Rechtsprechung
   EuGH, 14.12.2023 - C-340/21   

Zitiervorschläge
https://dejure.org/2023,35511
EuGH, 14.12.2023 - C-340/21 (https://dejure.org/2023,35511)
EuGH, Entscheidung vom 14.12.2023 - C-340/21 (https://dejure.org/2023,35511)
EuGH, Entscheidung vom 14. Dezember 2023 - C-340/21 (https://dejure.org/2023,35511)
Tipp: Um den Kurzlink (hier: https://dejure.org/2023,35511) schnell in die Zwischenablage zu kopieren, können Sie die Tastenkombination Alt + R verwenden - auch ohne diesen Bereich zu öffnen.

Volltextveröffentlichungen (5)

  • openjur.de
  • Europäischer Gerichtshof

    Natsionalna agentsia za prihodite

    Vorlage zur Vorabentscheidung - Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten - Verordnung (EU) 2016/679 - Art. 5 - Grundsätze dieser Verarbeitung - Art. 24 - Verantwortung des für die Verarbeitung Verantwortlichen - Art. 32 - Zur ...

  • IWW

    Datenschutz

  • rewis.io

    Die Befürchtung eines möglichen Missbrauchs personenbezogener Daten kann für sich genommen einen immateriellen Schaden darstellen

  • Betriebs-Berater

    Befürchtung eines möglichen Missbrauchs personenbezogener Daten kann für sich genommen einen immateriellen Schaden darstellen

Kurzfassungen/Presse (6)

  • beckmannundnorda.de (Kurzinformation)

    Befürchtung eines möglichen Missbrauchs personenbezogener Daten nach Cyberangriff / Hackerattacke kann Anspruch auf immateriellen Schadensersatz gemäß Art. 82 DSGVO begründen

  • computerundrecht.de (Kurzinformation)

    Die Befürchtung eines möglichen Missbrauchs personenbezogener Daten kann für sich genommen einen immateriellen Schaden darstellen

  • mdr-recht.de (Kurzinformation)

    Die Befürchtung eines möglichen Missbrauchs personenbezogener Daten kann für sich genommen einen immateriellen Schaden darstellen

     
  • anwalt.de (Kurzinformation und Auszüge)

    Rechte der Verbraucher gegen Meta, Deezer und Twitter gestärkt

  • anwalt.de (Kurzinformation)

    Angst vor Datenmissbrauch kann Schadensersatzanspruch begründen

  • shopbetreiber-blog.de (Kurzinformation und Auszüge)

    Schadensersatz nach DSGVO auch bei bloßer Befürchtung eines Missbrauchs möglich

Besprechungen u.ä. (2)

  • lto.de (Entscheidungsbesprechung)

    Immaterieller Schadensersatz bei Datenpannen: Rahmen für DSGVO-Schadensersatzklagen konkretisiert

  • juris (Entscheidungsbesprechung)

    Immaterieller Schadensersatz nach Cyberangriffen ("Nationale Agentur für Einnahmen (Bulgarien)") (jurisPR-Compl 2/2024 Anm. 1)

Sonstiges (2)

Verfahrensgang

Papierfundstellen

  • NJW 2024, 1091
  • EuZW 2024, 234
  • MMR 2024, 231
 
Sortierung


Kontextvorschau



Hinweis: Klicken Sie auf das Sprechblasensymbol, um eine Kontextvorschau im Fließtext zu sehen. Um alle zu sehen, genügt ein Doppelklick.

Wird zitiert von ... (18)Neu Zitiert selbst (7)

  • EuGH, 04.05.2023 - C-300/21

    Der bloße Verstoß gegen die DSGVO begründet keinen Schadenersatzanspruch

    Auszug aus EuGH, 14.12.2023 - C-340/21
    Zunächst ist darauf hinzuweisen, dass nach ständiger Rechtsprechung die Begriffe einer Bestimmung des Unionsrechts, die - wie die Art. 24 und 32 DSGVO - für die Ermittlung ihres Sinns und ihrer Tragweite nicht ausdrücklich auf das Recht der Mitgliedstaaten verweist, in der Regel in der gesamten Union eine autonome und einheitliche Auslegung erhalten müssen, die insbesondere unter Berücksichtigung des Wortlauts der betreffenden Bestimmung, der mit ihr verfolgten Ziele und des Zusammenhangs, in den sie sich einfügt, zu ermitteln ist (vgl. in diesem Sinne Urteile vom 18. Januar 1984, Ekro, 327/82, EU:C:1984:11, Rn. 11, vom 1. Oktober 2019, Planet49, C-673/17, EU:C:2019:801, Rn. 47 und 48, sowie vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 29).

