This document is an excerpt from the EUR-Lex website
Document 62021CJ0687
Judgment of the Court (Third Chamber) of 25 January 2024.#BL v MediaMarktSaturn Hagen-Iserlohn GmbH.#Request for a preliminary ruling from the Amtsgericht Hagen.#Reference for a preliminary ruling – Protection of natural persons with regard to the processing of personal data – Regulation (EU) 2016/679 – Interpretation of Articles 5, 24, 32 and 82 – Assessment of the validity of Article 82 – Inadmissibility of the request for an assessment of validity – Right to compensation for damage caused by data processing which infringes that regulation – Transmission of data to an unauthorised third party on account of an error made by the employees of the controller – Assessment of the appropriateness of the protective measures implemented by the controller – Compensatory function fulfilled by the right to compensation – Effect of the severity of the infringement – Whether necessary to establish the existence of damage caused by that infringement – Concept of ‘non-material damage’.#Case C-687/21.
Urteil des Gerichtshofs (Dritte Kammer) vom 25. Januar 2024.
BL gegen MediaMarktSaturn Hagen-Iserlohn GmbH.
Vorabentscheidungsersuchen des Amtsgerichts Hagen.
Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Auslegung der Art. 5, 24, 32 und 82 – Beurteilung der Gültigkeit von Art. 82 – Unzulässigkeit des Ersuchens um Beurteilung der Gültigkeit – Anspruch auf Ersatz des Schadens, der durch eine unter Verstoß gegen diese Verordnung erfolgte Verarbeitung solcher Daten eingetreten ist – Übermittlung von Daten an einen unbefugten Dritten aufgrund eines Fehlers von Mitarbeitern des für die Verarbeitung Verantwortlichen – Beurteilung der Eignung der von dem für die Verarbeitung Verantwortlichen getroffenen Schutzmaßnahmen – Ausgleichsfunktion des Schadensersatzanspruchs – Auswirkung der Schwere des Verstoßes – Erfordernis des Nachweises eines durch den Verstoß verursachten Schadens – Begriff des immateriellen Schadens.
Rechtssache C-687/21.
Urteil des Gerichtshofs (Dritte Kammer) vom 25. Januar 2024.
BL gegen MediaMarktSaturn Hagen-Iserlohn GmbH.
Vorabentscheidungsersuchen des Amtsgerichts Hagen.
Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Auslegung der Art. 5, 24, 32 und 82 – Beurteilung der Gültigkeit von Art. 82 – Unzulässigkeit des Ersuchens um Beurteilung der Gültigkeit – Anspruch auf Ersatz des Schadens, der durch eine unter Verstoß gegen diese Verordnung erfolgte Verarbeitung solcher Daten eingetreten ist – Übermittlung von Daten an einen unbefugten Dritten aufgrund eines Fehlers von Mitarbeitern des für die Verarbeitung Verantwortlichen – Beurteilung der Eignung der von dem für die Verarbeitung Verantwortlichen getroffenen Schutzmaßnahmen – Ausgleichsfunktion des Schadensersatzanspruchs – Auswirkung der Schwere des Verstoßes – Erfordernis des Nachweises eines durch den Verstoß verursachten Schadens – Begriff des immateriellen Schadens.
Rechtssache C-687/21.
Court reports – general – 'Information on unpublished decisions' section
ECLI identifier: ECLI:EU:C:2024:72
URTEIL DES GERICHTSHOFS (Dritte Kammer)
25. Januar 2024 ( *1 )
„Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Auslegung der Art. 5, 24, 32 und 82 – Beurteilung der Gültigkeit von Art. 82 – Unzulässigkeit des Ersuchens um Beurteilung der Gültigkeit – Anspruch auf Ersatz des Schadens, der durch eine unter Verstoß gegen diese Verordnung erfolgte Verarbeitung solcher Daten eingetreten ist – Übermittlung von Daten an einen unbefugten Dritten aufgrund eines Fehlers von Mitarbeitern des für die Verarbeitung Verantwortlichen – Beurteilung der Eignung der von dem für die Verarbeitung Verantwortlichen getroffenen Schutzmaßnahmen – Ausgleichsfunktion des Schadensersatzanspruchs – Auswirkung der Schwere des Verstoßes – Erfordernis des Nachweises eines durch den Verstoß verursachten Schadens – Begriff des immateriellen Schadens“
In der Rechtssache C‑687/21
betreffend ein Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht vom Amtsgericht Hagen (Deutschland) mit Entscheidung vom 11. Oktober 2021, beim Gerichtshof eingegangen am 16. November 2021, in dem Verfahren
BL
gegen
MediaMarktSaturn Hagen-Iserlohn GmbH, vormals Saturn Electro-Handelsgesellschaft mbH Hagen,
erlässt
DER GERICHTSHOF (Dritte Kammer)
unter Mitwirkung der Kammerpräsidentin K. Jürimäe sowie der Richter N. Piçarra, M. Safjan, N. Jääskinen (Berichterstatter) und M. Gavalec,
Generalanwalt: M. Campos Sánchez-Bordona,
