Immaterieller Schadensersatz aus Sicht des Datenschutzes – EuGH-Entscheidungen am Beispiel von Fehlversand und Hackerangriff

Wird im Notarbüro festgestellt, dass es im Rahmen eines Fehlversandes zu einem Datenschutzvorfall gekommen ist, ist schnelles Handeln erforderlich. Doch mit der alleinigen Dokumentation des Vorfalls und sogar mit einer Meldung an den Landesdatenschutzbeauftragten ist es nicht immer getan. Unter Umständen können Schadensersatzansprüche des Betroffenen gegenüber der Notarin* bzw. dem Notar als Verantwortlichen der Datenverarbeitung geltend gemacht werden. Diese stehen laut Art. 82 Abs. 1 DSGVO jeder Person zu, der durch einen Datenschutzvorfall ein materieller oder immaterieller Schaden entstanden ist. (*Aus Gründen der erleichterten Lesbarkeit wird im Folgenden nur die männliche Form verwendet)

Den Nachweis, dass ihm ein immaterieller Schaden entstanden ist, wird der Betroffene nur selten führen können. Deshalb kommt im Rahmen einer Datenschutzverletzung der Frage, ob dem Betroffenen ein immaterieller Schaden entstanden ist, eine gesteigerte Bedeutung zu. Auch wenn die Rechtsprechung bezüglich der Frage, wann ein immaterieller Schaden durch eine Datenschutzverletzung allgemein zu bejahen ist, noch nicht abschließend beantwortetet hat, äußert sich der Europäische Gerichtshof (EuGH) nun in zwei Fällen zum immateriellen Schadensersatz.  

1. Immaterieller Schadensersatz bei Fehlversand von Mandantenpost

Eine der häufigsten Formen von Datenschutzverletzungen – auch im Notarbüro – sind Fehlversendungen per E-Mail oder Post.

Sachverhalt

Der EuGH hatte kürzlich einen Fall zu entscheiden, in dem ein Steuerberater eine Steuererklärung irrtümlich an den falschen Mandanten versendet hatte (EuGH, Urt. v. 20.06.2024, Az. C-590/22 PS). In der Steuererklärung waren sensible Daten, wie z.B. die Steuer-IDs, Gehalts- und Kontodaten der Mandanten, enthalten. Die Betroffenen verlangten vor Gericht immateriellen Schadensersatz i.H.v. 15.000 EUR aufgrund von Verstößen gegen die DSGVO.

Entscheidung des EuGH

Der EuGH urteilte, dass allein aus dem Verstoß gegen die DSGVO noch nicht zwangsläufig auch ein Anspruch auf immateriellen Schadensersatz folgt.

Der Betroffene müsse vielmehr nachweisen, dass ihm auch ein Schaden entstanden ist. Beim Nachweis dieses Schadens sei zwar von einem subjektiven Empfinden des Betroffenen auszugehen. Da ein Schadensersatz als Ausgleich für einen tatsächlich erlittenen Schaden dienen soll, müsse der Betroffene aber nachweisen, dass die Verletzungen seiner Persönlichkeitsrechte so gravierend waren, dass er durch die Annahme, seine Daten könnten missbraucht werden, Einschränkungen seiner Lebensqualität hatte (bspw. schlaflose Nächte oder Angstzustände).

Der reine Verstoß gegen die DSGVO selbst reiche hingegen nicht aus, um einen immateriellen Schadensersatzanspruch zu begründen. Hierzu verweist der EuGH auch auf seine früheren Urteile in Bezug auf immateriellen Schadensersatz (vgl. Österreichische Post, EuGH, Urt. v. 04.05.2024, Az. C-300/21).

Folgen für die notarielle Praxis

Da Notare wie Steuerberater Berufsgeheimnisträger sind, lässt sich aus unserer Sicht die Entscheidung auch auf die notarielle Praxis übertragen: Eine bloße Datenschutzverletzung durch den Notar führt nicht automatisch dazu, dass dem Betroffenen auch ein Schadensersatzanspruch gegen den Notar zusteht. Vielmehr muss der Betroffene auch nachweisen, dass ihm ein konkreter Schaden entstanden ist. Bei einem bloßen E-Mail-Fehlversand wird ein solcher Schaden jedoch nur in Ausnahmefällen zu bejahen sein.

