Entscheidungsstichwort (Thema)
Vorlage zur Vorabentscheidung. Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Anspruch auf Ersatz des Schadens, der durch eine unter Verstoß gegen diese Verordnung erfolgte Datenverarbeitung verursacht worden ist. Begriff ‚immaterieller Schaden‘. Entschädigung mit Strafcharakter oder rein als Ausgleich und Genugtuung. Geringfügige oder symbolische Entschädigung. Diebstahl personenbezogener Daten, die auf einer Trading-App hinterlegt sind. Identitätsdiebstahl oder -betrug
Normenkette
EUVO 679/2016 Art. 82
Beteiligte
Tenor
1.Art. 82 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
ist dahin auszulegen, dass
der in dieser Bestimmung vorgesehene Schadenersatzanspruch ausschließlich eine Ausgleichsfunktion erfüllt, da eine auf diese Bestimmung gestützte Entschädigung in Geld es ermöglichen soll, den erlittenen Schaden in vollem Umfang auszugleichen.
2.Art. 82 Abs. 1 der Verordnung 2016/679
ist dahin auszulegen, dass
er nicht verlangt, dass der Grad der Schwere und die etwaige Vorsätzlichkeit des von dem für die Verarbeitung Verantwortlichen begangenen Verstoßes gegen diese Verordnung für die Zwecke des Ersatzes eines Schadens auf der Grundlage dieser Bestimmung berücksichtigt werden.
3.Art. 82 Abs. 1 der Verordnung 2016/679
ist dahin auszulegen, dass
im Rahmen der Festlegung der Höhe des aufgrund des Anspruchs auf Ersatz eines immateriellen Schadens geschuldeten Schadenersatzes davon auszugehen ist, dass ein solcher durch eine Verletzung des Schutzes personenbezogener Daten verursachter Schaden seiner Natur nach nicht weniger schwerwiegend ist als eine Körperverletzung.
4.Art. 82 Abs. 1 der Verordnung 2016/679
ist dahin auszulegen, dass
wenn ein Schaden gegeben ist, ein nationales Gericht bei fehlender Schwere des Schadens diesen ausgleichen kann, indem es der betroffenen Person einen geringfügigen Schadenersatz zuspricht, sofern dieser Schadenersatz geeignet ist, den entstandenen Schaden in vollem Umfang auszugleichen.
5.Art. 82 Abs. 1 der Verordnung 2016/679 ist im Licht der Erwägungsgründe 75 und 85 dieser Verordnung
dahin auszulegen, dass
der Begriff „Identitätsdiebstahl“ nur dann erfüllt ist und einen Anspruch auf Ersatz des immateriellen Schadens nach dieser Bestimmung begründet, wenn ein Dritter die Identität einer Person, die von einem Diebstahl personenbezogener Daten betroffen ist, tatsächlich angenommen hat. Jedoch kann der Ersatz eines durch den Diebstahl personenbezogener Daten verursachten immateriellen Schadens nach der genannten Vorschrift nicht auf die Fälle beschränkt werden, in denen nachgewiesen wird, dass ein solcher Diebstahl von Daten anschließend zu einem Identitätsdiebstahl oder-betrug geführt hat.
Tatbestand
In den verbundenen Rechtssachen C-182/22 und C-189/22
betreffend Vorabentscheidungsersuchen nach Art. 267 AEUV, eingereicht vom Amtsgericht München (Deutschland) mit Entscheidungen vom 3. März 2022, beim Gerichtshof eingegangen am 10. bzw. 11. März 2022, in den Verfahren
JU(C-182/22),
SO(C-189/22)
gegen
Scalable Capital GmbH
erlässt
DER GERICHTSHOF (Dritte Kammer)
unter Mitwirkung der Kammerpräsidentin K. Jürimäe sowie der Richter N. Piçarra und N. Jääskinen (Berichterstatter),
Generalanwalt: A. M. Collins,
Kanzler: A. Calot Escobar,
aufgrund des schriftlichen Verfahrens,
unter Berücksichtigung der Erklärungen
- – von SO, vertreten durch Rechtsanwalt M. Ruigrok van de Werve,
- – der Scalable Capital GmbH, vertreten durch Rechtsanwalt M. C. Mekat,
- – Irlands, vertreten durch M. Browne, Chief State Solicitor, sowie A. Joyce und M. Tierney als Bevollmächtigte im Beistand von D. Fennelly, BL,
- – der Europäischen Kommission, vertreten durch A. Bouchagiar, M. Heller und H. Kranenborg als Bevollmächtigte,
nach Anhörung der Schlussanträge des Generalanwalts in der Sitzung vom 26. Oktober 2023
folgendes
Urteil
Entscheidungsgründe
Rz. 1
Die Vorabentscheidungsersuchen betreffen die Auslegung von Art. 82 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, im Folgenden: DSGVO).
Rz. 2
Sie ergehen im Rahmen zweier Rechtsstreitigkeiten zwischen JU bzw. SO auf der einen und der Scalable Capital GmbH auf der anderen Seite über den Ersatz des immateriellen Schadens, der Ersteren durch den Diebstahl ihrer in einer von Scalable Capital betriebenen Trading-App hinterlegten persönlichen Daten durch unbekannte Dritte entstanden sein soll.
Rechtlicher Rahmen
Rz. 3
In den Erwägungsgründen 75, 85 und 146 der DSGVO heißt es:
„(75) Die Risiken für die Rechte und Freiheit...