    Insoweit ist darauf hinzuweisen, dass es nach ständiger Rechtsprechung mangels einschlägiger Unionsregeln nach dem Grundsatz der Verfahrensautonomie Sache der innerstaatlichen Rechtsordnung jedes Mitgliedstaats ist, die verfahrensrechtlichen Modalitäten der Rechtsbehelfe, die zum Schutz der Rechte der Bürger bestimmt sind, festzulegen, vorausgesetzt allerdings, dass diese Modalitäten bei unter das Unionsrecht fallenden Sachverhalten nicht ungünstiger sind als diejenigen, die gleichartige Sachverhalte regeln, die dem innerstaatlichen Recht unterliegen (Äquivalenzgrundsatz), und dass sie die Ausübung der durch das Unionsrecht verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren (Effektivitätsgrundsatz) (Urteil vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 53 und die dort angeführte Rechtsprechung).

    Daher ist es nach den Ausführungen in der vorstehenden Randnummer des vorliegenden Urteils und in Ermangelung einschlägiger unionsrechtlicher Vorschriften Aufgabe der innerstaatlichen Rechtsordnung des einzelnen Mitgliedstaats, die Ausgestaltung von Klageverfahren, die den Schutz der dem Einzelnen aus Art. 82 DSGVO erwachsenden Rechte gewährleisten sollen, und insbesondere die Regeln für die Beweismittel, anhand deren die Geeignetheit solcher Maßnahmen in diesem Zusammenhang bewertet werden kann, festzulegen, wobei der Äquivalenz- und der Effektivitätsgrundsatz zu beachten sind (vgl. entsprechend Urteile vom 21. Juni 2022, Ligue des droits humains, C-817/19, EU:C:2022:491, Rn. 297, und vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 54).

    Insoweit hat der Gerichtshof festgestellt, dass aus dem Wortlaut von Art. 82 Abs. 1 DSGVO klar hervorgeht, dass das Vorliegen eines "Schadens", der entstanden ist, eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DSGVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (Urteil vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 32).

    Darüber hinaus hat der Gerichtshof Art. 82 Abs. 1 DSGVO auf der Grundlage von Erwägungen zu Wortlaut, Systematik sowie Sinn und Zweck dahin ausgelegt, dass er einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines "immateriellen Schadens" im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat (Urteil vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 51).

    Diese wörtliche Auslegung wird zweitens durch den 146. Erwägungsgrund der DSGVO bestätigt, der speziell den in Art. 82 Abs. 1 DSGVO vorgesehenen Schadenersatzanspruch betrifft und in dessen drittem Satz es heißt, dass "[d]er Begriff des Schadens ... im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden [sollte], die den Zielen dieser Verordnung in vollem Umfang entspricht." Eine Auslegung des Begriffs "immaterieller Schaden" im Sinne von Art. 82 Abs. 1 DSGVO, die nicht die Fälle umfasst, in denen die von einem Verstoß gegen die DSGVO betroffene Person sich auf die Befürchtung beruft, dass ihre eigenen personenbezogenen Daten in Zukunft missbräuchlich verwendet werden, entspräche jedoch nicht einer weiten Auslegung dieses Begriffs, wie sie vom Unionsgesetzgeber beabsichtigt ist (vgl. entsprechend Urteil vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 37 und 46).

    Allerdings ist darauf hinzuweisen, dass eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie negative Folgen gehabt hat, nachweisen muss, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen (vgl. in diesem Sinne Urteil vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 50).

  • EuGH, 01.10.2019 - C-673/17

    Planet49 - Setzen von Cookies erfordert aktive Einwilligung des Internetnutzers -

    Auszug aus EuGH, 14.12.2023 - C-340/21
    Zunächst ist darauf hinzuweisen, dass nach ständiger Rechtsprechung die Begriffe einer Bestimmung des Unionsrechts, die - wie die Art. 24 und 32 DSGVO - für die Ermittlung ihres Sinns und ihrer Tragweite nicht ausdrücklich auf das Recht der Mitgliedstaaten verweist, in der Regel in der gesamten Union eine autonome und einheitliche Auslegung erhalten müssen, die insbesondere unter Berücksichtigung des Wortlauts der betreffenden Bestimmung, der mit ihr verfolgten Ziele und des Zusammenhangs, in den sie sich einfügt, zu ermitteln ist (vgl. in diesem Sinne Urteile vom 18. Januar 1984, Ekro, 327/82, EU:C:1984:11, Rn. 11, vom 1. Oktober 2019, Planet49, C-673/17, EU:C:2019:801, Rn. 47 und 48, sowie vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 29).
  • EuGH, 04.07.2023 - C-252/21

