NEU EuGH – C-200/23 – Agentsia po vpisvaniyata, Vorabentscheidungsersuchen des Varhoven administrativen sad (Bulgarien), eingereicht am 28.3.2023 | 7. Ist der Begriff „immaterieller Schaden“ in Art. 82 Abs. 1 DS-GVO dahin auszulegen, dass die Annahme eines immateriellen Schadens einen spürbaren Nachteil und eine objektiv nachvollziehbare Beeinträchtigung persönlicher Belange erfordert oder genügt hierfür der bloße kurzfristige Verlust des Betroffenen über die Hoheit seiner Daten wegen der Veröffentlichung personenbezogener Daten im Handelsregister, der ohne jedwede spürbare bzw. nachteilige Konsequenzen für den Betroffenen blieb? 8. Kann die gemäß Art. 58 Abs. 3 lit. b DS-GVO erlassene Stellungnahme der nationalen Aufsichtsbehörde, der Komisia za zashtita na lichnite danni (Kommission für den Schutz personenbezogener Daten), Nr. 01-116(20)/1.2.2021, wonach die Agentur für Eintragungen keine rechtliche Möglichkeit oder Befugnis hat, von Amts wegen oder auf Antrag der betroffenen Person, die Verarbeitung von bereits offen gelegten Daten einzuschränken, zulässigerweise als Nachweis im Sinne von Art. 82 Abs. 3 DS-GVO dafür gelten, dass die Agentur für Eintragungen in keinerlei Hinsicht für den Umstand verantwortlich ist, durch den der Schaden bei der natürlichen Person eingetreten ist? |
EuGH C-65/23 – K GmbH, Vorabentscheidungsersuchen des BAG, eingereicht am 8.2.2023 | 1. Ist Art. 82 Abs. 1 DS-GVO dahin auszulegen, dass Personen ein Recht auf Ersatz des immateriellen Schadens bereits dann haben, wenn ihre personenbezogenen Daten entgegen den Vorgaben der DS-GVO verarbeitet wurden oder setzt der Anspruch auf Ersatz des immateriellen Schadens darüber hinaus voraus, dass die betroffene Person einen von ihr erlittenen immateriellen Schaden – von einigem Gewicht – darlegt? 2. Hat Art. 82 Abs. 1 DS-GVO spezial- bzw. generalpräventiven Charakter und muss dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DS-GVO zulasten des Verantwortlichen bzw. Auftragsverarbeiters berücksichtig werden? 3. Kommt es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DS-GVO auf den Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters an? Insbesondere, darf ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen bzw. Auftragsverarbeiters zu dessen Gunsten berücksichtigt werden? |
EuGH C-590/22 – PS, Vorabentscheidungsersuchen des AG Wesel, eingereicht am 9.9.2022 | 1. Reicht es für die Begründung eines Anspruchs auf Schadensersatz gern. Art. 82 Abs. 1 VO (EU) 2016/679 des Europäischen Parlaments und des Rates v. 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der RL 95/46/EG (Datenschutz-Grundverordnung, im Folgenden: DS-GVO) aus, dass eine die anspruchstellende Person schützende Bestimmung der DS-GVO verletzt worden ist oder ist es erforderlich, dass ein über die Verletzung der Bestimmungen als solche hinaus eine weitere Beeinträchtigung der anspruchstellenden Person eingetreten ist? 2. Ist es nach dem Unionsrecht zur Begründung eines Anspruchs auf immateriellen Schadensersatzes gem. Art. 82 Abs. 1 DS-GVO erforderlich, dass eine Beeinträchtigung von gewissem Gewicht vorliegt? 