Kanzler: A. Calot Escobar,
aufgrund des schriftlichen Verfahrens,
unter Berücksichtigung der Erklärungen
|
– |
von BL, vertreten durch Rechtsanwalt D. Pudelko, |
|
– |
der MediaMarktSaturn Hagen-Iserlohn GmbH, vormals Saturn Electro-Handelsgesellschaft mbH Hagen, vertreten durch Rechtsanwalt B. Hackl, |
|
– |
Irlands, vertreten durch M. Browne, Chief State Solicitor, A. Joyce und M. Lane als Bevollmächtigte im Beistand von D. Fennelly, BL, |
|
– |
des Europäischen Parlaments, vertreten durch O. Hrstková Šolcová und J.‑C. Puffer als Bevollmächtigte, |
|
– |
der Europäischen Kommission, vertreten durch A. Bouchagiar, M. Heller und H. Kranenborg als Bevollmächtigte, |
aufgrund des nach Anhörung des Generalanwalts ergangenen Beschlusses, ohne Schlussanträge über die Rechtssache zu entscheiden,
folgendes
Urteil
|
1 |
Das Vorabentscheidungsersuchen betrifft die Auslegung von Art. 2 Abs. 1, Art. 4 Nr. 7, Art. 5 Abs. 1 Buchst. f, Art. 6 Abs. 1, Art. 24, Art. 32 Abs. 1 Buchst. b und Abs. 2 sowie Art. 82 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, berichtigt in ABl. 2018, L 127, S. 2, im Folgenden: DSGVO) sowie die Beurteilung der Gültigkeit von Art. 82 DSGVO. |
|
2 |
Es ergeht im Rahmen eines Rechtsstreits zwischen BL, einer natürlichen Person, und der MediaMarktSaturn Hagen-Iserlohn GmbH, vormals Saturn Electro-Handelsgesellschaft mbH Hagen (im Folgenden: Saturn), über den Ersatz des immateriellen Schadens, der BL dadurch entstanden sein soll, dass einige seiner personenbezogenen Daten aufgrund eines Fehlers von Mitarbeitern von Saturn an einen Dritten weitergegeben wurden. |
Rechtlicher Rahmen
|
3 |
In den Erwägungsgründen 11, 74, 76, 83, 85 und 146 der DSGVO heißt es:
…
…
…
…
…
|
|
4 |
In Kapitel I („Allgemeine Bestimmungen“) der DSGVO sieht Art. 2 („Sachlicher Anwendungsbereich“) in Abs. 1 vor: „Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.“ |
|
5 |
In Art. 4 („Begriffsbestimmungen“) DSGVO heißt es: „Im Sinne dieser Verordnung bezeichnet der Ausdruck:
…
…
…
…“ |
|
6 |
Kapitel II („Grundsätze“) der DSGVO umfasst ihre Art. 5 bis 11. |
|
7 |
Art. 5 („Grundsätze für die Verarbeitung personenbezogener Daten“) DSGVO sieht vor: „(1) Personenbezogene Daten müssen …
(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (‚Rechenschaftspflicht‘).“ |
|
8 |
Art. 6 („Rechtmäßigkeit der Verarbeitung“) DSGVO legt in Abs. 1 fest, welche Voraussetzungen erfüllt sein müssen, damit eine Verarbeitung rechtmäßig ist. |
|
9 |
Kapitel IV („Verantwortlicher und Auftragsverarbeiter“) der DSGVO umfasst ihre Art. 24 bis 43. |
|
10 |
Der zu Abschnitt 1 („Allgemeine Pflichten“) des Kapitels IV gehörende Art. 24 („Verantwortung des für die Verarbeitung Verantwortlichen“) bestimmt in den Abs. 1 und 2: „(1) Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert. (2) Sofern dies in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten steht, müssen die Maßnahmen gemäß Absatz 1 die Anwendung geeigneter Datenschutzvorkehrungen durch den Verantwortlichen umfassen.“ |
|
11 |
Der zu Abschnitt 2 („Sicherheit personenbezogener Daten“) des Kapitels IV gehörende Art. 32 DSGVO („Sicherheit der Verarbeitung“) bestimmt in Abs. 1 Buchst. b und Abs. 2: „(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein: …
… (2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.“ |
|
12 |
Kapitel VIII („Rechtsbehelfe, Haftung und Sanktionen“) der DSGVO enthält ihre Art. 77 bis 84. |
|
13 |
In Art. 82 („Haftung und Recht auf Schadenersatz“) DSGVO heißt es: „(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. (2) Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. … (3) Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. …“ |
|
14 |
Art. 83 („Allgemeine Bedingungen für die Verhängung von Geldbußen“) DSGVO sieht vor: „(1) Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 4, 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. (2) … Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt:
…
…
(3) Verstößt ein Verantwortlicher oder ein Auftragsverarbeiter bei gleichen oder miteinander verbundenen Verarbeitungsvorgängen vorsätzlich oder fahrlässig gegen mehrere Bestimmungen dieser Verordnung, so übersteigt der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß. …“ |
|
15 |
Art. 84 („Sanktionen“) DSGVO bestimmt in Abs. 1: „Die Mitgliedstaaten legen die Vorschriften über andere Sanktionen für Verstöße gegen diese Verordnung – insbesondere für Verstöße, die keiner Geldbuße gemäß Artikel 83 unterliegen – fest und treffen alle zu deren Anwendung erforderlichen Maßnahmen. Diese Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein.“ |