    Eine nationale Wettbewerbsbehörde kann im Rahmen der Prüfung, ob eine

    Auszug aus EuGH, 14.12.2023 - C-340/21
    Aus dem Wortlaut von Art. 5 Abs. 2, Art. 24 Abs. 1 und Art. 32 Abs. 1 DSGVO geht eindeutig hervor, dass die Beweislast dafür, dass personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit dieser Daten im Sinne von Art. 5 Abs. 1 Buchst. f und Art. 32 DSGVO gewährleistet, dem für die betreffende Verarbeitung Verantwortlichen obliegt (vgl. entsprechend Urteile vom 4. Mai 2023, Bundesrepublik Deutschland [Elektronisches Gerichtsfach], C-60/22, EU:C:2023:373, Rn. 52 und 53, und vom 4. Juli 2023, Meta Platforms u. a. [Allgemeine Nutzungsbedingungen eines sozialen Netzwerks], C-252/21, EU:C:2023:537, Rn. 95).
     
  • EuGH, 04.05.2023 - C-60/22

    Bundesrepublik Deutschland (Boîte électronique judiciaire) - Vorlage zur

    Auszug aus EuGH, 14.12.2023 - C-340/21
    Aus dem Wortlaut von Art. 5 Abs. 2, Art. 24 Abs. 1 und Art. 32 Abs. 1 DSGVO geht eindeutig hervor, dass die Beweislast dafür, dass personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit dieser Daten im Sinne von Art. 5 Abs. 1 Buchst. f und Art. 32 DSGVO gewährleistet, dem für die betreffende Verarbeitung Verantwortlichen obliegt (vgl. entsprechend Urteile vom 4. Mai 2023, Bundesrepublik Deutschland [Elektronisches Gerichtsfach], C-60/22, EU:C:2023:373, Rn. 52 und 53, und vom 4. Juli 2023, Meta Platforms u. a. [Allgemeine Nutzungsbedingungen eines sozialen Netzwerks], C-252/21, EU:C:2023:537, Rn. 95).
  • EuGH, 21.06.2022 - C-817/19

    Fluggastdaten dürfen nur bei Terrorgefahr verarbeitet werden

    Auszug aus EuGH, 14.12.2023 - C-340/21
    Daher ist es nach den Ausführungen in der vorstehenden Randnummer des vorliegenden Urteils und in Ermangelung einschlägiger unionsrechtlicher Vorschriften Aufgabe der innerstaatlichen Rechtsordnung des einzelnen Mitgliedstaats, die Ausgestaltung von Klageverfahren, die den Schutz der dem Einzelnen aus Art. 82 DSGVO erwachsenden Rechte gewährleisten sollen, und insbesondere die Regeln für die Beweismittel, anhand deren die Geeignetheit solcher Maßnahmen in diesem Zusammenhang bewertet werden kann, festzulegen, wobei der Äquivalenz- und der Effektivitätsgrundsatz zu beachten sind (vgl. entsprechend Urteile vom 21. Juni 2022, Ligue des droits humains, C-817/19, EU:C:2022:491, Rn. 297, und vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 54).
  • EuGH, 12.01.2023 - C-132/21

    In der DSGVO vorgesehenen verwaltungs- und zivilrechtlichen Rechtsbehelfe können

    Auszug aus EuGH, 14.12.2023 - C-340/21
    Die Wahrung der durch diese Verordnung eingeräumten Rechte, die mit dem Effektivitätsgrundsatz bezweckt wird, und insbesondere das durch Art. 79 Abs. 1 DSGVO garantierte Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen den Verantwortlichen erfordern indes, dass ein unparteiisches Gericht eine objektive Beurteilung der Geeignetheit der betreffenden Maßnahmen vornimmt, anstatt sich auf eine solche Ableitung zu beschränken (vgl. in diesem Sinne Urteil vom 12. Januar 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C-132/21, EU:C:2023:2, Rn. 50).
  • EuGH, 18.01.1984 - 327/82

    Ekro

    Auszug aus EuGH, 14.12.2023 - C-340/21
    Zunächst ist darauf hinzuweisen, dass nach ständiger Rechtsprechung die Begriffe einer Bestimmung des Unionsrechts, die - wie die Art. 24 und 32 DSGVO - für die Ermittlung ihres Sinns und ihrer Tragweite nicht ausdrücklich auf das Recht der Mitgliedstaaten verweist, in der Regel in der gesamten Union eine autonome und einheitliche Auslegung erhalten müssen, die insbesondere unter Berücksichtigung des Wortlauts der betreffenden Bestimmung, der mit ihr verfolgten Ziele und des Zusammenhangs, in den sie sich einfügt, zu ermitteln ist (vgl. in diesem Sinne Urteile vom 18. Januar 1984, Ekro, 327/82, EU:C:1984:11, Rn. 11, vom 1. Oktober 2019, Planet49, C-673/17, EU:C:2019:801, Rn. 47 und 48, sowie vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 29).
  • EuGH, 25.01.2024 - C-687/21

    MediaMarktSaturn - Vorlage zur Vorabentscheidung - Schutz natürlicher Personen

    24 DSGVO sieht eine allgemeine Verpflichtung des für die Verarbeitung personenbezogener Daten Verantwortlichen vor, geeignete technische und organisatorische Maßnahmen umzusetzen, um sicherzustellen, dass die Verarbeitung im Einklang mit der DSGVO erfolgt, und den Nachweis dafür erbringen zu können (Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, Rn. 24).