3. Insbesondere: Reicht es zur Begründung eines Anspruchs auf immateriellen Schadensersatz gern. Art. 82 Abs. 1 DS-GVO aus, dass die anspruchstellende Person befürchtet, dass als Folge von Verletzungen der Bestimmungen der DS-GVO ihre personenbezogenen Daten in fremde Hände gelangt sind, ohne dass dies positiv festgestellt werden kann? 4. Entspricht es dem Unionsrecht, wenn das nationale Gericht bei der Bemessung eines immateriellen Schadensersatzes gern. Art. 82 Abs. 1 DS-GVO die dem Wortlaut nach lediglich für Geldbußen geltenden Kriterien des Art. 83 Abs. 2 S. 2 DS-GVO entsprechend heranzieht? 5. Ist die Höhe eines immateriellen Schadensersatzanspruchs gern. Art. 82 Abs. 1 DS-GVO auch danach zu bemessen, dass durch die Höhe des zugesprochenen Anspruchs eine Abschreckungswirkung erreicht und/oder eine „Kommerzialisierung“ (kalkuliertes Inkaufnehmen von Geldbußen/Schadensersatzzahlungen) von Verstößen unterbunden wird? 6. Entspricht es dem Unionsrecht, bei der Bemessung eines Anspruchs auf immateriellen Schadensersatz gern. Art. 82 Abs. 1 DS-GVO der Höhe nach zugleich verwirklichte Verstöße gegen nationale Vorschriften zu berücksichtigen, die den Schutz von personenbezogenen Daten zum Zweck haben, bei denen es sich aber nicht um nach Maßgabe der vorliegenden Verordnung erlassene delegierte Rechtsakte oder Durchführungsrechtsakte oder Rechtsvorschriften der Mitgliedstaaten zur Präzisierung von Bestimmungen der vorliegenden Verordnung handelt? |
EuGH C-456/22 – Gemeinde Ummendorf, Vorabentscheidungsersuchen des LG Ravensburg, eingereicht am 8.7.2022 | Ist der Begriff des immateriellen Schadens in Art. 82 Abs. 1 DS-GVO dahin auszulegen, dass die Annahme eines immateriellen Schadens einen spürbaren Nachteil und eine objektiv nachvollziehbare Beeinträchtigung persönlichkeitsbezogener Belange erfordert oder genügt hierfür der bloße kurzfristige Verlust des Betroffenen über die Hoheit seiner Daten wegen der Veröffentlichung personenbezogener Daten im Internet für einen Zeitraum von wenigen Tagen, der ohne jedwede spürbare bzw. nachteilige Konsequenzen für den Betroffenen blieb? |
EuGH C-189/22 – ED, Vorabentscheidungsersuchen des AG München, eingereicht am 11.3.2022 | 1. Ist Art. 82 DS-GVO dahin auszulegen, dass dem Schadensersatzanspruch auch iRd Bemessung seiner Höhe kein Sanktionscharakter, insb. keine generelle oder spezielle Abschreckungsfunktion zukommt, sondern der Anspruch auf Schadensersatz nur eine Ausgleichs- und uU Genugtuungsfunktion hat? 2.a Ist für die Bemessung des immateriellen Schadensersatzanspruchs als Verständnis davon auszugehen, dass der Schadensersatzanspruch auch eine individuelle Genugtuungsfunktion hat – hier verstanden als das im Privaten des Verletzten bleibende Interesse, das verursachende Verhalten geahndet zu sehen, oder kommt dem Schadensersatzanspruch nur eine Ausgleichsfunktion zu – hier verstanden als die Funktion, erlittene Beeinträchtigungen zu kompensieren? 2.b.1. Wenn davon auszugehen ist, dass dem immateriellen Schadenersatzanspruch sowohl Ausgleichs- als auch Genugtuungsfunktion zukommt: Ist bei seiner Bemessung davon auszugehen, dass die Ausgleichsfunktion einen strukturellen oder zumindest als Regel-Ausnahme-Verhältnis zu sehenden Vorrang vor der Genugtuungsfunktion hat? Führt dies dazu, dass eine Genugtuungsfunktion nur bei vorsätzlichen ober grob fahrlässigen Verletzungen in Betracht kommt? 2.b.2. Wenn dem immateriellen Schadensersatzanspruch keine Genugtuungsfunktion zukommt: Führen bei seiner Bemessung nur vorsätzliche oder grob fahrlässige Datenschutzverletzungen als Beurteilung von Verursachungsbeiträgen zu zusätzlichem Gewicht? 