AG München legt EUGH Fragen zu DSGVO-Schadensersatz nach Sicherheitslücke vor

Das Amtsgericht München (132 C 737/22 und 132 C 1263/21) hat in zwei Verfahren dem EUGH Fragen vorgelegt:

  1. Ist Art.82 der -Grundverordnung dahin auszulegen, dass dem Schadensersatzanspruch auch im Rahmen der Bemessung seiner Höhe kein Sanktionscharakter, insbesondere keine generelle oder spezielle Abschreckungsfunktion zukommt, sondern der Anspruch auf Schadensersatz nur eine Ausgleichs- und u.U. Genugtuungsfunktion hat?
    • Ist für die Bemessung des immateriellen Schadensersatzanspruchs als Verständnis davon auszugehen, dass der Schadensersatzanspruch auch eine individuelle Genugtuungsfunktion hat – hier verstanden als das im Privaten des Verletzten bleibende Interesse, das verursachende Verhalten geahndet zu sehen, oder kommt dem Schadensersatzanspruch nur eine Ausgleichsfunktion zu – hier verstanden als die Funktion, erlittene Beeinträchtigungen zu kompensieren?
    • Wenn davon auszugehen ist, dass dem immateriellen Schadenersatzanspruch sowohl Ausgleichs- als auch Genugtuungsfunktion zukommt: Ist bei seiner Bemessung davon auszugehen, dass die Ausgleichsfunktion einen strukturellen oder zumindest als Regel-Ausnahmeverhältnis zu sehenden Vorrang vor der Genugtuungsfunktion hat? Führt dies dazu, dass eine Genugtuungsfunktion nur bei vorsätzlichen ober grob fahrlässigen Verletzungen in Betracht kommt?
    • Wenn dem immateriellen Schadensersatzanspruch keine Genugtuungsfunktion zukommt: Führen bei seiner Bemessung nur vorsätzliche oder grob fahrlässige Datenschutzverletzungen als Beurteilung von Verursachungsbeiträgen zu zusätzlichem Gewicht?
  2. Ist für das Verständnis des immateriellen Schadensersatzes in seiner Bemessung von einem strukturellen Rangverhältnis oder zumindest Regel-Ausnahme-Rangverhältnis auszugehen, bei dem das von einer Datenverletzung ausgehende Beeinträchtigungserleben weniger Gewicht hat als das mit einer verknüpfte Beeinträchtigungs- und Schmerzerleben?
  3. Steht einem nationalen Gericht offen, wenn von einem Schaden auszugehen ist, angesichts fehlender Schwere einen materiell nur im Geringfügigen bleibenden und damit u.U. von Verletztenseite oder allgemein nur als symbolisch empfundenen Schadensersatz zuzusprechen?
  4. Ist für das Verständnis des immateriellen Schadensersatzes in der Beurteilung seiner Folgen davon auszugehen, dass ein Identitätsdiebstahl im Sinne des 75. Erwägungsgrundes der Datenschutz-Grundverordnung erst dann vorliegt, wenn tatsächlich ein Straftäter die Identität des Betroffenen angenommen hat, sich also in irgendeiner Form als der Betroffene ausgegeben hat, oder liegt schon im Umstand, dass inzwischen Straftäter über Daten verfügen, die den Betroffenen identifizierbar machen, ein solcher Identitätsdiebstahl?

Sachverhalt

Im Kern geht es um folgenden Sachverhalt: Zwei Betroffene (jeweils Gegenstand eines eigenen Verfahrens) hatten bei einer von der Beklagten verantworteten Trading-App ein Konto eröffnet und den erforderlichen Mindestbetrag von mehreren tausend Euro eingezahlt. Das Depot wurde von einem Robo-Advisor verwaltet, so dass aus den getätigten Trades kein Profil über die Risikobereitschaft des Klägers abgeleitet werden konnte. Allerdings waren einige persönliche Daten hinterlegt, die zur Authentifizierung des Klägers notwendig waren. Hinterlegt waren insbesondere Name, Geburtsdatum, Anschrift und eine E-Mail-Adresse, die nur für besonders geschützte Interessen verwendet wurde. Auch eine digital gespeicherte Kopie des Personalausweises war hinterlegt. Diese Daten sowie die Daten des Depots selbst wurden unstreitig von unbekannten Tätern abgegriffen.

Im ersten Fall (Az. 132 C 1263/21) wurde der Kläger persönlich angehört und zu seinen Erfahrungen befragt. Im zweiten Fall (Az. 132 C 737/22) wurde der Kläger noch nicht angehört, so dass Feststellungen zum persönlichen Erleben nicht getroffen wurden. In beiden Fällen geht das Gericht jedenfalls von einer über die Geringfügigkeit hinausgehenden Sensibilität der „verlorenen“ Daten aus und nimmt an, dass dem Grunde nach ein Schadensersatzanspruch nach Art. 82 DSGVO in Betracht kommt.

