Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

24. Juni 2024

Sind Datenlecks gar nicht so schlimm?

Datenleck
Bild: ©amgun / iStock / Getty Images Plus
5,00 (2)
Inhalte in diesem Beitrag
DSGVO-Schadensersatz
Viele deutsche Gerichte versuchen, Ansprüche auf Schadensersatz nach der DSGVO möglichst auszubremsen. Dieser Eindruck entsteht, wenn man die einschlägige Rechtsprechung verfolgt. Der Europäische Gerichtshof (EuGH) hat jetzt aber erneut klargestellt: Wer einen Schaden erlitten hat, muss auch Schadensersatz bekommen.

➧ Es geht um eine beliebte App für Wertpapierhandel

Scalable Capital GmbH ist ein deutsches Unternehmen, das eine Trading App betreibt. Die App dient dazu, Wertpapierdepots einzurichten. Dabei ist es notwendig, eine ganze Reihe personenbezogener Daten anzugeben. Dazu gehören Namen, Geburtsdatum, Postanschrift, Mailadresse und eine digital gespeicherte Kopie des Personalausweises des Depotinhabers.

➧ Unbekannte haben umfangreich Daten abgegriffen

Die Kläger sind Depotinhaber. Im Jahr 2020 haben Unbekannte die persönlichen Daten der Kläger abgegriffen und auch die Daten zum Inhalt ihrer Depots. Dies steht fest. Zumindest bisher scheint es dagegen so, dass diese Daten nicht in betrügerischer Weise verwendet wurden. Das behauptet jedenfalls Scalable Capital GmbH.

➧ Die Kläger fordern Schmerzensgeld

Die Kläger sind der Auffassung, durch den Diebstahl der Daten sei ihnen ein „immaterieller Schaden“ entstanden. Sie fordern also Schmerzensgeld dafür, dass sie einen künftigen Missbrauch ihrer Daten befürchten müssen. Sie sehen sich als Opfer eines Identitätsdiebstahls – mit allen Risiken, die dadurch entstanden sind. Da das Unternehmen keinen Schadensersatz leisten will, wandten sich die Kläger an das  zuständige Amtsgericht.

➧ Das Gericht will nicht so recht

Das Verhalten des Gerichts wirkt zwiespältig. Einerseits scheint es dazu zu neigen, Schadensersatz zu gewähren. Andererseits hält es die Angelegenheit wohl eher für eine Bagatelle, die nach den bisherigen Maßstäben deutscher Gerichte keinen Schadensersatz rechtfertigt. Dieser Eindruck ergibt sich aus den Fragen, die das Gericht an den EuGH richtet. Von den Antworten des EuGH erhofft sich das Gericht Klarheit, wie es letztlich verfahren soll.

➧ Schäden durch Datenklau hält das Gericht für eher harmlos

Dass bei Körperverletzungen ein Schmerzensgeld fällig ist, hält das Gericht für richtig. Bei Schäden, die durch Datenklau entstehen, scheint ihm das dagegen nicht zwingend notwendig. Nur so lässt sich folgende Frage erklären, die das Gericht an den EuGH richtet: „Ist … von einem strukturellen Rangverhältnis oder zumindest Regel-Ausnahme-Rangverhältnis auszugehen, bei dem das von einer Datenverletzung ausgehende Beeinträchtigungserleben weniger Gewicht hat als das mit einer Körperverletzung verknüpfte Beeinträchtigungs- und Schmerzerleben?“

➧ Der EuGH widerspricht dieser Idee deutlich

Nach Auffassung des EuGH ist ein „durch eine Verletzung des Schutzes personenbezogener Daten verursachter Schaden seiner Natur nach nicht weniger schwerwiegend … als eine Körperverletzung.“ (Rn. 39 des Urteils). Dies begründete er damit, dass die DSGVO eine solche Hierarchie verschiedener Arten von Schäden nicht kennt. Vielmehr setzt sie „physische, materielle oder immaterielle Schäden gleich“ (Rn. 37 des Urteils). Ein Schaden ist also erst einmal ein Schaden, egal ob er in einer Körperverletzung besteht („physischer Schaden“), in einer Schädigung des Vermögens („materieller Schaden“) oder in einer Beeinträchtigung des seelischen Empfindens („immaterieller Schaden“).

