Die Schlussanträge des Generalanwalts in den verbundenen Rechtssachen C-182/22 und C-189/22 der Kläger JU und SO gegen Scalable Capital GmbH liegen vor. Das Verfahren ist besonders wichtig für IT-Sicherheitsvorfälle: Das AG München hatte dem EUGH Fragen aus zwei Verfahren vorgelegt, die versuchen Klarheit zu schaffen dahin, ob schon das Abhandenkommen von Daten an sich im Rahmen eines Sicherheitsvorfalls genügend ist, um ein zu bezifferndes Schmerzensgeld zuzusprechen.
Hintergrund
Die Kläger machen immateriellen Schadensersatz wegen des Diebstahls ihrer persönlichen Daten geltend, die sie in einer von Scalable Capital betriebenen Trading-App hinterlegt hatten.
Das Amtsgericht München hat den Gerichtshof hier um Hinweise zur Auslegung des Begriffs des immateriellen Schadens und zu den Voraussetzungen für einen solchen Schadensersatz nach Art. 82 der Verordnung (EU) 2016/679 (DSGVO) ersucht. Insbesondere möchte es klären, ob der Diebstahl dieser Daten als „Identitätsdiebstahl“ gilt. Das Ausgangsverfahren und die Vorlagefragen betreffen die von JU und SO bei Scalable Capital eröffneten Anlegerkonten und die gestohlenen Daten, die personenbezogene Daten wie Namen, Geburtsdaten und Anschriften enthielten. Das Amtsgericht möchte klären, wie der Schadensersatzanspruch im Rahmen der Bemessung seiner Höhe auszulegen ist, insbesondere ob ihm nur eine Ausgleichs- und gegebenenfalls Genugtuungsfunktion ohne Sanktionscharakter zukommt.
Weitere Beiträge zum Thema IT-Sicherheit im Unternehmen:
- Juristische Konsequenzen für Provider und Diensteanbieter bei IT-Sicherheitslücke
- Haftung der Geschäftsführung für IT-Sicherheitslücken
- NIS2-Richtlinie und NIS2-Umsetzungsgesetz
- DORA
- Bug-Bounty-Programme – Strafbarkeit des Suchens nach Sicherheitslücken
- Aktualisierungspflicht für Software
- Neues Kaufrecht: Sicherheit als Mangel
- Pentesting: Vertrag über Penetrationstest
- Wie Unternehmen mit Ransomware erpresst werden
- Ransomware: Soll man das Lösegeld zahlen?
- Haftung des Arbeitnehmers bei Installation von Malware
- Fahrlässige Tötung und Schadsoftware im Krankenhaus
- Was tun nach einem Hackerangriff?
- Wie schützt man sich vor einem Hackerangriff?
- Einhaltung interner Sicherheits-/Compliance Vorgaben für Arbeitnehmer verpflichtend
Stellungnahme des Generalanwalts
Mit seiner fünften Frage möchte das vorlegende AG-München wissen, ob der bloße Diebstahl sensibler personenbezogener Daten eines Betroffenen durch einen unbekannten Täter einen Identitätsdiebstahl darstellt, der einen Schadensersatzanspruch auslöst, oder ob der Täter für die Annahme eines Identitätsdiebstahls die Identität des Betroffenen tatsächlich annehmen oder sich darum bemühen muss. Der Generalanwalt schlägt dem Gerichtshof vor, die fünfte Vorlagefrage des Amtsgerichts München wie folgt zu beantworten:
Er führt aus, dass nach Art. 82 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) der Diebstahl sensibler personenbezogener Daten einer betroffenen Person durch einen unbekannten Täter zu einem Anspruch auf Ersatz des immateriellen Schadens führen kann, wenn drei Voraussetzungen erfüllt sind:
- Ein Nachweis eines Verstoßes gegen die Datenschutz-Grundverordnung,
- der Nachweis eines konkret erlittenen Schadens
- der Nachweis eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß.
Er fügt hinzu, dass es für die Gewährung einer solchen Entschädigung nicht erforderlich ist, dass der Rechtsverletzer die Identität der betroffenen Person angenommen hat. Daraus folgt, dass der Diebstahl personenbezogener Daten, auch wenn er keinen Identitätsdiebstahl oder -betrug darstellt, einen immateriellen Schaden verursachen und einen Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DSGVO begründen kann.
Der Nachweis eines immateriellen Schadens kann leichter erbracht werden, wenn nachgewiesen wird, dass die betroffene Person infolge des Diebstahls ihrer personenbezogenen Daten Opfer eines Identitätsdiebstahls oder -betrugs geworden ist. Der Anspruch auf Ersatz des immateriellen Schadens nach Art. 82 Abs. 1 DSGVO wegen des Diebstahls personenbezogener Daten ist jedoch nicht vom Vorliegen eines Identitätsdiebstahls oder -betrugs abhängig. Der immaterielle Schaden und der Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO sind im Einzelfall unter Berücksichtigung aller Umstände zu beurteilen.
Fazit
Das AG München hatte sich sehr ausführlich postiert, warum „punitive damages“ weder mit deutschem Recht noch mit der DSGVO vereinbar sind. Sollte der EUGH nun dem Antrag des Generalanwalts folgen – was oft geschieht, aber nicht zwingend – wäre schon das Risiko eines Identitätsdiebstahls ein hinreichendes Argument auf dem Weg zu einem mit mehr als 0 Euro zu beziffernden Schadensersatzes für alle betroffenen Kunden. Damit wäre die Diskussion darüber, ob ein schlichtes Unwohlsein vorliegt, nicht mehr zu führen.
Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp
Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht / Technologierecht - ergänzt um Arbeitsrecht.
- Data Culture: Bedeutung der Datenkultur in Unternehmen - 27. April 2024
- Die ökonomischen Auswirkungen der generativen KI - 27. April 2024
- AML-Paket: Das EU Anti Money Laundering Package 2024 - 27. April 2024