Position des AG München

Sehr ausführlich stellt das AG München diverse Punkte dar. So befasst sich das Amtsgericht München mit dem Thema des immateriellen Schadensersatzes im Kontext der bei einem Sicherheitsvorfall:

  • Das Gericht unterscheidet zwischen zwei Funktionen von immateriellem Schadensersatz: „Ausgleich“ und „Genugtuung“.
  • „Ausgleich“ dient dazu, erlittene und absehbare Folgen zu kompensieren. „Genugtuung“ soll dem Betroffenen das Gefühl vermitteln, das erlittene Unrecht sei wiedergutgemacht worden.
  • Bei Schmerzensgeld spielt die „Genugtuung“ im deutschen Recht eine untergeordnete Rolle.
  • Bei Persönlichkeitsrechtsverletzungen jedoch wird versucht, subjektive Betroffenheit zu objektivieren, z.B. durch Lizenzmodelle. Hierbei werden Aspekte wie Verbreitung, Veröffentlichung und Schädigung berücksichtigt.
  • Eine neuere Rechtsprechung betont mehr die „Genugtuung“ als den „Ausgleich“ bei Persönlichkeitsverletzungen.
  • Das Gericht argumentiert, dass „Genugtuung“ nicht der Hauptzweck von Schadensersatz sein sollte. Es geht primär um Kompensation und Anerkennung des erlittenen Leids, nicht um Vergeltung.
  • Das Gericht betont, dass immaterieller Schadensersatz das subjektive Empfinden der Verletzung objektiviert, besonders wenn die Tat vorsätzlich begangen wurde.
  • Für das Gericht sollte „Genugtuung“ nicht als Hauptkriterium dienen. Stattdessen sollten objektive Faktoren, wie die Sensitivität der Daten und der Umfang des Datenverlusts, priorisiert werden.
  • Ohne vorsätzliches oder grob fahrlässiges Verhalten des Datenschutzverpflichteten wird ein Empfinden als besonders vorwerfbare Verletzung nicht als „berechtigt“ angesehen.

Insgesamt betont das Gericht die Bedeutung von objektiven Kriterien gegenüber subjektiven Empfindungen bei der Bemessung von Schadensersatz im Kontext der DSGVO.

Weiterhin geht das Amtsgericht davon aus, dass es nicht Aufgabe eines Zivilgerichts ist, immaterielle Werte nach einem zu abstrakten und damit inoperablen und willkürlichen „Symbolwert“ zu monetarisieren. Es hält stattdessen für naheliegend, bei geringfügigen Verletzungen keine Mindestsumme als symbolische Untergrenze anzunehmen, sodass auch Entschädigungszumessungen offenstehen, die gemessen an den Entgeltungsvorstellungen des Betroffenen als vollständiges oder praktisch vollständiges Unterliegen anzusehen sind.

Was ist ein Identitätsdiebstahl im Sinne der DSGVO

Hintergrund der fünften Frage ist, dass der Vortrag der Parteien ein unterschiedliches Verständnis des Begriffs des Identitätsdiebstahls erkennen lässt, von dem ein Teil der Folgenabwägung abhängt. Nach Auffassung des Ag München liegt ein Identitätsdiebstahl nur dann vor, wenn jemand die rechtswidrig erlangten Daten dazu verwendet, die Identität des Betroffenen vorzutäuschen. Die Erwägungsgründe der DSGVO führen dazu aus:

(75) Die Risiken für die Rechte und Freiheiten natürlicher Personen — mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere — können aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einem physischen, materiellen oder immateriellen Schaden führen könnte, insbesondere wenn die Verarbeitung zu einer , einem Identitätsdiebstahl oder -, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann, wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren, wenn , aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Zugehörigkeit zu einer Gewerkschaft hervorgehen, und genetische Daten, Gesundheitsdaten oder das Sexualleben oder strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln betreffende Daten verarbeitet werden, wenn persönliche Aspekte bewertet werden, insbesondere wenn Aspekte, die die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, die Zuverlässigkeit oder das Verhalten, den Aufenthaltsort oder Ortswechsel betreffen, analysiert oder prognostiziert werden, um persönliche Profile zu erstellen oder zu nutzen, wenn personenbezogene Daten schutzbedürftiger natürlicher Personen, insbesondere Daten von Kindern, verarbeitet werden oder wenn die Verarbeitung eine große Menge personenbezogener Daten und eine große Anzahl von betroffenen Personen betrifft.

(85) Eine Verletzung des Schutzes personenbezogener Daten kann — wenn nicht rechtzeitig und angemessen reagiert wird — einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person.

Auswirkungen der Anfrage

Die Anfrage des AG München hat herausragende Bedeutung für Sicherheitsvorfälle: Letztendlich geht es hier um die Frage, ob schon ein Sicherheitsvorfall als solcher den Weg zum Schadensersatz eröffnet. Dabei spielt hinein, ob schon abschreckende Effekte mit zu berücksichtigen sind, was erhebliche finanzielle Folgen für Unternehmen hätte.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht) (Alle anzeigen)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht, Arbeitsrecht und IT-Recht / Technologierecht. Beachten Sie unsere Tätigkeit im Steuerstrafrecht, digitaler gewerblicher Rechtsschutz, IT-Sicherheitsrecht sowie Softwarerecht.