Von Mitte Dezember letzten Jahres stammen zwei Urteile des Gerichtshofs der Europäischen Union („EuGH“), in denen es um Vorfragen der nationalen Gerichte Bulgariens und Deutschlands zur Auslegung der Verordnung des Europäischen Parlaments und des (EU) Rates 2016/679 vom 27. April 2016, zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sowie zur Aufhebung der Richtlinie 95/46/EG (Allgemeine Verordnung zum Schutz personenbezogener Daten) („GDPR“) ging.

Im ersten Fall wurde die bulgarische Nationale Agentur für öffentliche Einnahmen (Nacionalna agencia za prichodite) verklagt, die als Verwalter personenbezogene Daten zum Zwecke der Feststellung, Sicherung und Eintreibung öffentlicher Forderungen erhebt. Durch einen Hackerangriff wurden diese Daten aus ihrem Informationssystem öffentlich gemacht. Von den rund sechs Millionen betroffenen natürlichen Personen haben mehrere Hundert eine Klage eingereicht. Eine dieser Personen war auch eine Klägerin, die erklärte, dass ihr durch die Veröffentlichung ihrer Daten ein Schaden entstanden sei, der in der Befürchtung bestehe, dass ihre ohne ihre Zustimmung veröffentlichten personenbezogenen Daten in Zukunft missbraucht würden oder dass sie selbst Erpressung, Angriff oder sogar Entführung ausgesetzt sein würde.

Während der Verhandlung des Falles stellte das bulgarische Berufungsgericht mehrere vorläufige Fragen an den EuGH, der sich mit ihnen befasste und zu den folgenden Schlussfolgerungen kam. Hinsichtlich der Angemessenheit der Sicherheit der verwalteten Daten ist es zunächst erforderlich, die damit verbundenen möglichen Risiken und deren Schwere zu bewerten. Nur dann kann festgestellt werden, welche Maßnahmen ausreichend sind, auch unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, der Umstände und der Zwecke der konkreten Verarbeitung. Wesentlich ist, dass die Beweislast für die Angemessenheit und Statthaftigkeit der getroffenen Sicherheitsmaßnahmen beim Verwalter und nicht bei der Klägerin liegt. Zur Frage, wie der Verwalter die Angemessenheit dieser Maßnahmen nachweisen solle, führte der EuGH aus, dass es Sache der nationalen Rechtsordnung jedes Mitgliedsstaates sei, die Regeln für die Beweismittel festzulegen, wobei ein Sachverständigengutachten nicht immer erforderlich sei, aber manchmal nicht einmal als ausreichender Nachweis für die Erfüllung der Pflicht des Datenverwalters ausreicht.
Der EuGH äußerte sich dann zur Verantwortung des Verwalters für den verursachten Schaden in dem Sinne, dass der Verwalter nur dann von der Haftung befreit werden kann, wenn er nachweist, dass er für das Ereignis, das zum Schaden geführt hat, in keiner Weise verantwortlich ist.

Die letzte Vorfrage des bulgarischen Berufungsgerichts richtete sich auf die Art des erlittenen Schadens. Wie oben erwähnt, sah die Klägerin den Schaden bereits aus Angst vor einem möglichen Missbrauch personenbezogener Daten durch Dritte. Das Gericht stellte daher die Frage, ob diese Besorgnis allein einen immateriellen Schaden darstellen könnte. Die diesbezügliche Schlussfolgerung des EuGH war sehr interessant. Ihm zufolge erwähnt die GDPR (DSGVO) in einer anschaulichen Liste von Beispielen für (im)materielle Schäden auch den Verlust der Kontrolle über die eigenen personenbezogenen Daten, selbst wenn, wie der EuGH zu dem Schluss kommt, kein tatsächlicher Missbrauch der betreffenden Daten zum Nachteil der genannten Personen vorliegt.

Der EuGH urteilte auch über Schadensersatzforderungen im Falle einer Klage zweier Personen gegen die deutsche Gemeinde Ummendorf. Die Gemeinde veröffentlichte auf ihrer Website drei Tage lang die Tagesordnung der Gemeinderatssitzung, in der die Namen der Kläger mehrfach ohne deren Zustimmung aufgeführt wurden, sowie das Urteil, in dem ihre Vor- und Nachnamen sowie Wohnadressen aufgeführt waren. In diesem Fall wandte sich das deutsche Gericht mit der Frage an den EuGH, ob der Begriff des „immateriellen Schadens“ nach GDPR als wesentlicher Schaden und objektiv nachvollziehbarer Eingriff in persönliche Interessen zu interpretieren ist, oder ob ein bloßer kurzfristiger Verlust der Kontrolle des Betroffenen über seine eigenen Daten ausreichend ist. Der EuGH betonte hier, dass sich die GDPR in dieser Angelegenheit nicht auf eine nationale Regelung beziehe, sondern selbst feststelle, dass „die Auslegung des Begriffs ‚Schaden‘ weit gefasst sein und auf der Rechtsprechung des Gerichtshofs basieren und dabei die Ziele umfassend berücksichtigen sollte dieser Verordnung“ sollte. Der Schadensersatz kann daher nicht durch eine nationale Regelung oder Praxis von einem bestimmten Schweregrad abhängig gemacht werden. Eines der GDPR-Ziele besteht darin, ein kohärentes und hohes Schutzniveau für natürliche Personen in der Europäischen Union im Zusammenhang mit der Verarbeitung personenbezogener Daten zu gewährleisten. Daher ist es nicht möglich, die Auslegung des Schadensbegriffs der fragmentarischen Praxis nationaler Gerichte zu überlassen.

Allerdings betonte der EuGH in beiden Urteilen, dass ein Verstoß gegen die GDPR als solcher keinen (automatischen) Anspruch auf Schadensersatz begründet. Es muss die Beweislast für die Art und das Ausmaß des erlittenen Schadens getragen werden, wobei diese Beweislast voll und ganz bei den von dem Verstoß betroffenen Personen liegt.

Damit der durch einen Verstoß gegen die GDPR entstandene Schaden strafbar ist, wird er nicht durch sein Ausmaß bestimmt, noch durch die Tatsache, ob er mit einem bereits erfolgten Missbrauch personenbezogener Daten zusammenhängt oder mit der Befürchtung des Betroffenen, dass ein solcher Missbrauch in Zukunft erfolgen kann. Voraussetzung für die Inanspruchnahme/Geltendmachung von Schadensersatz ist lediglich der Nachweis, dass der Schaden tatsächlich entstanden ist.