➧ Auch Bagatellschäden sind auszugleichen

Fast schon trickreich fragt das deutsche Gericht den EuGH, ob bei einem geringen Schaden ein geringfügiger Schadensersatz ausreicht, den die betroffene Person möglicherweise als rein symbolisch empfindet. Was man sich darunter genau vorstellen soll, sagt das Gericht nicht. Möglicherweise denkt es an Beträge von vielleicht einem Euro oder auch fünf Euro. Die Absicht ist jedoch klar: Das Gericht überlegt, möglicherweise eine Summe festzulegen, die die betroffene Person eher als Verhöhnung empfindet. Hierzu bemerkt der EuGH recht trocken: Schadensersatz ist zu leisten, egal wie gering der Schaden ist. Wichtig ist aber, dass der Schadensersatz den entstandenen Schaden in vollem Umfang ausgleicht

➧ Schadensersatz muss angemessen sein

Den Aspekt des vollständigen Ausgleichs betont der EuGH in dem Urteil gleich mehrfach. Entscheidend ist die Effektivität des Schadensersatzes: „Der Betrag ist … so festzulegen, dass er den konkret aufgrund des Verstoßes gegen die DSGVO erlittenen Schaden in vollem Umfang ausgleicht (Rn. 29 des Urteils). Um zu unterstreichen, wie ernst er diesen Grundsatz nimmt, verweist der EuGH zu dieser Frage gleich auf mehrere frühere Urteile. Man kann dies durchaus als Mahnung an die Gerichte der Mitgliedstaaten verstehen, in diesem Punkt auf keinen Fall kleinlich zu sein.

➧ Jetzt kommt es auf die Gerichte der Mitgliedstaaten an

Ebenfalls mehrfach betont der EuGH, dass es Sache der nationalen Gerichte ist, Schadensersatz in angemessener Höhe zu gewähren. Dabei können auch bei gleich gelagerten Fällen die konkreten Beträge in den einzelnen Mitgliedstaaten unterschiedlich ausfallen. Denn die DSGVO gibt keine konkreten Beträge vor und die Lebensverhältnisse (einschließlich der wirtschaftlichen Verhältnisse) sind in den einzelnen Mitgliedstaaten unterschiedlich.

In Deutschland sind beim Bundesgerichtshof (BGH) mehrere einschlägige Fälle anhängig. Sie werden voraussichtlich noch im Jahr 2024 entschieden. Man darf mit Spannung erwarten, was der BGH aus den Vorgaben des EuGH macht.

➧ Scalable Capital GmbH darf öffentlich genannt werden

Die Namen der Kläger nennt der EuGH in seinem Urteil nicht. Sie sind so abgekürzt, dass kein Kläger zu identifizieren ist. Bei der GmbH, gegen die sich die Klage richtet, ist das anders. Sie wird mit ihrer vollen Bezeichnung genannt und muss künftig damit leben, dass die Entscheidung des EuGH sozusagen ihren Namen trägt. Genau das hatte die GmbH zu verhindern versucht. Dazu hatte sie beim Präsidenten des EuGH den Antrag gestellt, das gesamte Verfahren (und damit natürlich auch das Urteil) entsprechend zu anonymisieren.

➧ Die DSGVO gilt nicht für juristische Personen

Dieses Ansinnen hat der Präsident des EuGH jedoch zurückgewiesen (siehe Rn. 16 der Entscheidung). Die Gründe dafür sind nicht ausgeführt. Vermutlich beruht die Ablehnung darauf, dass es sich bei der GmbH um eine juristische Person handelt. Und für juristische Personen gilt der Schutz der DSGVO nicht. Erwägungsgrund 14 Satz 2 zur DSGVO sagt hierzu sehr klar: „Diese Verordnung gilt nicht für die Verarbeitung personenbezogener Daten juristischer Personen und insbesondere als juristische Person gegründete Unternehmen, einschließlich Name, Rechtsform oder Kontaktdaten der juristischen Person.“

➧ So finden Sie das Urteil des EuGH

Das Urteil des EuGH wurde am 20. Juni 2024 verkündet. Da es zwei Verfahren betrifft, die der EuGH miteinander verbunden hat, trägt es auch zwei Aktenzeichen, nämlich C-182/22 und C-189/22. Es genügt, eines der beiden Aktenzeichen einzugeben, um die Entscheidung im Internet zu finden.

Dr. Eugen Ehmann

Dr. Eugen Ehmann
Verfasst von
Dr. Eugen Ehmann
Dr. Eugen Ehmann
Dr. Eugen Ehmann ist ausgewiesener Fachmann auf dem Gebiet des Datenschutzes in Unternehmen & Behörden. Er ist Herausgeber eines renommierten DSGVO-Kommentars und Autor zahlreicher Beiträge in der Datenschutz PRAXIS sowie in vielen weiteren Datenschutz-Veröffentlichungen. Außerdem moderiert er seit 2003 den Datenschutz-Kongress IDACON

Kommentar abgeben

0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.