2. Immaterieller Schadensersatz bei Datendieb-stahl

In die gleiche Richtung geht der Fall zweier Kläger gegen die Betreiber einer Trading-App.

Sachverhalt

Aufgrund eines Hackerangriffs und des damit einhergehenden Kontrollverlustes ihrer Daten klagten die Betroffenen auf Schadensersatz gegen den App-Betreiber. Dabei war ein nachweislicher Missbrauch der Daten, bspw. in Form eines Identitätsdiebstahls, jedoch nicht ermittelbar. Der EuGH beschäftigte sich dann mit der Frage, ob auch ohne Nachweis für einen betrügerischen Datenmissbrauch ein immaterieller Schaden vorliegt (EuGH, Urt. v. 20.06.2024,  Az. C-182/22 und C189/22). Zudem hatte das vorlegende Gericht dem EuGH die Frage gestellt, wie ein solcher Schaden der Höhe nach zu bemessen sei.

Entscheidung des EuGH

Letztlich betont der EuGH auch in diesem Urteil, dass der immaterielle Schadensersatz einen tatsächlich erlittenen Schaden ausgleichen soll. Die Frage der Bemessung des Schadens lässt der EuGH allerdings unbeantwortet. Dies sei gemäß Art. 82 Abs. 6 DSGVO Aufgabe der nationalen Gerichte. Der EuGH betont jedoch, dass dem Schadensersatzanspruch keine zusätzliche Straffunktion zukommt, was dazu führt, dass der immaterielle Schaden wohl eher geringer bemessen werden müsste, da zusätzlich zum erlittenen Schaden kein Sanktionszuschlag einberechnet werden darf.

Folgen für die notarielle Praxis

Auch bei diesem Urteil zeigt sich, nur weil beim Notar eine Datenschutzverletzung eingetreten ist, führt dies nicht automatisch dazu, dass dem Betroffenen ein Anspruch auf immateriellen Schadensersatz zusteht. Zudem kommt dem Schadensersatzanspruch laut EuGH keine Straffunktion zu, sodass ein Sanktionszuschlag nicht mit einberechnet werden darf. Di

Fazit

Für Notare sind die beiden vorgenannten Urteile sehr relevant, da sie im Notarbüro die Verantwortlichen für die Datenverarbeitung sind.

Darüber hinaus stellen wir fest, dass Notare immer öfter gezielt Angriffen aus dem Bereich der Cyberkriminalität ausgesetzt sind. Klassische Datenschutzverletzungen, wie der Fehlversand einer E-Mail aufgrund eines Tippfehlers oder per Post durch fehlerhafte Kuvertierung / Adressierung sind im Büroalltag zudem nicht immer vermeidbar.

Uns ist bislang noch kein Fall bekannt, in dem einem Notar als Träger eines öffentlichen Amtes eine Geldbuße von der Datenschutzaufsichtsbehörde auferlegt wurde. Auch ist uns nicht bekannt, dass ein Notar aufgrund eines datenschutzrechtlichen Verstoßes Schadensersatz leisten musste. Die hier genannten Urteile zeigen aber auch, dass Berufsgeheimnisträger nicht per se vor Schadensersatzforderungen geschützt sind. Auch bei Cyberangriffen kann es vorkommen, dass sie mit Schadensersatzforderungen konfrontiert werden. Deren Höhe ist abhängig von der Berechnung der jeweiligen Gerichte. Von einem hohen Schadensersatzanspruch ist nach aktueller Rechtsprechung insoweit nicht auszugehen, als dass dieser jedenfalls keine strafende Funktion beinhalten darf.

Um solche Schadensersatzforderungen zu vermeiden, empfiehlt es sich, gemäß Art. 32 DSGVO, geeignete und dem Stand der Technik entsprechende technisch-organisatorische Maßnahmen umzusetzen, denn diese gewährleisten die Sicherheit der Verarbeitung personenbezogener Daten im Notarbüro.

Bei der Umsetzung dieser Maßnahmen unterstützen wir Sie sehr gern! Wir werden auch weiterhin die aktuellen technologischen Entwicklungen für Sie im Blick haben und Sie in unseren Audits sowie auf unserer Webseite und sonstigen Informationsangeboten darüber informieren.