3. Ist für das Verständnis des immateriellen Schadensersatzes in seiner Bemessung von einem strukturellen Rangverhältnis oder zumindest Regel-Ausnahme-Rangverhältnis auszugehen, bei dem das von einer Datenverletzung ausgehende Beeinträchtigungserleben weniger Gewicht hat als das mit einer Körperverletzung verknüpfte Beeinträchtigungs- und Schmerzerleben? 4. Steht einem nationalen Gericht offen, wenn von einem Schaden auszugehen ist, angesichts fehlender Schwere einen materiell nur im Geringfügigen bleibenden und damit uU von Verletztenseite oder allgemein nur als symbolisch empfundenen Schadensersatz zuzusprechen? 5. Ist für das Verständnis des immateriellen Schadensersatzes in der Beurteilung seiner Folgen davon auszugehen, dass ein Identitätsdiebstahl iSd 75. Erwägungsgrunds DS-GVO erst dann vorliegt, wenn tatsächlich ein Straftäter die Identität des Betroffenen angenommen hat, sich also in irgendeiner Form als der Betroffene ausgegeben hat, oder liegt schon im Umstand, dass inzwischen Straftäter über Daten verfügen, die den Betroffenen identifizierbar machen, ein solcher Identitätsdiebstahl? |
EuGH C-182/22 – ED, Vorabentscheidungsersuchen des AG München, eingereicht am 10.3.2022 | 1. Ist Art. 82 DS-GVO dahin auszulegen, dass dem Schadensersatzanspruch auch iRd Bemessung seiner Höhe kein Sanktionscharakter, insb. keine generelle oder spezielle Abschreckungsfunktion zukommt, sondern der Anspruch auf Schadensersatz nur eine Ausgleichs- und uU Genugtuungsfunktion hat? 2.a Ist für die Bemessung des immateriellen Schadensersatzanspruchs als Verständnis davon auszugehen, dass der Schadensersatzanspruch auch eine individuelle Genugtuungsfunktion hat – hier verstanden als das im Privaten des Verletzten bleibende Interesse, das verursachende Verhalten geahndet zu sehen, oder kommt dem Schadensersatzanspruch nur eine Ausgleichsfunktion zu – hier verstanden als die Funktion, erlittene Beeinträchtigungen zu kompensieren? 2.b.1. Wenn davon auszugehen ist, dass dem immateriellen Schadensersatzanspruch sowohl Ausgleichs- als auch Genugtuungsfunktion zukommt: Ist bei seiner Bemessung davon auszugehen, dass die Ausgleichsfunktion einen strukturellen oder zumindest als Regel-Ausnahme-Verhältnis zu sehenden Vorrang vor der Genugtuungsfunktion hat? Führt dies dazu, dass eine Genugtuungsfunktion nur bei vorsätzlichen ober grob fahrlässigen Verletzungen in Betracht kommt? 2.b.2. Wenn dem immateriellen Schadensersatzanspruch keine Genugtuungsfunktion zukommt: Führen bei seiner Bemessung nur vorsätzliche oder grob fahrlässige Datenschutzverletzungen als Beurteilung von Verursachungsbeiträgen zu zusätzlichem Gewicht? 3. Ist für das Verständnis des immateriellen Schadensersatzes in seiner Bemessung von einem strukturellen Rangverhältnis oder zumindest Regel-Ausnahme-Rangverhältnis auszugehen, bei dem das von einer Datenverletzung ausgehende Beeinträchtigungserleben weniger Gewicht hat als das mit einer Körperverletzung verknüpfte Beeinträchtigungs- und Schmerzerleben? 4. Steht einem nationalen Gericht offen, wenn von einem Schaden auszugehen ist, angesichts fehlender Schwere einen materiell nur im Geringfügigen bleibenden und damit uU von Verletztenseite oder allgemein nur als symbolisch empfundenen Schadensersatz zuzusprechen? 5. Ist für das Verständnis des immateriellen Schadensersatzes in der Beurteilung seiner Folgen davon auszugehen, dass ein Identitätsdiebstahl iSd 75. Erwägungsgrunds der DS-GVO erst dann vorliegt, wenn tatsächlich ein Straftäter die Identität des Betroffenen angenommen hat, sich also in irgendeiner Form als der Betroffene ausgegeben hat, oder liegt schon im Umstand, dass inzwischen Straftäter über Daten verfügen, die den Betroffenen identifizierbar machen, ein solcher Identitätsdiebstahl? |
