensersatzanspruch, es muss ein Kausalzusammenhang zwischen Schaden und Verstoß bestehen. Allerdings ist Schadensersatz für immaterielle Schäden auch bei geringfügigen Beeinträchtigungen möglich, es gibt keine Bagatellgrenze.
• Ein erfolgreicher Cyberangriff beweist noch keine unzureichenden Sicherheitsmaßnahmen. Der Verantwortliche muss jedoch das Ergreifen geeigneter Maßnahmen nachweisen. Bloße Ängste wegen eines möglichen, aber noch nicht eingetretenen künftigen Missbrauchs personenbezogener Daten können einen immateriellen Schaden darstellen. Betroffene müssen allerdings nachweisen, dass sie tatsächlich einen emotionalen Schaden erlitten haben.

(Keine) Verschuldensunabhängige Haftung und Zurechnung von Verstößen von Mitarbeitern

In dem Vorabentscheidungsverfahren „Deutsche Wohnen SE gegen Staatsanwaltschaft Berlin (C-807/21)“ beschäftigt sich der EuGH mit den Fragen, ob (i) Unternehmen Adressaten von Bußgeldern sein können, ohne dass der Verstoß einer natürlichen Person zugerechnet werden muss und ob (ii) hinsichtlich des Verstoßes Vorsatz oder Fahrlässigkeit vorliegen muss oder ob ein rein objektiver Verstoß gegen eine Verpflichtung aus der DSGVO genügt.

Der Generalanwalt Campos Sánchez-Bordona geht in den Schlussanträgen vom 27. April 2023 davon aus, dass Unternehmen die Folgen von Verstößen gegen die DSGVO grundsätzlich nicht nur zu tragen haben, wenn diese von Vertretern, Leitern oder Geschäftsführer begangen wurden, sondern auch wenn die Verstöße auf das Verhalten von Mitarbeitern im weiteren Sinne zurück zu führen sind. Entsprechendes Verhalten der Mitarbeiter, die unter der Aufsicht der Leitungsorgane stünden, sei auf eine unzureichende Kontrolle und Überwachung zurückzuführen und sei bereits deshalb dem Unternehmen zurechenbar.

Allerdings bestehe keine verschuldensunabhängige Verantwortlichkeit in dem Sinne, dass eine Sanktion bereits wegen eines nicht schuldhaften Pflichtverstoßes verhängt werden könne. Vielmehr sei die Feststellung eines vorsätzlichen oder fahrlässigen Verhaltens erforderlich. Allerdings weist der Generalanwalt ausdrücklich darauf hin, dass die Grenze zwischen den unterschiedlichen Schuldformen und einer objektiven Verantwortlichkeit nicht immer trennscharf gezogen werden könne. So könne beispielsweise in der Nichtbeachtung einer Rechtsvorschrift bereits Fahrlässigkeit liegen, wenn der Handelnde wissen musste, welches Handeln von ihm verlangt werde. Dies deutet auf ein weites Verständnis des Verschuldensbegriffes hin. Trotz ablehnender Haltung gegenüber der pauschalen Annahme einer verschuldensabhängigen Verantwortlichkeit, sind nach dem Generalanwalt wohl an die Annahme eines Verschuldens (insbesondere Fahrlässigkeit) keine zu hohen Maßstäbe zu setzen. Tatsächlich wird die Nichtkenntnis oder Fehlanwendung einer Norm – sog. Rechtsirrtum – nur sehr selten zu entschuldigen sein.

Die Schlussanträge stellen zwar noch kein endgültiges Urteil dar, sie bieten aber wichtige Orientierung für die Auslegung und Anwendung der DSGVO.

Auswirkungen auf die Praxis

Die Schlussanträge enthalten für die Praxis im Wesentlichen keine Überraschungen. Die unmittelbare Haftung von Unternehmen für Datenschutzverstöße, ohne dass hierfür auf die handelnden Personen abgestellt werden muss, ist keine neue Feststellung, sondern folgt unmittelbar aus Art. 83 DSGVO selbst.

Wenn der EuGH den Schlussanträgen folgt und sich gegen eine verschuldensunabhängige Haftung ausspricht, werden sich zukünftige Verfahren mit der Schuldthematik befassen müssen. Dann wird jedenfalls mit Blick auf die Strafzumessung anhand konkreter Fälle zu klären sein, welche Anforderungen an Fahrlässigkeit und Vorsatz zu stellen sind.

Um dem Vorwurf des fahrlässigen Handelns – gerade mit Blick auf fehlende Kontrolle und Überwachung der Mitarbeiter – entgegenzutreten, sollten Unternehmen weiter in ihre Datenschutz-Compliance investieren. Auch die Implementierung eines Datenschutzkonzeptes sowie interner Datenschutzrichtlinien wird – vor dem Hintergrund stets des Nachweises hinreichender Kontrolle und Überwachung der Mitarbeiter – mehr und mehr vom „nice to have“ zum „must have“.

