Update zur Haftung der öffentlichen Hand für Datenschutzverstöße

Gemäß Art. 82 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO materieller oder immaterieller Schaden entsteht, Anspruch auf Schadenersatz. Das gilt auch, wenn es sich bei der verantwortlichen Stelle um eine Einrichtung der öffentlichen Hand oder einen Hoheitsträger handelt.

Voraussetzungen des Schadensersatzanspruchs

Der Europäische Gerichtshof (EuGH) hat im Jahr 2023 mehrere wegweisende Urteile zu den Voraussetzungen und dem Umfang von Schadenersatzansprüchen erlassen. Dabei waren insbesondere Gemeinden und Behörden Beklagte der Verfahren.

Urteil vom 4. Mai 2023 (C‑300/21) "Österreichische Post"

Bereits im Mai 2023 hat der EuGH eine wichtige Grundsatzentscheidung zu den Voraussetzungen des immateriellen Schadensersatzes bei Verstößen gegen die DSGVO erlassen. So reicht allein ein Datenschutzverstoß nicht aus, um einen Schadensersatzanspruch zu begründen. Diese Auffassung hatten viele Arbeitsgerichte bislang vertreten. Zudem kommt es für die Begründung eines immateriellen Schadens nicht auf das Erreichen einer bestimmten Erheblichkeit (sog. Bagatellgrenze) an, was bislang unter deutschen Gerichten stark umstritten war. Die konkrete Festsetzung der Höhe des Schadensersatzes überlässt der EuGH weiter den nationalen Gerichten. Hintergrund des Falles war der Rechtsstreit eines Betroffenen gegen die Österreichische Post. Diese hatte mit Hilfe eines Algorithmus Informationen über die politischen Affinitäten des Klägers gesammelt. Der Kläger behauptete dadurch einen Vertrauensverlust und eine Bloßstellung erlitten zu haben und forderte Schadensersatz von EUR 1.000.

Diese Rechtsprechung hat der EuGH sodann mit zwei Urteilen vom 14. Dezember 2023 bestätigt und fortgeführt:

Urteil vom 14. Dezember 2023 (C-340/21) "Bulgarische Finanzbehörde"

In seiner Entscheidung hat der EuGH klargestellt, dass bereits die Befürchtung eines möglichen Missbrauchs personenbezogener Daten für sich genommen einen immateriellen Schadensersatz im Sinne der DSGVO darstellen kann. Geklagt hatte eine Frau, deren personenbezogene Daten bei einem Hackerangriff auf eine bulgarische Finanzbehörde durch die Täter im Internet veröffentlicht wurden. Nach Ansicht des EuGH genügt in Fällen eines Datenschutzverstoßes schon die Sorge einer missbräuchlichen Verwendung der Daten durch Dritte. Es sei aber Aufgabe des nationalen Gerichts zu prüfen, ob diese Befürchtung im konkreten Fall als begründet angesehen werden kann. Daneben hat der EuGH klargestellt, dass der Verantwortliche beweisen muss, dass die von ihm ergriffenen IT-Schutzmaßnahmen ausreichend waren.

Urteil vom 14. Dezember 2023 (C-456/22) "Gemeinde Ummendorf"

Hintergrund dieses Urteils war ein Rechtsstreit zwischen zwei natürlichen Personen und der Gemeinde Ummendorf wegen Zahlung von Schmerzensgeld zur Wiedergutmachung des Schadens, der ihnen dadurch entstanden sein soll, dass ihre personenbezogenen Daten ohne ihre Einwilligung auf der Internetseite der Gemeinde veröffentlicht wurden. Der EuGH hat in diesem Urteil nochmals bestätigt, dass für das Vorliegen eines immateriellen Schadens keine Bagatellgrenze vorliegt. Dennoch müssen Betroffene nachweisen, dass ihnen durch die Verletzung der DSGVO ein konkreter immaterieller Schaden entstanden ist.