    Ebenso sind nach Art. 32 Abs. 2 DSGVO bei der Beurteilung des angemessenen Schutzniveaus insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch - ob unbeabsichtigt oder unrechtmäßig - Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von bzw. unbefugten Zugang zu personenbezogenen Daten (vgl. in diesem Sinne Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, Rn. 26 und 27).

    Dies gilt umso mehr, als der Verantwortliche die Möglichkeit haben muss, den Nachweis zu erbringen, dass seine Maßnahmen im Einklang mit der DSGVO stehen; diese Möglichkeit bliebe ihm verwehrt, wenn von einer unwiderlegbaren Vermutung ausgegangen würde (vgl. in diesem Sinne Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, Rn. 30 bis 32).

    Diese Auslegung des Wortlauts wird durch eine Gesamtbetrachtung der Art. 24 und 32 mit Art. 5 Abs. 2 und Art. 82 DSGVO im Licht ihrer Erwägungsgründe 74, 76 und 83 bestätigt, aus denen sich insbesondere ergibt, dass der für die Verarbeitung Verantwortliche verpflichtet ist, die Risiken einer Verletzung des Schutzes personenbezogener Daten einzudämmen, und nicht, jede Verletzung ihres Schutzes zu verhindern (vgl. in diesem Sinne Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, Rn. 33 bis 38).

    Infolgedessen hat der Gerichtshof die Art. 24 und 32 DSGVO dahin ausgelegt, dass eine unbefugte Offenlegung personenbezogener Daten oder ein unbefugter Zugang zu ihnen durch "Dritte" im Sinne von Art. 4 Nr. 10 DSGVO allein nicht ausreicht, um anzunehmen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht "geeignet" im Sinne der Art. 24 und 32 waren (Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, Rn. 39).

    Eine solche Beweislastverteilung ist nicht nur geeignet, die für die Verarbeitung dieser Daten Verantwortlichen dazu anzuhalten, die nach der DSGVO erforderlichen Sicherheitsmaßnahmen zu ergreifen, sondern auch, die praktische Wirksamkeit des in Art. 82 DSGVO vorgesehenen Schadensersatzanspruchs zu schützen und die in ihrem elften Erwägungsgrund genannten Absichten des Unionsgesetzgebers zu wahren (vgl. in diesem Sinne Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, Rn. 49 bis 56).

    Daher hat der Gerichtshof den in Art. 5 Abs. 2 DSGVO aufgestellten und in ihrem Art. 24 konkretisierten Grundsatz der Rechenschaftspflicht des Verantwortlichen dahin ausgelegt, dass im Rahmen einer auf Art. 82 DSGVO gestützten Schadensersatzklage der für die betreffende Verarbeitung Verantwortliche die Beweislast dafür trägt, dass die von ihm getroffenen Sicherheitsmaßnahmen im Sinne von Art. 32 DSGVO geeignet waren (Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, Rn. 57).

    Das Vorliegen eines "Schadens" stellt nämlich eine der Voraussetzungen für den in Art. 82 Abs. 1 vorgesehenen Schadensersatzanspruch dar, ebenso wie das Vorliegen eines Verstoßes gegen die DSGVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (vgl. in diesem Sinne Urteile vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 32 und 42, vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, Rn. 77, vom 14. Dezember 2023, Gemeinde Ummendorf, C-456/22, EU:C:2023:988, Rn. 14, und vom 21. Dezember 2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, Rn. 82).

    Speziell in Bezug auf immaterielle Schäden hat der Gerichtshof ferner entschieden, dass Art. 82 Abs. 1 DSGVO einer nationalen Vorschrift oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person im Sinne von Art. 4 Nr. 1 DSGVO entstandene Schaden eine gewisse Schwere erreicht hat (vgl. in diesem Sinne Urteile vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 51, vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, Rn. 78, und vom 14. Dezember 2023, Gemeinde Ummendorf, C-456/22, EU:C:2023:988, Rn. 16).

    Der Gerichtshof hat hinzugefügt, dass eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie nachteilige Folgen hatte, jedoch den Nachweis erbringen muss, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen, da der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen (vgl. in diesem Sinne Urteile vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 42 und 50, vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, Rn. 84, und vom 14. Dezember 2023, Gemeinde Ummendorf, C-456/22, EU:C:2023:988, Rn. 21 und 23).

