Entscheidungsstichwort (Thema)
Vorlage zur Vorabentscheidung. Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Grundsätze dieser Verarbeitung. Verantwortung des für die Verarbeitung Verantwortlichen. Zur Gewährleistung der Sicherheit der Verarbeitung getroffene Maßnahmen. Beurteilung der Geeignetheit solcher Maßnahmen. Umfang der gerichtlichen Überprüfung. Beweisführung. Haftung und Recht auf Schadenersatz. Mögliche Befreiung des Verantwortlichen von der Haftung bei Verstößen durch Dritte. Klage auf Ersatz eines immateriellen Schadens aufgrund der Befürchtung eines möglichen Missbrauchs personenbezogener Daten
Normenkette
EUVO 679/2016 Art. 5, 24, 32, 82
Beteiligte
Natsionalna agentsia za prihodite |
Natsionalna agentsia za prihodite |
Tenor
1.Die Art. 24 und 32 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
sind dahin auszulegen, dass
eine unbefugte Offenlegung von bzw. ein unbefugter Zugang zu personenbezogenen Daten durch „Dritte“ im Sinne von Art. 4 Nr. 10 dieser Verordnung allein nicht ausreicht, um anzunehmen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht „geeignet“ im Sinne der Art. 24 und 32 dieser Verordnung waren.
2.Art. 32 der Verordnung 2016/679
ist dahin auszulegen, dass
die Geeignetheit der vom Verantwortlichen nach diesem Artikel getroffenen technischen und organisatorischen Maßnahmen von den nationalen Gerichten konkret zu beurteilen ist, wobei die mit der betreffenden Verarbeitung verbundenen Risiken zu berücksichtigen sind und zu beurteilen ist, ob Art, Inhalt und Umsetzung dieser Maßnahmen diesen Risiken angemessen sind.
3.Der in Art. 5 Abs. 2 der Verordnung 2016/679 formulierte und in Art. 24 dieser Verordnung konkretisierte Grundsatz der Rechenschaftspflicht des Verantwortlichen
ist dahin auszulegen, dass
im Rahmen einer auf Art. 82 der Verordnung gestützten Schadenersatzklage der für die betreffende Verarbeitung Verantwortliche die Beweislast dafür trägt, dass die von ihm getroffenen Sicherheitsmaßnahmen im Sinne von Art. 32 dieser Verordnung geeignet waren.
4.Art. 32 der Verordnung 2016/679 und der unionsrechtliche Effektivitätsgrundsatz
sind dahin auszulegen, dass
für die Beurteilung der Geeignetheit der Sicherheitsmaßnahmen, die der Verantwortliche nach diesem Artikel getroffen hat, ein gerichtliches Sachverständigengutachten kein generell notwendiges und ausreichendes Beweismittel sein kann.
5.Art. 82 Abs. 3 der Verordnung 2016/679
ist dahin auszulegen, dass
der Verantwortliche von seiner nach Art. 82 Abs. 1 und 2 dieser Verordnung bestehenden Pflicht zum Ersatz des einer Person entstandenen Schadens nicht allein deshalb befreit werden kann, weil dieser Schaden die Folge einer unbefugten Offenlegung von bzw. eines unbefugten Zugangs zu personenbezogenen Daten durch „Dritte“ im Sinne von Art. 4 Nr. 10 dieser Verordnung ist, wobei der Verantwortliche dann nachweisen muss, dass er in keinerlei Hinsicht für den Umstand, durch den der betreffende Schaden eingetreten ist, verantwortlich ist.
6.Art. 82 Abs. 1 der Verordnung 2016/679
ist dahin auszulegen, dass
allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen diese Verordnung befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, einen „immateriellen Schaden“ im Sinne dieser Bestimmung darstellen kann.
Tatbestand
In der Rechtssache C-340/21
betreffend ein Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht vom Varhoven administrativen sad (Oberstes Verwaltungsgericht, Bulgarien) mit Entscheidung vom 14. Mai 2021, beim Gerichtshof eingegangen am 2. Juni 2021, in dem Verfahren
VB
gegen
Natsionalna agentsia za prihodite
erlässt
DER GERICHTSHOF (Dritte Kammer)
unter Mitwirkung der Kammerpräsidentin K. Jürimäe sowie der Richter N. Piçarra, M. Safjan, N. Jääskinen (Berichterstatter) und M. Gavalec,
Generalanwalt: G. Pitruzzella,
Kanzler: A. Calot Escobar,
aufgrund des schriftlichen Verfahrens,
unter Berücksichtigung der Erklärungen
- – der Natsionalna agentsia za prihodite, vertreten durch R. Spetsov,
- – der bulgarischen Regierung, vertreten durch M. Georgieva und L. Zaharieva als Bevollmächtigte,
- – der tschechischen Regierung, vertreten durch O. Serdula, M. Smolek und J. Vláčil als Bevollmächtigte,
- – von Irland, vertreten durch M. Browne, Chief State Solicitor, A. Joyce, J. Quaney und M. Tierney als Bevollmächtigte im Beistand von D. Fennelly, BL,
- – der italienischen Regierung, vertreten durch G. Palmieri als Bevollmächtigte im Beistand von E. De Bonis, Avvocato dello Stato,
- – der portugiesischen Regierung, vertreten durch P. Barros da Costa, A. Pimenta, M. J. Ramos und C. Vieira Guerra als Bevollmächtigte,
- – der Europäischen Kommissi...