Ausgangsverfahren und Vorlagefragen
|
16 |
Der Kläger des Ausgangsverfahrens begab sich in die Geschäftsräume von Saturn und erwarb dort ein Elektrohaushaltsgerät. Zu diesem Zweck erstellte ein Mitarbeiter von Saturn einen Kauf- und Kreditvertrag. Dabei gab er in das EDV-System von Saturn mehrere personenbezogene Daten des Kunden ein, und zwar seinen Namen und Vornamen, seine Anschrift, seinen Wohnort, den Namen seines Arbeitgebers, seine Einkünfte sowie seine Bankdaten. |
|
17 |
Die Vertragsunterlagen mit diesen personenbezogenen Daten wurden ausgedruckt und von beiden Parteien unterzeichnet. Der Kläger des Ausgangsverfahrens brachte sie sodann den an der Warenausgabe tätigen Mitarbeitern von Saturn. Ein anderer Kunde, der sich unbemerkt vorgedrängelt hatte, erhielt daraufhin irrtümlich sowohl das vom Kläger bestellte Gerät als auch die betreffenden Unterlagen und nahm alles mit. |
|
18 |
Der Irrtum wurde rasch bemerkt, und ein Mitarbeiter von Saturn erwirkte die Rückgabe des Geräts und der Unterlagen, die er sodann, etwa eine halbe Stunde, nachdem sie dem anderen Kunden ausgehändigt worden waren, dem Kläger des Ausgangsverfahrens zurückgab. Das Unternehmen bot dem Kläger des Ausgangsverfahrens an, ihn durch unentgeltliche Lieferung des betreffenden Geräts in seine Wohnung für diesen Fehler zu entschädigen; der Kläger hielt eine solche Entschädigung jedoch für unzureichend. |
|
19 |
Der Kläger des Ausgangsverfahrens erhob beim Amtsgericht Hagen (Deutschland), dem vorlegenden Gericht in dieser Rechtssache, Klage auf Ersatz des immateriellen Schadens, den er aufgrund des Irrtums der Angestellten von Saturn und des daraus resultierenden Risikos des Verlusts der Kontrolle über seine personenbezogenen Daten erlitten habe; dabei stützte er sich u. a. auf die Bestimmungen der DSGVO. |
|
20 |
Saturn hält dem zum einen entgegen, dass kein Verstoß gegen die DSGVO vorgelegen habe und dass ein solcher Verstoß die Überschreitung einer bestimmten Erheblichkeitsschwelle voraussetze, die hier nicht erreicht worden sei. Zum anderen sei dem Kläger des Ausgangsverfahrens kein Schaden entstanden, da weder festgestellt noch auch nur geltend gemacht worden sei, dass der betreffende Dritte die personenbezogenen Daten des Klägers missbräuchlich verwendet habe. |
|
21 |
Das vorlegende Gericht wirft erstens die Frage nach der Gültigkeit von Art. 82 DSGVO auf, da es ihm keine näheren Angaben zu seinen Rechtswirkungen im Fall des Ersatzes eines immateriellen Schadens entnehmen kann. |
|
22 |
Zweitens möchte es für den Fall, dass Art. 82 vom Gerichtshof nicht für ungültig erklärt werden sollte, wissen, ob die Geltendmachung des darin vorgesehenen Schadensersatzanspruchs nicht nur den Nachweis eines Verstoßes gegen die DSGVO voraussetze, sondern auch, dass der Person, die Schadensersatz verlange, ein Schaden, insbesondere immaterieller Art, entstanden sei. |
|
23 |
Drittens möchte das vorlegende Gericht wissen, ob die bloße Tatsache, dass ausgedruckte Dokumente, die personenbezogene Daten enthielten, aufgrund eines Irrtums der Mitarbeiter des Verantwortlichen unbefugt an einen Dritten weitergegeben worden seien, einen Verstoß gegen die DSGVO begründen könne. |
|
24 |
Viertens führt das vorlegende Gericht aus, dass „der Unschuldsbeweis auf Seiten des [beklagten] Unternehmens liegt“, und möchte wissen, ob ein Verstoß gegen die DSGVO – insbesondere im Hinblick auf die Verpflichtung des für die Verarbeitung Verantwortlichen nach den Art. 2, 5, 6 und 24 DSGVO, geeignete Maßnahmen zur Gewährleistung der Sicherheit der verarbeiteten Daten zu ergreifen – schon dann vorliege, wenn festgestellt werde, dass fahrlässig eine solche Weitergabe von Unterlagen erfolgt sei. |
|
25 |
Fünftens wirft das vorlegende Gericht die Frage auf, ob auch dann, wenn der unbefugte Dritte vor der Rückgabe der Dokumente offenbar keine Kenntnis von den darin enthaltenen personenbezogenen Daten erlangt habe, das Vorliegen eines „immateriellen Schadens“ im Sinne von Art. 82 DSGVO allein deshalb bejaht werden könne, weil die Person, deren Daten auf diese Weise übermittelt worden seien, befürchte, dass sich in der Zukunft das nicht auszuschließende Risiko verwirkliche, dass die Daten von dem Dritten an andere Personen weitergegeben oder gar missbräuchlich verwendet würden. |
|
26 |