    Der Gerichtshof hat entschieden, dass sich nicht nur aus dem Wortlaut von Art. 82 Abs. 1 DSGVO im Licht ihrer Erwägungsgründe 85 und 146, wonach der Begriff "immaterieller Schaden" im Sinne von Art. 82 Abs. 1 weit zu verstehen ist, sondern auch aus dem mit der DSGVO verfolgten Ziel der Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten ergibt, dass die durch einen Verstoß gegen die DSGVO ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, für sich genommen einen "immateriellen Schaden" im Sinne von Art. 82 Abs. 1 darstellen kann (vgl. in diesem Sinne Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, Rn. 79 bis 86).

  • EuGH, 21.12.2023 - C-667/21

    Krankenversicherung Nordrhein - Vorlage zur Vorabentscheidung - Schutz

    Die Geeignetheit solcher Maßnahmen ist konkret zu bewerten, indem geprüft wird, ob der Verantwortliche diese Maßnahmen unter Berücksichtigung der verschiedenen in den genannten Artikeln aufgeführten Kriterien und der Datenschutzbedürfnisse getroffen hat, die speziell mit der betreffenden Verarbeitung sowie den davon ausgehenden Risiken verbunden sind (vgl. in diesem Sinne Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, Rn. 30).

    Wie der Generalanwalt in Nr. 93 seiner Schlussanträge im Wesentlichen ausgeführt hat, stünde es zum einen nicht im Einklang mit dem Ziel dieses hohen Schutzes, sich für eine Auslegung zu entscheiden, wonach die betroffenen Personen, denen durch einen Verstoß gegen die DSGVO ein Schaden entstanden ist, im Rahmen einer auf Art. 82 dieser Verordnung gestützten Schadenersatzklage die Beweislast nicht nur für das Vorliegen dieses Verstoßes und des ihnen daraus entstandenen Schadens tragen müssten, sondern auch für das Vorliegen von Vorsatz oder Fahrlässigkeit des Verantwortlichen oder sogar für den Grad des jeweiligen Verschuldens, obwohl Art. 82 DSGVO keine derartigen Anforderungen enthält (vgl. entsprechend Urteil vom 14. Dezember, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, Rn. 56).

  • EuGH, 11.04.2024 - C-741/21

    juris - Vorlage zur Vorabentscheidung - Schutz natürlicher Personen bei der

    Insoweit ist hervorzuheben, dass die Umstände der in Art. 82 Abs. 3 DSGVO vorgesehenen Befreiung streng auf solche beschränkt werden müssen, unter denen der Verantwortliche nachweisen kann, dass er selbst nicht für den Schaden verantwortlich ist (vgl. in diesem Sinne Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, Rn. 70).

    Daher kann dem Verantwortlichen bei einer Verletzung des Schutzes personenbezogener Daten durch eine ihm unterstellte Person diese Befreiung nur zugutekommen, wenn er nachweist, dass es keinen Kausalzusammenhang zwischen der etwaigen Verletzung der ihm gemäß den Art. 5, 24 und 32 dieser Verordnung obliegenden Verpflichtung zum Datenschutz und dem der betroffenen Person entstandenen Schaden gibt (vgl. entsprechend Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, Rn. 72).

     
  • OLG Koblenz, 18.05.2022 - 5 U 2141/21

    Bestimmung der Höhe des immateriellen Schadenersatzes bei unberechtigter

    An einer europarechtlichen Konkretisierung der Voraussetzungen fehlt es bisher, auch wenn es bereits Vorlagen zum Europäischen Gerichtshof gibt (BAG v. 26.08.2021, 8 AZR 253/20; EuGH C-340/21 (Bulgarien); EuGH C-300/21 (Österreich); LG Saarbrücken v. 22.11.2021, 5 O 151/19).
  • OLG Dresden, 20.02.2024 - 4 U 1608/23
    Genauso dahinstehen können die Fragen, ob der Kläger zu Recht weitere Verstöße gegen die DSGVO geltend macht und ob die Beklagte ihrer Pflicht zur Schaffung eines angemessenen Schutzniveaus durch geeignete technische und organisatorische Schutzmaßnahmen unter Berücksichtigung des Standes der Technik (Art. 32 DSGVO) nachgekommen ist (vgl. EuGH, Urteil vom 14.12.2023, C-340/21).

    Die Darlegungs- und Beweislast obliegt insoweit der betroffenen Person (vgl. EuGH, Urteil vom 04.05.2023, C-300/21, Rn. 50; Urteile vom 14.12.2023, C-340/21, Rn. 84 und C-456/22, Tenor, S.2, GRUR-RS 2023, 35767; OLG Hamm, Urteil vom 15.08.2023, 7 U 19/23, Rn. 151).