EuGH C-741/21 –Vorabentscheidungsersuchen des LG Saarbrücken, eingereicht am 1.12.2021 | 1. Ist der Begriff des immateriellen Schadens in Art. 82 Abs. 1 DS-GVO im Hinblick auf den Erwägungsgrund 85 DS-GVO und den Erwägungsgrund 146 S. 3 EUV (2016/679) in dem Sinne zu verstehen, dass er jede Beeinträchtigung der geschützten Rechtsposition erfasst, unabhängig von deren sonstigen Auswirkungen und deren Erheblichkeit? 2. Wird die Haftung auf Schadensersatz gem. Art. 82 Abs. 3 DS-GVO dadurch ausgeschlossen, dass der Rechtsverstoß auf menschliches Versagen im Einzelfall einer iSv Art. 29 DS-GVO unterstellten Person zurückgeführt wird? 3. Ist bei der Bemessung des immateriellen Schadensersatzes eine Orientierung an den in Art. 83 DS-GVO, insb. Art. 83 Abs. 2 und Abs. 5 DS-GVO genannten Zumessungskriterien erlaubt bzw. geboten? 4. Ist der Schadensersatz für jeden einzelnen Verstoß zu bestimmen oder werden mehrere – zumindest mehrere gleichgelagerte – Verstöße mit einer Gesamtentschädigung sanktioniert, die nicht durch eine Addition von Einzelbeträgen ermittelt wird, sondern auf einer wertenden Gesamtbetrachtung beruht? |
EuGH C-687/21 – Saturn Electro, Vorabentscheidungsersuchen des AG Hagen, eingereicht am 16.11.2021 | 1. Ist die Schadensersatznorm in der europäischen DS-GVO (Art. 82 DS-GVO) mangels Bestimmtheit über die anzuordnenden Rechtsfolgen beim immateriellen Schadensersatz unwirksam? 2. Ist es für einen Schadensersatzanspruch erforderlich, dass außer dem unberechtigten Bekanntgeben der zu schützenden Daten an einen unberechtigten Dritten ein vom Anspruchsteller darzulegender immaterieller Schaden festzustellen ist? 3. Ist es für einen Verstoß gegen die DS-GVO ausreichend, dass die Personendaten des Betroffenen (Name, Anschrift, Beruf, Einkommen, Arbeitgeber) durch ein Versehen von Mitarbeitern des tätigen Unternehmens irrtümlich in ausgedruckter Form, auf Papier, an einen Dritten auf einem Papierdokument weitergegeben werden? 4. Liegt eine illegale Weiterverarbeitung durch unbeabsichtigte Weitergabe (Offenlegung) an einen Dritten vor, wenn das Unternehmen durch seine Mitarbeiter versehentlich die Daten, die iÜ in die EDV-Anlage eingespeist werden, in ausgedruckter Form an einen unberechtigten Dritten weitergegeben hat (Art. 2 Abs. 1, Art. 5 Abs. 1 lit. f, Art. 6 Abs. 1, Art. 24 DS-GVO)? 5. Liegt ein immaterieller Schaden bereits dann iSd Art. 82 DS-GVO vor, wenn die Daten von dem Dritten[,] der das Dokument mit den persönlichen Daten erhalten hat, nicht zur Kenntnis genommen worden sind, bevor das Papier, auf dem die Informationen enthalten sind, zurückgegeben wurde, oder genügt für einen immateriellen Schaden iSd Art. 82 DS-GVO das Unbehagen desjenigen, dessen persönliche Daten illegal weitergegeben wurden, weil bei jeder unberechtigten Offenlegung von persönlichen Daten die nicht ausschließbare Möglichkeit besteht, dass die Daten doch ggü. einer unbekannten Vielzahl von Personen weiterverbreitet oder gar missbraucht werden könnten? 