Sechstens fragt das vorlegende Gericht nach den eventuellen Auswirkungen, die im Rahmen einer auf Art. 82 DSGVO gestützten Klage auf Ersatz eines immateriellen Schadens die Schwere eines unter Umständen wie denen des Ausgangsverfahrens begangenen Verstoßes angesichts dessen haben könne, dass der für die Verarbeitung Verantwortliche wirksamere Sicherheitsmaßnahmen hätte treffen können. |
|
27 |
Siebtens schließlich möchte es wissen, welcher Zweck mit dem nach der DSGVO geschuldeten Ersatz eines immateriellen Schadens verfolgt werde und ob davon ausgegangen werden könne, dass er den Charakter einer Sanktion wie bei einer Vertragsstrafe habe. |
|
28 |
Unter diesen Umständen hat das Amtsgericht Hagen beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:
|
Zu den Vorlagefragen
Zur ersten Frage
|
29 |
Mit seiner ersten Frage möchte das vorlegende Gericht wissen, ob Art. 82 DSGVO unwirksam ist, weil er keine näheren Angaben zu den anzuordnenden Rechtsfolgen beim immateriellen Schadensersatz enthält. |
|
30 |
Das Europäische Parlament hält diese Frage für unzulässig, da das vorlegende Gericht – das eine besonders komplexe Problematik aufwerfe, und zwar die Beurteilung der Gültigkeit einer Bestimmung des Unionsrechts – die Anforderungen von Art. 94 Buchst. c der Verfahrensordnung des Gerichtshofs nicht erfüllt habe. |
|
31 |
Nach Art. 94 Buchst. c der Verfahrensordnung muss das Vorabentscheidungsersuchen außer den dem Gerichtshof zur Vorabentscheidung vorgelegten Fragen u. a. eine Darstellung der Gründe enthalten, aus denen das vorlegende Gericht Zweifel bezüglich der Auslegung oder der Gültigkeit bestimmter Vorschriften des Unionsrechts hat. |
|
32 |
Insoweit ist die Darstellung der Gründe des Vorabentscheidungsersuchens unerlässlich, nicht nur, damit der Gerichtshof zweckdienliche Antworten geben kann, sondern auch, um den Regierungen der Mitgliedstaaten und den anderen Beteiligten die Möglichkeit zu geben, gemäß Art. 23 der Satzung des Gerichtshofs der Europäischen Union Erklärungen abzugeben. Genauer gesagt muss der Gerichtshof die Gültigkeit einer Bestimmung des Unionsrechts anhand der in der Vorlageentscheidung bezeichneten Ungültigkeitsgründe prüfen; werden die genauen Gründe, aus denen das vorlegende Gericht Zweifel daran hat, überhaupt nicht angegeben, führt dies zur Unzulässigkeit der die Gültigkeit betreffenden Fragen (vgl. in diesem Sinne Urteile vom 15. Juni 2017, T.KUP, C‑349/16, EU:C:2017:469, Rn. 16 bis 18, und vom 22. Juni 2023, Vitol, C‑268/22, EU:C:2023:508, Rn. 52 bis 55). |
|
33 |
Im vorliegenden Fall legt das vorlegende Gericht jedoch keinen konkreten Anhaltspunkt dar, der es dem Gerichtshof ermöglichen würde, die Gültigkeit von Art. 82 DSGVO zu prüfen. |
|
34 |
Infolgedessen ist die erste Frage unzulässig. |
Zur dritten und zur vierten Frage
|
35 |
Mit seiner dritten und seiner vierten Frage, die gemeinsam zuerst zu prüfen sind, möchte das vorlegende Gericht im Wesentlichen wissen, ob die Art. 5, 24, 32 und 82 DSGVO zusammen betrachtet dahin auszulegen sind, dass im Rahmen einer auf Art. 82 gestützten Schadensersatzklage der Umstand, dass Mitarbeiter des für die Verarbeitung Verantwortlichen irrtümlich ein Dokument mit personenbezogenen Daten an einen unbefugten Dritten weitergegeben haben, für sich genommen ausreicht, um davon auszugehen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht „geeignet“ im Sinne der Art. 24 und 32 waren. |
|
36 |
Art. 24 DSGVO sieht eine allgemeine Verpflichtung des für die Verarbeitung personenbezogener Daten Verantwortlichen vor, geeignete technische und organisatorische Maßnahmen umzusetzen, um sicherzustellen, dass die Verarbeitung im Einklang mit der DSGVO erfolgt, und den Nachweis dafür erbringen zu können (Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, Rn. 24). |
|
37 |
Art. 32 DSGVO regelt die Pflichten des Verantwortlichen und eines etwaigen Auftragsverarbeiters in Bezug auf die Sicherheit der Verarbeitung. So bestimmt Art. 32 Abs. 1 DSGVO, dass diese Personen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der betreffenden Verarbeitung geeignete technische und organisatorische Maßnahmen treffen müssen, um ein Schutzniveau zu gewährleisten, das den mit der Verarbeitung verbundenen Risiken angemessen ist. Ebenso sind nach Art. 32 Abs. 2 DSGVO bei der Beurteilung des angemessenen Schutzniveaus insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von bzw. unbefugten Zugang zu personenbezogenen Daten (vgl. in diesem Sinne Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, Rn. 26 und 27). |
|
38 |