Verantwortliche haften für unrechtmäßige Verarbeitung durch Auftragsverarbeiter

Weiter hat sich der EuGH in dem Vorabentscheidungsverfahren „Nacionalinis visuomenės sveikatos centras (C-683/21)“ hinsichtlich der Anwendung von Art. 83 DSGVO mit der Frage zu beschäftigt, ob gegen einen für die Verarbeitung Verantwortlichen, der nicht vorsätzlich oder fahrlässig gegen die Vorschriften der DSGVO verstoßen hat, auf der Grundlage der Gefährdungshaftung eine Geldbuße verhängt werden kann.

Generalanwalt Emiliou bestätigt die Auffassung seines Kollegen Campos Sánchez-Bordona: Eine Geldbuße könne nur verhängt werden, wenn der Verstoß „vorsätzlich oder fahrlässig“ begangen wurde (siehe Schlussanträge in Sachen „Deutsche Wohnen“). Weiter führt der Generalanwalt Emiliou in den Schlussanträgen vom 4. Mai 2023 aus, dass gegen einen für die Verarbeitung Verantwortlichen eine Geldbuße verhängt werden könne, auch wenn die rechtswidrige Verarbeitung von einem Auftragsverarbeiter vorgenommen wird. Diese Möglichkeit bestehe, solange nachgewiesen wird, dass der Auftragsverarbeiter im Auftrag des für die Verarbeitung Verantwortlichen handelt. Verarbeitet der Auftragsverarbeiter jedoch personenbezogene Daten außerhalb oder entgegen den rechtmäßigen Weisungen des für die Verarbeitung Verantwortlichen und verwendet der Auftragsverarbeiter die erhaltenen personenbezogenen Daten für seine eigenen Zwecke, ohne dass eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO vorliegt, könne gegen den für die Verarbeitung Verantwortlichen keine Geldbuße nach Art. 83 DSGVO für die unrechtmäßige Verarbeitung verhängt werden.

Auswirkungen auf die Praxis

Wie bisher gilt: Augen auf bei der Partnerwahl! Bei der Auswahl der entsprechenden Dienstleister sollte das Thema Datenschutz-Compliance durchaus eine entscheidende Rolle spielen. Die bislang in der Praxis eher stiefmütterlich behandelte Möglichkeit zur Durchführung von Inspektionen (Art. 28 Abs. 3 lit. h DSGVO) beim Auftragsverarbeiter könnte angesichts der angedeuteten Gefährdungshaftung zunehmend an Bedeutung gewinnen. Entsprechend zu achten ist auf eine datenschutzkonforme Ausgestaltung der Prüfrechte in den Auftragsverarbeitungsvereinbarungen.

Immaterielle Schäden: Kausalzusammenhang nötig, aber keine Bagatellgrenze

Im Verfahren „Österreichische Post AG (C-300/21)“ begehrte ein Betroffener immateriellen Schadensersatz für eine erlittene Unannehmlichkeit, nachdem die Österreichische Post AG ihm im Rahmen einer Ermittlung der Parteiaffinität der Bevölkerung fälschlicherweise eine Sympathie zu einer bestimmten politischen Partei unterstellt hatte. Nachdem zwei Instanzen die Klage abwiesen, legte der Oberste Gerichtshof dem EuGH verschiedene Fragen zur Klärung vor.

Der EuGH entschied, dass der bloße Verstoß gegen die DSGVO keinen Schadensersatzanspruch begründet und hat damit einen Strafschadensersatz abgelehnt. Der Schadensersatzanspruch sei vielmehr an drei Voraussetzungen gebunden: (i) Einen Verstoß gegen die DSGVO, (ii) das Vorliegen eines materiellen oder immateriellen Schadens und (iii) einen Kausalzusammenhang zwischen Schaden und Verstoß. Nicht jeder Verstoß gegen die DSGVO führe demnach zu einem Schadensersatzanspruch, da stets ein individueller Schaden nachgewiesen werden müsse. In seiner Entscheidung stellt der EuGH zudem fest, dass der Schadensersatzanspruch nicht auf immaterielle Schäden beschränkt ist, die eine gewisse Erheblichkeit erreichen. Es gibt also keine Bagatellgrenze. Vielmehr soll Art. 82 DSGVO alle – materiellen und immateriellen – Schäden einer Datenschutzverletzung erfassen, so dass bereits ein Unbehagen des Betroffenen einen ersatzfähigen Schaden begründen kann. Die Höhe und konkrete Ausgestaltung des Schadensersatzes kann nach nationalem Recht erfolgen, so dass neben einem rein finanziellen Ausgleich z.B. auch ein Anerkenntnis der Rechtsverletzung oder die Abschöpfung eines unrechtmäßig erzielten Gewinns in Betracht kommen kann. Entscheidend ist allein, dass ein finanzieller Ausgleich erfolgt, der als „vollständig und wirksam“ anzusehen ist, aber keinen Strafschadensersatz darstellt.