    So kann auch die Veröffentlichung personenbezogener Daten im Internet und der daraus resultierende kurzzeitige Verlust der Hoheit über diese Daten einen immateriellen Schaden darstellen, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte (vgl. EuGH, Urteil vom 14.12.2023 - C - 340/21, Rn. 82).

    Daraus ergibt sich ebenfalls, dass bestimmte "negative Folgen" für die konkret betroffene Person eintreten müssen, die im Hinblick auf diese Person eine Missbrauchsbefürchtung rechtfertigen (vgl. EuGH, Urteil vom 14.12.2023, C -340/21 Rn. 85).

    Der Senat sieht dagegen keinen Anlass für die Einleitung eines Vorabentscheidungsverfahrens nach Art. 267 AEUV oder für die Aussetzung des vorliegenden Verfahrens bis zur Entscheidung des Europäischen Gerichtshofs in den Verfahren C-189/22, C-741/21, C-687/21, C-667/21, C-340/21 und C-307/22.

    Unerheblich für das vorliegende Verfahren sind auch die Vorlagefragen im Verfahren C-340/21, da der Anspruch des Klägers vorliegend zum einen nicht daran scheitert, dass ihm die Beweislast für das Vorliegen geeigneter technischer und organisatorischer Maßnahmen im Sinne von Art. 32 DSGVO auferlegt wird und es zum anderen auch nicht um die Haftung der Beklagten für einen sog. "Hackerangriff" geht.

  • OLG Celle, 04.04.2024 - 5 U 31/23

    Berufung; Berufungsbegründung; unzulässig; Textbausteine; immaterieller

    aa) Allerdings könnte man die Formulierungen in Rn. 82 des Urteils des EuGH vom 14. Dezember 2023 (C-340/21) ggf. so deuten, als wäre bereits der bloße, objektive "Verlust der Kontrolle" über seine eigenen Daten (was auch immer darunter genau - jedenfalls dem Senat ist das nicht ganz klar - zu verstehen sein soll), ausreichend, um einen Schaden i.S.v. Art. 82 Abs. 1 DSGVO zu begründen.

    Der Senat räumt allerdings ein, dass sich dieses Auslegungsverständnis aus den bisher zur Vorschrift des Art. 82 Abs. 1 ergangenen Entscheidungen des EuGH (C-300/21, C-340/21, C-667/21, C-687/21 und C-456/22) - zumindest aus seiner Sicht (anders beispielsweise aus jüngster Zeit OLG Oldenburg, Beschluss vom 20. Februar 2024 - 13 U 44/23, juris Rn. 7) - keineswegs eindeutig ergibt.

    Allein schon deshalb meint der Senat (vgl. dazu auch noch nachfolgend Gliederungspunkt C.), dass es mindestens schon aus diesem Grund nicht in Betracht kommt (vgl. genau zu diesem Punkt, und zwar explizit zu Art. 82 Abs. 1 DSGVO : BVerfG, Beschluss vom 14. Januar 2021 - 1 BvR 2853/19 , juris Rn. 14 f.), vergleichbare Berufungen wie die vorliegende entweder durch Beschluss nach § 522 Abs. 2 ZPO oder aber durch Urteil, in dem die Revision nicht zugelassen wird, zurückzuweisen, wie es in der - etwa bei juris veröffentlichten - obergerichtlichen Rechtsprechung aber derzeit mitunter geschieht (wobei der Senat insoweit nicht verkennt, dass zumindest einzelne jener Entscheidungen zeitlich vor dem Urteil des EuGH vom 14. Dezember 2023 (C-340/21) ergangen sind).

    d) Dieses - streitige (beweispflichtig insoweit ist der Kläger, vgl. EuGH, Urteil vom 14. Dezember 2023 - C-340/21 , Rn. 84; EuGH, Urteil vom 4. Mai 2023 - C-300/21 , Rn. 50; EuGH, Urteil vom 14. Dezember 2023 - C-456/22 , Rn. 21) - Vorbringen ist prozessual beachtlich.

  • OLG München, 24.04.2024 - 34 U 2306/23

    Dsgvo, Unterlassungsanspruch, Feststellungsinteresse, Rechtsschutzbedürfnis,

    Ob der Kläger zu Recht Verstöße gegen die DSGVO geltend macht, kann genauso offenbleiben wie die Frage, ob die Beklagte ihrer Pflicht zur Schaffung eines angemessenen Schutzniveaus durch geeignete technische und organisatorische Schutzmaßnahmen unter Berücksichtigung des Standes der Technik (Art. 32 DSGVO) nachgekommen ist (vgl. EuGH, Urteil vom 14.12.2023, C-340/21, juris).