Somit ergibt sich aus dem Wortlaut der Art. 24 und 32 DSGVO, dass die Geeignetheit der vom Verantwortlichen umgesetzten Maßnahmen konkret zu bewerten ist, unter Berücksichtigung der verschiedenen in diesen Artikeln aufgeführten Kriterien und der Datenschutzbedürfnisse, die speziell mit der betreffenden Verarbeitung sowie den davon ausgehenden Risiken verbunden sind. Dies gilt umso mehr, als der Verantwortliche die Möglichkeit haben muss, den Nachweis zu erbringen, dass seine Maßnahmen im Einklang mit der DSGVO stehen; diese Möglichkeit bliebe ihm verwehrt, wenn von einer unwiderlegbaren Vermutung ausgegangen würde (vgl. in diesem Sinne Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, Rn. 30 bis 32). |
|
39 |
Diese Auslegung des Wortlauts wird durch eine Gesamtbetrachtung der Art. 24 und 32 mit Art. 5 Abs. 2 und Art. 82 DSGVO im Licht ihrer Erwägungsgründe 74, 76 und 83 bestätigt, aus denen sich insbesondere ergibt, dass der für die Verarbeitung Verantwortliche verpflichtet ist, die Risiken einer Verletzung des Schutzes personenbezogener Daten einzudämmen, und nicht, jede Verletzung ihres Schutzes zu verhindern (vgl. in diesem Sinne Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, Rn. 33 bis 38). |
|
40 |
Infolgedessen hat der Gerichtshof die Art. 24 und 32 DSGVO dahin ausgelegt, dass eine unbefugte Offenlegung personenbezogener Daten oder ein unbefugter Zugang zu ihnen durch „Dritte“ im Sinne von Art. 4 Nr. 10 DSGVO allein nicht ausreicht, um anzunehmen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht „geeignet“ im Sinne der Art. 24 und 32 waren (Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, Rn. 39). |
|
41 |
Der Umstand, dass Mitarbeiter des für die Verarbeitung Verantwortlichen irrtümlich ein Dokument mit personenbezogenen Daten an einen unbefugten Dritten weitergegeben haben, könnte im vorliegenden Fall zeigen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht „geeignet“ im Sinne der Art. 24 und 32 waren. Ein solcher Umstand kann insbesondere aus Fahrlässigkeit oder aus Organisationsmängeln des für die Verarbeitung Verantwortlichen resultieren, der den mit der Verarbeitung der betreffenden Daten verbundenen Risiken nicht konkret Rechnung trägt. |
|
42 |
Insoweit ergibt sich aus einer Gesamtbetrachtung der Art. 5, 24 und 32 DSGVO im Licht ihres 74. Erwägungsgrundes, dass im Rahmen einer auf Art. 82 DSGVO gestützten Schadensersatzklage der für die betreffende Verarbeitung Verantwortliche die Beweislast dafür trägt, dass die personenbezogenen Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der Daten im Sinne von Art. 5 Abs. 1 Buchst. f und Art. 32 DSGVO gewährleistet. Eine solche Beweislastverteilung ist nicht nur geeignet, die für die Verarbeitung dieser Daten Verantwortlichen dazu anzuhalten, die nach der DSGVO erforderlichen Sicherheitsmaßnahmen zu ergreifen, sondern auch, die praktische Wirksamkeit des in Art. 82 DSGVO vorgesehenen Schadensersatzanspruchs zu schützen und die in ihrem elften Erwägungsgrund genannten Absichten des Unionsgesetzgebers zu wahren (vgl. in diesem Sinne Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, Rn. 49 bis 56). |
|
43 |
Daher hat der Gerichtshof den in Art. 5 Abs. 2 DSGVO aufgestellten und in ihrem Art. 24 konkretisierten Grundsatz der Rechenschaftspflicht des Verantwortlichen dahin ausgelegt, dass im Rahmen einer auf Art. 82 DSGVO gestützten Schadensersatzklage der für die betreffende Verarbeitung Verantwortliche die Beweislast dafür trägt, dass die von ihm getroffenen Sicherheitsmaßnahmen im Sinne von Art. 32 DSGVO geeignet waren (Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, Rn. 57). |
|
44 |
Somit darf ein Gericht, das mit einer solchen auf Art. 82 DSGVO gestützten Schadensersatzklage befasst ist, bei der Klärung der Frage, ob ein Verstoß gegen eine in dieser Verordnung vorgesehene Verpflichtung vorliegt, nicht allein den Umstand berücksichtigen, dass Mitarbeiter des Verantwortlichen irrtümlich ein Dokument mit personenbezogenen Daten an einen unbefugten Dritten weitergegeben haben. Es muss vielmehr auch sämtliche Beweise heranziehen, die der für die Verarbeitung Verantwortliche vorgelegt hat, um die Geeignetheit der technischen und organisatorischen Maßnahmen nachzuweisen, die er getroffen hat, um seinen Verpflichtungen aus den Art. 24 und 32 DSGVO nachzukommen. |
|
45 |
