Anträge des Generalanwalts beim EUGH zum DSGVO-Schadensersatz nach Sicherheitsvorfall

Die Schlussanträge des Generalanwalts in den verbundenen Rechtssachen C-182/22 und C-189/22 der Kläger JU und SO gegen Scalable Capital liegen vor. Das Verfahren ist besonders wichtig für IT-Sicherheitsvorfälle: Das AG München hatte dem EUGH Fragen aus zwei Verfahren vorgelegt, die versuchen Klarheit zu schaffen dahin, ob schon das Abhandenkommen von Daten an sich im Rahmen eines Sicherheitsvorfalls genügend ist, um ein zu bezifferndes Schmerzensgeld zuzusprechen.

Hintergrund

Die Kläger machen immateriellen Schadensersatz wegen des Diebstahls ihrer persönlichen Daten geltend, die sie in einer von Scalable Capital betriebenen Trading-App hinterlegt hatten.

Das Amtsgericht München hat den Gerichtshof hier um Hinweise zur Auslegung des Begriffs des immateriellen Schadens und zu den Voraussetzungen für einen solchen Schadensersatz nach Art. 82 der Verordnung (EU) 2016/679 () ersucht. Insbesondere möchte es klären, ob der dieser Daten als „Identitätsdiebstahl“ gilt. Das Ausgangsverfahren und die Vorlagefragen betreffen die von JU und SO bei Scalable Capital eröffneten Anlegerkonten und die gestohlenen Daten, die wie Namen, Geburtsdaten und Anschriften enthielten. Das Amtsgericht möchte klären, wie der Schadensersatzanspruch im Rahmen der Bemessung seiner Höhe auszulegen ist, insbesondere ob ihm nur eine Ausgleichs- und gegebenenfalls Genugtuungsfunktion ohne Sanktionscharakter zukommt.

Stellungnahme des Generalanwalts

Mit seiner fünften Frage möchte das vorlegende AG-München wissen, ob der bloße Diebstahl sensibler personenbezogener Daten eines Betroffenen durch einen unbekannten Täter einen Identitätsdiebstahl darstellt, der einen Schadensersatzanspruch auslöst, oder ob der Täter für die Annahme eines Identitätsdiebstahls die Identität des Betroffenen tatsächlich annehmen oder sich darum bemühen muss. Der Generalanwalt schlägt dem Gerichtshof vor, die fünfte Vorlagefrage des Amtsgerichts München wie folgt zu beantworten:

Er führt aus, dass nach Art. 82 Abs. 1 der Verordnung (EU) 2016/679 (-Grundverordnung) der Diebstahl sensibler personenbezogener Daten einer betroffenen Person durch einen unbekannten Täter zu einem Anspruch auf Ersatz des immateriellen Schadens führen kann, wenn drei Voraussetzungen erfüllt sind:

  1. Ein Nachweis eines Verstoßes gegen die Datenschutz-Grundverordnung,
  2. der Nachweis eines konkret erlittenen Schadens
  3. der Nachweis eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß.

Er fügt hinzu, dass es für die Gewährung einer solchen Entschädigung nicht erforderlich ist, dass der Rechtsverletzer die Identität der betroffenen Person angenommen hat. Daraus folgt, dass der Diebstahl personenbezogener Daten, auch wenn er keinen Identitätsdiebstahl oder - darstellt, einen immateriellen Schaden verursachen und einen Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DSGVO begründen kann.

Der Nachweis eines immateriellen Schadens kann leichter erbracht werden, wenn nachgewiesen wird, dass die betroffene Person infolge des Diebstahls ihrer personenbezogenen Daten Opfer eines Identitätsdiebstahls oder -betrugs geworden ist. Der Anspruch auf Ersatz des immateriellen Schadens nach Art. 82 Abs. 1 DSGVO wegen des Diebstahls personenbezogener Daten ist jedoch nicht vom Vorliegen eines Identitätsdiebstahls oder -betrugs abhängig. Der immaterielle Schaden und der Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO sind im Einzelfall unter Berücksichtigung aller Umstände zu beurteilen.

Fazit

Das AG München hatte sich sehr ausführlich postiert, warum „punitive damages“ weder mit deutschem Recht noch mit der DSGVO vereinbar sind. Sollte der EUGH nun dem Antrag des Generalanwalts folgen – was oft geschieht, aber nicht zwingend – wäre schon das Risiko eines Identitätsdiebstahls ein hinreichendes Argument auf dem Weg zu einem mit mehr als 0 Euro zu beziffernden Schadensersatzes für alle betroffenen Kunden. Damit wäre die Diskussion darüber, ob ein schlichtes Unwohlsein vorliegt, nicht mehr zu führen.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Strafverteidigung, dem IT-Recht und Arbeitsrecht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht, Arbeitsrecht und IT-Recht / Technologierecht. Beachten Sie unsere Tätigkeit im Steuerstrafrecht, digitaler gewerblicher Rechtsschutz, IT-Sicherheitsrecht sowie Softwarerecht.