6. Als wie gravierend ist der Verstoß anzusehen, wenn die unbeabsichtigte Weitergabe an den Dritten durch bessere Kontrolle der bei dem Unternehmen tätigen Hilfsmitarbeiter und/oder durch bessere Organisation der Datensicherheit, etwa durch getrennte Handhabung der Warenausgabe und der Vertrags-, vor allem der Finanzierungsdokumentation, mittels gesondertem Ausgabeschein oder durch Weiterleitung innerhalb des Unternehmens an die Warenausgabe-Mitarbeiter – ohne Zwischenschaltung des Kunden, dem die ausgedruckten Dokumente, einschließlich der Abholberechtigung[,] ausgehändigt worden sind, zu verhindern ist (Art. 32 Abs. 1 lit. b und 2 sowie Art. 4 Nr. 7 DS-GVO[)?] 7. Ist unter Ersatz für immateriellen Schaden die Zuerkennung einer Strafe wie bei einer Vertragsstrafe zu verstehen? |
EuGH C-667/21 – Krankenversicherung Nordrhein, Vorabentscheidungsersuchen des BAG, eingereicht am 8.11.2021 | 4. Hat Art. 82 Abs. 1 DS-GVO spezial- bzw. generalpräventiven Charakter und muss dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DS-GVO zulasten des Verantwortlichen bzw. Auftragsverarbeiters berücksichtigt werden? 5. Kommt es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DS-GVO auf den Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters an? Insb., darf ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen bzw. Auftragsverarbeiters zu dessen Gunsten berücksichtigt werden? |
EuGH C-340/21 – Natsionalna agentsia za prihodite, Vorabentscheidungsersuchen des Varhoven administrativen sad (Bulgarien), eingereicht am 2.6.2021 | 3. Falls die erste Frage verneint wird, sind der Grundsatz der Rechenschaftspflicht nach Art. 5 Abs. 2 und Art. 24 iVm dem 74. Erwägungsgrund VO (EU) 2016/679 dahin auszulegen, dass im Klageverfahren nach Art. 82 Abs. 1 VO (EU) 2016/679 der Verantwortliche die Beweislast dafür trägt, dass die getroffenen technischen und organisatorischen Maßnahmen nach Art. 32 der VO geeignet sind? Kann die Einholung eines Sachverständigengutachtens als ein notwendiges und ausreichendes Beweismittel angesehen werden, um festzustellen, ob die vom Verantwortlichen getroffenen technischen und organisatorischen Maßnahmen in einem Fall wie dem vorliegenden geeignet waren, wenn der unbefugte Zugang zu und die unbefugte Offenlegung von personenbezogenen Daten Folge eines „Hackerangriffs“ sind? 4. Ist Art. 82 Abs. 3 VO (EU) 2016/679 dahin auszulegen, dass die unbefugte Offenlegung von oder der unbefugte Zugang zu personenbezogenen Daten iSv Art. 4 Nr. 12 VO (EU) 2016/679 wie vorliegend mittels eines „Hackerangriffs“ durch Personen, die keine Bediensteten der Verwaltung des Verantwortlichen sind und nicht seiner Kontrolle unterliegen, einen Umstand darstellt, für den der Verantwortliche in keinerlei Hinsicht verantwortlich ist und der zur Befreiung von der Haftung berechtigt? 5. Sind Art. 82 Abs. 1 und Abs. 2 iVm den Erwägungsgründen 85 und 146 VO (EU) 2016/679 dahin auszulegen, dass in einem Fall wie dem vorliegenden Fall einer Verletzung des Schutzes personenbezogener Daten, die sich in dem unbefugten Zugang zu und der Verbreitung von personenbezogenen Daten mittels eines „Hackerangriffs“ äußert, allein die von der betroffenen Person erlittenen Sorgen, Befürchtungen und Ängste vor einem möglichen künftigen Missbrauch personenbezogener Daten unter den weit auszulegenden Begriff des immateriellen Schadens fallen und zum Schadensersatz berechtigen, wenn ein solcher Missbrauch nicht festgestellt wurde und/oder kein weiterer Schaden der betroffenen Person entstanden ist? |