Nach alledem ist auf die dritte und die vierte Frage zu antworten, dass die Art. 5, 24, 32 und 82 DSGVO zusammen betrachtet dahin auszulegen sind, dass im Rahmen einer auf Art. 82 gestützten Schadensersatzklage der Umstand, dass Mitarbeiter des für die Verarbeitung Verantwortlichen irrtümlich ein Dokument mit personenbezogenen Daten an einen unbefugten Dritten weitergegeben haben, für sich genommen nicht ausreicht, um davon auszugehen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht „geeignet“ im Sinne der Art. 24 und 32 waren. |
Zur siebten Frage
|
46 |
Mit seiner siebten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 DSGVO dahin auszulegen ist, dass der in dieser Bestimmung vorgesehene Schadensersatzanspruch, insbesondere im Fall eines immateriellen Schadens, eine Straffunktion erfüllt. |
|
47 |
Hierzu hat der Gerichtshof entschieden, dass Art. 82 DSGVO – anders als andere, ebenfalls in Kapitel VIII dieser Verordnung enthaltene Bestimmungen, und zwar ihre Art. 83 und 84, die im Wesentlichen einen Strafzweck haben, da sie die Verhängung von Geldbußen und anderen Sanktionen erlauben – keine Straf‑, sondern eine Ausgleichsfunktion hat. Das Verhältnis zwischen den in Art. 82 DSGVO und den in ihren Art. 83 und 84 enthaltenen Vorschriften zeigt, dass zwischen diesen beiden Kategorien von Bestimmungen ein Unterschied besteht, sie einander aber auch als Anreiz zur Einhaltung der DSGVO ergänzen, wobei das Recht jeder Person, den Ersatz eines Schadens zu verlangen, die Durchsetzungskraft der in dieser Verordnung vorgesehenen Schutzvorschriften erhöht und geeignet ist, von der Wiederholung rechtswidriger Verhaltensweisen abzuschrecken (vgl. in diesem Sinne Urteile vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C‑300/21, EU:C:2023:370, Rn. 38 und 40, sowie vom 21. Dezember 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, Rn. 85). |
|
48 |
Der Gerichtshof hat hinzugefügt, dass sich, da der in Art. 82 Abs. 1 DSGVO vorgesehene Schadensersatzanspruch keine abschreckende oder gar Straffunktion erfüllt, sondern eine Ausgleichsfunktion hat, die Schwere des Verstoßes gegen die DSGVO, durch den der betreffende Schaden entstanden ist, nicht auf die Höhe des auf der Grundlage dieser Bestimmung gewährten Schadensersatzes auswirken kann, auch wenn es sich nicht um einen materiellen, sondern um einen immateriellen Schaden handelt, so dass dieser Betrag nicht so hoch bemessen werden darf, dass er über den vollständigen Ersatz des Schadens hinausgeht (vgl. in diesem Sinne Urteil vom 21. Dezember 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, Rn. 86 und 87). |
|
49 |
Aus dem Vorstehenden ergibt sich, dass es nicht erforderlich ist, zu dem vom vorlegenden Gericht in Betracht gezogenen Zusammenhang zwischen dem Zweck, der mit dem in Art. 82 Abs. 1 DSGVO verankerten Schadensersatzanspruch verfolgt wird, und der Straffunktion einer Vertragsstrafe Stellung zu nehmen. |
|
50 |
Infolgedessen ist auf die siebte Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass der in dieser Bestimmung vorgesehene Schadensersatzanspruch, insbesondere im Fall eines immateriellen Schadens, eine Ausgleichsfunktion hat, da eine auf sie gestützte Entschädigung in Geld es ermöglichen soll, den konkret aufgrund des Verstoßes gegen die DSGVO erlittenen Schaden vollständig auszugleichen, und keine Straffunktion erfüllt. |
Zur sechsten Frage
|
51 |
Mit seiner sechsten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 DSGVO dahin auszulegen ist, dass er verlangt, dass die Schwere des von dem für die Verarbeitung Verantwortlichen begangenen Verstoßes gegen die DSGVO für die Zwecke des Ersatzes eines Schadens auf der Grundlage dieser Bestimmung berücksichtigt wird. |
|
52 |
Insoweit geht aus Art. 82 DSGVO hervor, dass zum einen die Haftung des Verantwortlichen u. a. vom Vorliegen eines ihm anzulastenden Verschuldens abhängt, das vermutet wird, sofern er nicht nachweist, dass die Handlung, die den Schaden verursacht hat, ihm nicht zurechenbar ist, und dass Art. 82 zum anderen nicht verlangt, dass die Schwere dieses Verschuldens bei der Bemessung der Höhe des als Entschädigung für einen immateriellen Schaden auf der Grundlage dieser Bestimmung gewährten Schadensersatzes berücksichtigt wird (Urteil vom 21. Dezember 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, Rn. 103). |
|
53 |
Was die Bemessung der Höhe des etwaigen gemäß Art. 82 DSGVO geschuldeten Schadensersatzes betrifft, haben die nationalen Gerichte, da die DSGVO keine Bestimmung mit diesem Gegenstand enthält, bei seiner Bemessung die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden (vgl. in diesem Sinne Urteil vom 21. Dezember 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, Rn. 83 und 101 sowie die dort angeführte Rechtsprechung). |