Urteil vom 21. Dezember 2023 (C-667/21) "Medizinischer Dienst der Krankenversicherung Nordrhein"

In dem zugrundeliegenden Fall wehrte sich der Kläger gegen die Verarbeitung seiner Gesundheitsdaten durch seinen Arbeitgeber. Die Besonderheit bestand hier darin, dass es sich bei dem Arbeitgeber um den Medizinischen Dienst der Krankenversicherung (MDK) Nordrhein handelte, eine Körperschaft des öffentlichen Rechts. Der MDK hat die gesetzliche Aufgabe, medizinische Gutachten zur Beseitigung von Zweifeln an der Arbeitsunfähigkeit von Versicherten zu erstellen, auch dann, wenn diese Gutachten seine eigenen Mitarbeiter betreffen. Der Kläger sah darin eine Datenschutzverletzung und verlangte immateriellen Schadensersatz von EUR 20.000. Der EuGH hat entschieden, dass der Schadensersatz nach Art. 82 DSGVO keine abschreckende Funktion oder Straffunktion erfüllt, sondern nur einen Ausgleich für einen Schaden begründen soll. Zudem wurde klargestellt, dass das Verschulden bei einem Datenschutzverstoß vermutet wird und der Verantwortliche beweisen muss, dass ihn kein Verschulden trifft.

Urteil vom 25. Januar 2024 (C-687/21) "MediaMarktSaturn"

Mit diesem aktuellen Urteil hat der EuGH seine Rechtsprechung wiederum etwas eingeschränkt und entschieden, dass es dem Kläger einer Schadensersatzforderung obliegt, das Vorliegen eines solchen Schadens nachzuweisen. Insbesondere kann ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten nicht zu einer Entschädigung führen. Dies ist der Fall, wenn kein Dritter die fraglichen personenbezogenen Daten zur Kenntnis genommen hat.

Konsequenzen für die Praxis

Mit den oben genannten Urteilen stärkt der EuGH die Rechte der Betroffenen bezüglich Datenschutzverstößen deutlich. Jeder materielle oder immaterielle Schaden kann danach ein ersatzfähiger Schaden im Sinne des Art. 82 DSGVO darstellen. Eine Bagatellgrenze hinsichtlich der Höhe des Schadens ist mit den Schutzzielen der DSGVO nicht vereinbar. Seit Geltung der DSGVO ist die Sensibilität für Datenschutz enorm gestiegen. Datenschutzverstöße werden von Betroffenen vermehrt geltend gemacht und häufig auch als Druckmittel verwendet. Ein besonders brisantes Beispiel ist der Auskunftsanspruch nach Art. 15 DSGVO. Wenn dieser Anspruch unvollständig oder verspätet beantwortet wird, kann dies ebenfalls einen immateriellen Schadensersatz nach sich ziehen. Dieser Auskunftsanspruch wird auch gerne in arbeitsrechtlichen Prozessen als Druckmittel eingesetzt.

Neben Schadensersatzforderungen können die Datenschutzbehörden in bestimmten Fällen auch gegen öffentliche Stellen Bußgelder verhängen. Dies geschieht vor allem dann, wenn öffentliche Stellen als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen.

Praxistipp

Aufgrund der Stärkung der Betroffenenrechte steigt auch für öffentliche Stellen das Risiko, bei Datenschutzverstößen zu haften, sei es im Rahmen einer Schadensersatzforderung der Betroffenen oder durch Bußgelder oder sonstige Maßnahmen der Datenschutzbehörden. Daher ist es umso wichtiger, das Datenschutzmanagement und die IT-Sicherheit zu überwachen und anzupassen. Das Bewusstsein für Datenschutz und die Risiken von Datenschutzverletzungen muss weiter erhöht werden, um Haftungsrisiken zu minimieren.

Jason Komninos

Zur besseren Lesbarkeit wird in dem vorliegenden Beitrag auf die gleichzeitige Verwendung männlicher und weiblicher Sprachformen verzichtet. Es wird das generische Maskulin verwendet, wobei alle Geschlechter gleichermaßen gemeint sind.