EuGH festigt DSGVO-Grundsätze: Klarstellung bei Haftung und Schadensersatz

Eine erste Analyse der EuGH-Urteile in den Verfahren Natsionalna agentsia za prihotide (C-340/21) und Gemeinde Ummendorf (C-456/22) vom 14. Dezember 2023.

Überblick 

Die Urteile C-340/21 und C-456/22 des Europäischen Gerichtshofs (EuGH) bieten wichtige Klarstellungen im Bereich des Datenschutzrechts unter der Datenschutz-Grundverordnung (DSGVO). Im Mittelpunkt stehen die Haftungsfragen bei Datenschutzverletzungen und die Anerkennung immaterieller Schäden. Im Urteil C-340/21 wird insbesondere geklärt, dass eine Datenschutzverletzung allein nicht ausreicht, um die Unangemessenheit der Sicherheitsmaßnahmen eines Datenverarbeiters festzustellen. Der EuGH betont, dass Gerichte eine konkrete Bewertung der Sicherheitsmaßnahmen vornehmen müssen. C-456/22 stärkt das Recht auf Schadensersatz für immaterielle Schäden, indem es die Anwendung einer Bagatellgrenze für solche Schäden ausschließt. Beide Urteile haben weitreichende Auswirkungen auf die Praxis der Datenverarbeitung in der EU und betonen die Notwendigkeit eines effektiven Datenschutzmanagements.

Auf einen Blick 

C-340/21 - Bewertung von Sicherheitsmaßnahmen

• Geeignetheitsprüfung: Der EuGH stellt klar, dass Gerichte eine konkrete Beurteilung der von Datenverarbeitern ergriffenen Sicherheitsmaßnahmen vornehmen müssen. Eine Datenschutzverletzung allein begründet nicht die Unangemessenheit dieser Maßnahmen.
• Beweislast: Die Beweislast für die Angemessenheit der Sicherheitsmaßnahmen liegt beim Datenverarbeiter.
• Haftung für Verstöße durch Dritte: Datenverarbeiter können haftbar gemacht werden, wenn unbefugter Zugang zu personenbezogenen Daten durch Dritte erfolgt, es sei denn, der Verarbeiter kann nachweisen, dass er nicht verantwortlich ist.
• Immaterieller Schaden: Die Befürchtung eines Missbrauchs personenbezogener Daten kann als immaterieller Schaden anerkannt werden.

C-456/22 - Keine Bagatellgrenze für immateriellen Schaden

• Ausschluss einer Bagatellgrenze: Art. 82 Abs. 1 DSGVO schließt die Anwendung einer Bagatellgrenze für immaterielle Schäden aus. Dies stärkt den Anspruch auf Schadensersatz für Betroffene.
• Nachweispflicht: Betroffene müssen dennoch nachweisen, dass durch die Verletzung der DSGVO ein immaterieller Schaden entstanden ist.
• Kumulative Voraussetzungen: Für einen Schadensersatzanspruch sind das Vorliegen eines Schadens, ein Verstoß gegen die DSGVO und ein Kausalzusammenhang erforderlich.

Auswirkungen und Implikationen 

Diese Urteile unterstreichen die Bedeutung einer sorgfältigen und spezifischen Bewertung von Datenschutzmaßnahmen und verstärken die Haftungsrisiken von Datenverarbeitern bei Datenschutzverletzungen. Durch das Ausschließen einer Bagatellgrenze für immaterielle Schäden bestätigt der EuGH das Recht auf Schadensersatz auch für geringfügige immaterielle Beeinträchtigungen.

• Für Unternehmen: Die Urteile fordern Unternehmen auf, ihre Datenschutzstrategien zu überdenken und sicherzustellen, dass effektive Sicherheitsmaßnahmen implementiert und regelmäßig überprüft werden. Dies umfasst auch eine genaue Dokumentation und Bereitschaft, die Geeignetheit dieser Maßnahmen zu beweisen.
• Rechtliche Auswirkungen: Die Entscheidungen könnten zu einer strengeren Praxis bei der Bewertung von Datenschutzverletzungen und zu einer Zunahme von Klagen wegen immaterieller Schäden führen.
• Schulung und Bewusstsein: Unternehmen müssen in die Schulung ihrer Mitarbeiter investieren, um das Bewusstsein für Datenschutz und die Risiken von Datenschutzverletzungen zu erhöhen.

Einordnung

Die Urteile C-340/21 und C-456/22 bauen auf der bestehenden Rechtsprechung auf und bringen wichtige Klarstellungen. Im Vergleich zu früheren Entscheidungen betonen sie die Notwendigkeit einer konkreten und individuellen Bewertung von Sicherheitsmaßnahmen und die Verantwortung von Datenverarbeitern. Das Ausschließen einer Bagatellgrenze für immaterielle Schäden markiert eine deutliche Entwicklung in der EU-Rechtsprechung, welche die Rechte von betroffenen Personen bei Datenschutzverletzungen weiter stärkt. Dies zeigt eine Tendenz zu strengeren Haftungsregelungen und einer umfassenderen Anerkennung von Schäden im Kontext der DSGVO.

Prognose und Empfehlungen

• Rechtliche Anpassungen und Compliance: Unternehmen sollten ihre Datenschutzrichtlinien und -verfahren überprüfen und anpassen, um Compliance mit den neuesten rechtlichen Anforderungen sicherzustellen.
• Risikomanagement und Versicherung: Es empfiehlt sich, das Risikomanagement zu stärken und Versicherungspolicen zu überprüfen, um potenzielle Haftungsrisiken abzudecken.
• Proaktive Maßnahmen: Die Einführung proaktiver Maßnahmen zur Risikominimierung und zur Verbesserung der Sicherheit personenbezogener Daten wird zunehmend wichtig.
• Kontinuierliche Überwachung und Anpassung: Angesichts der sich entwickelnden Rechtslage und technologischen Entwicklungen sollten Unternehmen eine kontinuierliche Überwachung und Anpassung ihrer Datenschutzstrategien vornehmen.

Diese Urteile signalisieren eine verstärkte rechtliche Verantwortung und eine höhere Sensibilität für Datenschutz in der EU und werden voraussichtlich die Praxis der Datenverarbeitung und -sicherheit sowie die Rechtsprechung in Datenschutzfragen maßgeblich beeinflussen.