|
54 |
Der Gerichtshof hat außerdem klargestellt, dass Art. 82 DSGVO in Anbetracht der Ausgleichsfunktion des darin verankerten Schadensersatzanspruchs nicht verlangt, dass die Schwere des Verstoßes gegen die Verordnung, den der für die Verarbeitung Verantwortliche begangen haben soll, bei der Bemessung des Betrags des zum Ausgleich eines immateriellen Schadens auf der Grundlage dieser Bestimmung gewährten Schadensersatzes berücksichtigt wird; er verlangt vielmehr, den Betrag so festzulegen, dass er den konkret aufgrund des Verstoßes gegen die DSGVO erlittenen Schaden vollständig ausgleicht (vgl. in diesem Sinne Urteil vom 21. Dezember 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, Rn. 84 bis 87 und 102 sowie die dort angeführte Rechtsprechung). |
|
55 |
Nach alledem ist auf die sechste Frage zu antworten, dass Art. 82 DSGVO dahin auszulegen ist, dass er nicht verlangt, dass die Schwere des von dem für die Verarbeitung Verantwortlichen begangenen Verstoßes für die Zwecke des Ersatzes eines Schadens auf der Grundlage dieser Bestimmung berücksichtigt wird. |
Zur zweiten Frage
|
56 |
Mit seiner zweiten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass die Person, die aufgrund dieser Bestimmung Schadensersatz verlangt, nicht nur den Verstoß gegen Bestimmungen der DSGVO nachweisen muss, sondern auch, dass ihr dadurch ein materieller oder immaterieller Schaden entstanden ist. |
|
57 |
Art. 82 Abs. 1 DSGVO lautet: „Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“ |
|
58 |
Wie sich aus dem Wortlaut dieser Bestimmung ergibt, reicht der bloße Verstoß gegen die DSGVO nicht aus, um einen Schadensersatzanspruch zu begründen. Das Vorliegen eines „Schadens“ stellt nämlich eine der Voraussetzungen für den in Art. 82 Abs. 1 vorgesehenen Schadensersatzanspruch dar, ebenso wie das Vorliegen eines Verstoßes gegen die DSGVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (vgl. in diesem Sinne Urteile vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C‑300/21, EU:C:2023:370, Rn. 32 und 42, vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, Rn. 77, vom 14. Dezember 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, Rn. 14, und vom 21. Dezember 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, Rn. 82). |
|
59 |
Speziell in Bezug auf immaterielle Schäden hat der Gerichtshof ferner entschieden, dass Art. 82 Abs. 1 DSGVO einer nationalen Vorschrift oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person im Sinne von Art. 4 Nr. 1 DSGVO entstandene Schaden eine gewisse Schwere erreicht hat (vgl. in diesem Sinne Urteile vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C‑300/21, EU:C:2023:370, Rn. 51, vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, Rn. 78, und vom 14. Dezember 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, Rn. 16). |
|
60 |
Der Gerichtshof hat hinzugefügt, dass eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie nachteilige Folgen hatte, jedoch den Nachweis erbringen muss, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen, da der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen (vgl. in diesem Sinne Urteile vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C‑300/21, EU:C:2023:370, Rn. 42 und 50, vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, Rn. 84, und vom 14. Dezember 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, Rn. 21 und 23). |
|
61 |
Nach alledem ist auf die zweite Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass die Person, die aufgrund dieser Bestimmung Schadensersatz verlangt, nicht nur den Verstoß gegen Bestimmungen der DSGVO nachweisen muss, sondern auch, dass ihr dadurch ein materieller oder immaterieller Schaden entstanden ist. |
Zur fünften Frage
|
62 |
Mit seiner fünften Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass in einem Fall, in dem ein Dokument, das personenbezogene Daten enthält, an einen unbefugten Dritten weitergegeben wurde, der diese Daten erwiesenermaßen nicht zur Kenntnis genommen hat, schon deshalb ein „immaterieller Schaden“ im Sinne dieser Bestimmung vorliegen kann, weil die betroffene Person befürchtet, dass im Anschluss an die Weitergabe, die es ermöglichte, vor der Rückgabe des Dokuments eine Kopie von ihm anzufertigen, in der Zukunft eine Weiterverbreitung oder gar ein Missbrauch ihrer Daten stattfindet. |
|
63 |