    Die Darlegungs-und Beweislast trägt insoweit die betroffene Person (vgl. EuGH, Urteil vom 04.05.2023, C-300/21, Rn. 50; Urteile vom 14.12.2023, C-340/21, Rn. 84, juris, und C-456/22, Tenor, S.2, GRUR-RS 2023, 35767; OLG Hamm, Urteil vom 15.08.2023, 7 U 19/23, Rn. 151, juris).

    Die hieraus folgende Dreistufigkeit der Prüfung (Verstoß gegen DSGVO -> negative Folge, z.B. Kontrollverlust -> Schaden) stellt auch der Europäische Gerichtshof in seinem Urteil vom 14.12.2023, C-340/21, GRUR-RS 2023, 35786, Rn. 84 heraus: "Allerdings ist darauf hinzuweisen, dass eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie negative Folgen gehabt hat, nachweisen muss, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen (...).".

    Der Senat sieht dagegen keinen Anlass für die Einleitung eines Vorabentscheidungsverfahren nach Art. 267 AEUV oder für die Aussetzung des vorliegenden Verfahrens bis zur Entscheidung des Europäischen Gerichtshofs in den Verfahren C-189/22, C-741/21, C-687/21, C-667/21, C-340/21 und C-307/22.

  • OLG Dresden, 30.01.2024 - 4 U 1398/23
    Genauso dahinstehen können die Fragen, ob der Kläger zu Recht weitere Verstöße gegen die DSGVO geltend macht und ob die Beklagte ihrer Pflicht zur Schaffung eines angemessenen Schutzniveaus durch geeignete technische und organisatorische Schutzmaßnahmen unter Berücksichtigung des Standes der Technik (Art. 32 DSGVO) nachgekommen ist (vgl. EuGH, Urteil vom 14.12.2023, C-340/21).

    Die Darlegungs- und Beweislast obliegt insoweit der betroffenen Person (vgl. EuGH, Urteil vom 04.05.2023, C-300/21, Rn. 50; Urteile vom 14.12.2023, C-340/21, Rn. 84 und C-456/22, Tenor, S.2, GRUR-RS 2023, 35767; OLG Hamm, Urteil vom 15.08.2023, 7 U 19/23, Rn. 151).

    So kann auch die Veröffentlichung personenbezogener Daten im Internet und der daraus resultierende kurzzeitige Verlust der Hoheit über diese Daten einen immateriellen Schaden darstellen, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte (vgl. EuGH, Urteil vom 14.12.2023 - C - 340/21, Rn. 82).

    Daraus ergibt sich ebenfalls, dass bestimmte "negative Folgen" für die konkret betroffene Person eintreten müssen, die im Hinblick auf diese Person eine Missbrauchsbefürchtung rechtfertigen (vgl. EuGH, Urteil vom 14.12.2023, C -340/21 Rn. 85).

    Der Senat sieht dagegen keinen Anlass für die Einleitung eines Vorabentscheidungsverfahrens nach Art. 267 AEUV oder für die Aussetzung des vorliegenden Verfahrens bis zur Entscheidung des Europäischen Gerichtshofs in den Verfahren C-189/22, C-741/21, C-687/21, C-667/21, C-340/21 und C-307/22.

    Unerheblich für das vorliegende Verfahren sind auch die Vorlagefragen im Verfahren C-340/21, da der Anspruch des Klägers vorliegend zum einen nicht daran scheitert, dass ihm die Beweislast für das Vorliegen geeigneter technischer und organisatorischer Maßnahmen im Sinne von Art. 32 DSGVO auferlegt wird und es zum anderen auch nicht um die Haftung der Beklagten für einen sog. "Hackerangriff" geht.

  • OLG Dresden, 23.01.2024 - 4 U 1313/23
    c) Ob der Kläger darüber hinaus zu Recht weitere Verstöße gegen die DSGVO geltend macht, kann allerdings genauso offenbleiben wie die Frage, ob die Beklagte ihrer Pflicht zur Schaffung eines angemessenen Schutzniveaus durch geeignete technische und organisatorische Schutzmaßnahmen unter Berücksichtigung des Standes der Technik (Art. 32 DSGVO) nachgekommen ist (vgl. EuGH, Urteil vom 14.12.2023, C-340/21, - juris).