Auswirkungen auf die Praxis

Verantwortliche können die Entscheidung mit gemischten Gefühlen betrachten. Einerseits ist es eine Erleichterung, dass nicht jeder Verstoß gegen die DSGVO automatisch zu einem Schadensersatzanspruch des Betroffenen führt. Auch wenn es keine Bagatellgrenze (mehr) gibt, dürften unter dem Strich weniger Schadensersatzforderungen gestellt werden. Dies ist insbesondere angesichts der Praxis einiger Kläger wichtig, die bei der Feststellung (vermeintlicher) DSGVO-Verstöße reflexartig Schadensersatz fordern. Andererseits bleibt dürfte Handhabung durch die nationalen Gerichte mangels Vorgaben durch den Gerichtshof uneinheitlich bleiben. Durch das Erfordernis der Darlegung eines kausalen Schadens wird Massenabtretungen als Geschäftsmodell ausgebremst werden.

Wie bisher sollten Verantwortliche bei Schadensersatzforderungen zunächst prüfen, ob ein DSGVO-Verstoß vorliegt. Falls ein solcher tatsächlich geschehen ist, sollte nun explizit darauf geachtet werden, ob dieser ursächlich für behauptete Schäden ist.

Cyberangriff kein Beweis für unzureichende TOMs, aber Beweislast beim Verantwortlichen

Weitere Erkenntnisse zu DSGVO-Bußgeldern ergeben sich aus der Stellungnahme des Generalanwalts im Verfahren „Natsionalna agentsia za prihodite (C-340/21)“. Der dem Verfahren zugrundeliegende Sachverhalt war ein Cyberangriff gegen die bulgarische Nationale Agentur für Einnahmen (Natsionalna agentsia za prihodite), infolgedessen personenbezogene Daten von ca. 6 Millionen Bürgern, einschließlich ausländischer Bürger, im Internet veröffentlicht wurden. Darunter war auch der Kläger, welcher Schadensersatz ersuchte.

Nach Ansicht des Generalanwalts reicht das Vorliegen einer Verletzung des Schutzes personenbezogener Daten allein nicht aus, um den Schluss zu ziehen, dass die vom Verantwortlichen getroffenen technischen und organisatorischen Maßnahmen zur Gewährleistung des Datenschutzes nicht angemessen waren. Die Beurteilung der Angemessenheit dieser Maßnahmen müsse auf einer Abwägung zwischen den Interessen der betroffenen Person und den wirtschaftlichen Interessen und technischen Möglichkeiten des für die Verarbeitung Verantwortlichen unter Beachtung des allgemeinen Grundsatzes der Verhältnismäßigkeit beruhen.

Um sich von der Haftung zu befreien, muss der Verantwortliche jedoch beweisen, dass geeignete Maßnahmen ergriffen wurden und er in keiner Weise für das schadensverursachende Ereignis verantwortlich ist. Eine Zertifizierung verlagert die Beweislast auf die Betroffenen. Der Entlastungsbeweis ist für den Verantwortlichen auch möglich durch Nachweis der Einhaltung genehmigter Verhaltensweisen und Maßnahmen sowie durch die nach dem nationalen Verfahrensrecht zulässigen Beweismittel.

Auswirkungen auf die Praxis

Folgt der EuGH den Schlussanträgen des Generalanwalts, brächte auch diese Entscheidung für Verantwortliche Licht und Schatten. Zu begrüßen ist, dass keinen Automatismus zwischen Vorfall und Schadensersatzansprüchen gibt. Angesichts der Tatsache, dass es keine 100% Sicherheit gegen Cyberangriffe gibt, wäre in solchen Fällen die Annahme eines DSGVO-Verstoßes unangemessen und hochproblematisch für alle Unternehmen, die sich nach Kräften um Compliance bemühen. Da allerdings im Grundsatz die volle Beweislast für die Einhaltung geeigneter Sicherheitsvorkehrungen beim Verantwortlichen liegt, sollten diese regelmäßig überprüft und lückenlos dokumentiert werden. Der Rückgriff auf Zertifizierungen kann sinnvoll sein.

Die jüngsten Entwicklungen im Bereich Bußgeldverfahren und Schadensersatz verdeutlichen die Notwendigkeit, dass Unternehmen und Behörden ihre Datenschutzpraktiken sorgfältig prüfen und sicherstellen, dass sie die Anforderungen der DSGVO und anderer einschlägiger Vorschriften erfüllen. Dies schließt nicht nur die Umsetzung angemessener technischer und organisatorischer Maßnahmen ein, sondern auch die Berücksichtigung der Rechte von betroffenen Personen und die Einhaltung von Transparenz- und Offenlegungspflichten.