Nach den Angaben des vorlegenden Gerichts erhielt der Kläger des Ausgangsverfahrens im vorliegenden Fall das Dokument mit den betreffenden Daten binnen einer halben Stunde nach der Weitergabe an einen unbefugten Dritten zurück, ohne dass dieser vor der Rückgabe des Dokuments die Daten zur Kenntnis genommen hatte; der Kläger macht aber geltend, der Dritte habe die Möglichkeit gehabt, vor der Rückgabe des Dokuments Kopien von ihm anzufertigen, was bei ihm Unbehagen wegen des Risikos einer künftigen missbräuchlichen Verwendung der Daten ausgelöst habe. |
|
64 |
Angesichts dessen, dass Art. 82 Abs. 1 DSGVO nicht auf das innerstaatliche Recht der Mitgliedstaaten verweist, muss der Begriff „immaterieller Schaden“ im Sinne dieser Bestimmung eine autonome und einheitliche unionsrechtliche Definition erhalten (vgl. in diesem Sinne Urteile vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C‑300/21, EU:C:2023:370, Rn. 30 und 44, sowie vom 14. Dezember 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, Rn. 15). |
|
65 |
Der Gerichtshof hat entschieden, dass sich nicht nur aus dem Wortlaut von Art. 82 Abs. 1 DSGVO im Licht ihrer Erwägungsgründe 85 und 146, wonach der Begriff „immaterieller Schaden“ im Sinne von Art. 82 Abs. 1 weit zu verstehen ist, sondern auch aus dem mit der DSGVO verfolgten Ziel der Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten ergibt, dass die durch einen Verstoß gegen die DSGVO ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, für sich genommen einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 darstellen kann (vgl. in diesem Sinne Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, Rn. 79 bis 86). |
|
66 |
Überdies hat der Gerichtshof, ebenfalls gestützt auf Erwägungen zu Wortlaut, Systematik sowie Sinn und Zweck, festgestellt, dass die betroffene Person durch den kurzzeitigen Verlust der Kontrolle über personenbezogene Daten einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO erleiden kann, der einen Schadensersatzanspruch begründet, sofern diese Person den Nachweis erbringt, dass sie tatsächlich einen solchen Schaden – so geringfügig er auch sein mag – erlitten hat, wobei der bloße Verstoß gegen die Bestimmungen der DSGVO nicht ausreicht, um auf dieser Grundlage einen Schadensersatzanspruch zu begründen (vgl. in diesem Sinne Urteil vom 14. Dezember 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, Rn. 18 bis 23). |
|
67 |
Desgleichen ist im vorliegenden Fall festzustellen, dass es sowohl mit dem Wortlaut von Art. 82 Abs. 1 DSGVO als auch mit dem Schutzziel dieser Verordnung im Einklang steht, dass der Begriff „immaterieller Schaden“ eine Situation umfasst, in der die betroffene Person die begründete Befürchtung hegt – was zu prüfen Sache des angerufenen nationalen Gerichts ist –, dass einige ihrer personenbezogenen Daten künftig von Dritten weiterverbreitet oder missbräuchlich verwendet werden, weil ein Dokument, das diese Daten enthält, an einen unbefugten Dritten weitergegeben wurde, der in der Lage war, vor der Rückgabe des Dokuments Kopien von ihm anzufertigen. |
|
68 |
Gleichwohl obliegt es demjenigen, der eine auf Art. 82 DSGVO gestützte Schadensersatzklage erhebt, das Vorliegen eines solchen Schadens nachzuweisen. Insbesondere kann ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten nicht zu einer Entschädigung führen. Dies ist der Fall, wenn kein Dritter die fraglichen personenbezogenen Daten zur Kenntnis genommen hat. |
|
69 |
Daher ist auf die fünfte Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass in einem Fall, in dem ein Dokument, das personenbezogene Daten enthält, an einen unbefugten Dritten weitergegeben wurde, der diese Daten erwiesenermaßen nicht zur Kenntnis genommen hat, nicht schon deshalb ein „immaterieller Schaden“ im Sinne dieser Bestimmung vorliegt, weil die betroffene Person befürchtet, dass im Anschluss an die Weitergabe, die es ermöglichte, vor der Rückgabe des Dokuments eine Kopie von ihm anzufertigen, in der Zukunft eine Weiterverbreitung oder gar ein Missbrauch ihrer Daten stattfindet. |
Kosten
|
70 |
Für die Beteiligten des Ausgangsverfahrens ist das Verfahren Teil des beim vorlegenden Gericht anhängigen Verfahrens; die Kostenentscheidung ist daher Sache dieses Gerichts. Die Auslagen anderer Beteiligter für die Abgabe von Erklärungen vor dem Gerichtshof sind nicht erstattungsfähig. |
|
Aus diesen Gründen hat der Gerichtshof (Dritte Kammer) für Recht erkannt: |
|
|
|
|
|
|
Unterschriften |
( *1 ) Verfahrenssprache: Deutsch.