    Nach Art. 82 der DSGVO ist Schadensersatz zu leisten, wenn der Nachweis eines Verstoßes gegen die DSGVO, eines tatsächlich erlittenen materiellen oder immateriellen Schadens und eines Kausalzusammenhangs zwischen dem Verstoß und dem Schaden erbracht wird; der bloße Verstoß gegen Bestimmungen der DSGVO reicht demnach nicht aus (EuGH, Urteil vom 04.05.2023, C-300/21, Rn. 42, - juris; Urteil vom 14.12.2023, C-456/22, 21, - juris) Die Darlegungs- und Beweislast obliegt insoweit der betroffenen Person (vgl. EuGH, Urteil vom 04.05.2023, C-300/21, Rn. 50; Urteile vom 14.12.2023, C-340/21, Rn. 84, - juris, und C-456/22,Tenor, S.2, GRUR-RS 2023, 35767; OLG Hamm, Urteil vom 15.08.2023, 7 U 19/23, Rn. 151, - juris).

    So kann auch die Veröffentlichung personenbezogener Daten im Internet und der daraus resultierende kurzzeitige Verlust der Hoheit über diese Daten einen immateriellen Schaden darstellen, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte (vgl. EuGH, Urteil vom 14.12.2023 - C - 340/21, Rn. 82 - juris).

    Dies zeigt ebenfalls, dass bestimmte "negative Folgen" für die betreffende Person eintreten müssen, die im Hinblick auf die konkrete Person eine Missbrauchsbefürchtung rechtfertigen (so jetzt ausdrücklich EuGH, Urteil vom 14.12.2023, C-340/21 Rn. 85).

  • OLG Dresden, 30.01.2024 - 4 U 1481/23
    c) Ob der Kläger darüber hinaus zu Recht weitere Verstöße gegen die DSGVO geltend macht, kann allerdings genauso offenbleiben wie die Frage, ob die Beklagte ihrer Pflicht zur Schaffung eines angemessenen Schutzniveaus durch geeignete technische und organisatorische Schutzmaßnahmen unter Berücksichtigung des Standes der Technik (Art. 32 DSGVO) nachgekommen ist (vgl. EuGH, Urteil vom 14.12.2023, C-340/21, - juris).

    Nach Art. 82 der DSGVO ist Schadensersatz zu leisten, wenn der Nachweis eines Verstoßes gegen die DSGVO, eines tatsächlich erlittenen materiellen oder immateriellen Schadens und eines Kausalzusammenhangs zwischen dem Verstoß und dem Schaden erbracht wird; der bloße Verstoß gegen Bestimmungen der DSGVO reicht demnach nicht aus (EuGH, Urteil vom 04.05.2023, C-300/21, Rn. 42, - juris; Urteil vom 14.12.2023, C-456/22, 21, - juris) Die Darlegungs- und Beweislast obliegt insoweit der betroffenen Person (vgl. EuGH, Urteil vom 04.05.2023, C-300/21, Rn. 50; Urteile vom 14.12.2023, C-340/21, Rn. 84, - juris, und C-456/22, Tenor, S.2, GRUR-RS 2023, 35767; OLG Hamm, Urteil vom 15.08.2023, 7 U 19/23, Rn. 151, - juris).

    So kann auch die Veröffentlichung personenbezogener Daten im Internet und der daraus resultierende kurzzeitige Verlust der Hoheit über diese Daten einen immateriellen Schaden darstellen, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte (vgl. EuGH, Urteil vom 14.12.2023 - C - 340/21, Rn. 82 - juris).

    Dies zeigt ebenfalls, dass bestimmte "negative Folgen" für die betreffende Person eintreten müssen, die im Hinblick auf die konkrete Person eine Missbrauchsbefürchtung rechtfertigen (so jetzt ausdrücklich EuGH, Urteil vom 14.12.2023, C -340/21 Rn. 85).

  • OLG Dresden, 30.01.2024 - 4 U 1168/23
  • LG Freiburg, 08.02.2024 - 8 O 212/23

    Datenschutzrechtliche Ansprüche im Zusammenhang mit einem API-Bug bei Twitter

  • OLG Hamm, 21.12.2023 - 7 U 137/23

    Aussetzung; Revisionszulassung; grundsätzliche Bedeutung; Fortbildung des Rechts;

  • OLG Dresden, 20.02.2024 - 4 U 1634/23
  • OLG Dresden, 01.03.2024 - 4 U 1550/23
  • OLG Stuttgart, 02.02.2024 - 2 U 63/22

    Direktwerbung kein Datenschutzverstoß

  • LG Passau, 09.04.2024 - 4 O 260/23

    Datenschutzgrundverordnung, Streitwertfestsetzung, Feststellungsinteresse,

  • LG Dortmund, 24.01.2024 - 3 O 37/23

    Meta, Scraping, Darlegung, Schaden, Streitwert

Haben Sie eine Ergänzung? Oder haben Sie einen Fehler gefunden? Schreiben Sie uns.
Sie können auswählen (Maus oder Pfeiltasten):
(Liste aufgrund Ihrer bisherigen Eingabe)
Komplette Übersicht