➧ Es geht um eine beliebte App für Wertpapierhandel Scalable Capital GmbH ist ein deutsches Unternehmen, das eine Trading App betreibt. Die App dient dazu, Wertpapierdepots einzurichten. Dabei ist es notwendig, eine ganze Reihe personenbezogener Daten anzugeben. Dazu gehören Namen, Geburtsdatum, Postanschrift, Mailadresse und eine digital gespeicherte Kopie des Personalausweises des Depotinhabers. ➧ Unbekannte haben umfangreich Daten abgegriffen Die Kläger sind Depotinhaber. Im Jahr 2020 haben Unbekannte die persönlichen Daten der Kläger abgegriffen und auch die Daten zum Inhalt ihrer Depots. Dies steht fest. Zumindest bisher scheint es dagegen so, dass diese Daten nicht in betrügerischer Weise verwendet wurden. Das behauptet jedenfalls Scalable Capital GmbH. ➧ Die Kläger fordern Schmerzensgeld Die Kläger sind der Auffassung, durch den Diebstahl der Daten sei ihnen ein „immaterieller Schaden“ entstanden. Sie fordern also Schmerzensgeld dafür, dass sie einen künftigen Missbrauch ihrer Daten befürchten müssen. Sie sehen sich als Opfer eines Identitätsdiebstahls mit allen Risiken, die dadurch entstanden sind. Da das Unternehmen keinen Schadensersatz leisten will, wandten sich die Kläger an das zuständige Amtsgericht. ➧ Das Gericht will nicht so recht Das Verhalten des Gerichts wirkt zwiespältig. Einerseits scheint es dazu zu neigen, Schadensersatz zu gewähren. Andererseits hält es die Angelegenheit wohl eher für eine Bagatelle, die nach den bisherigen Maßstäben deutscher Gerichte keinen Schadensersatz rechtfertigt. Dieser Eindruck ergibt sich aus den Fragen, die das Gericht an den EuGH richtet. Von den Antworten des EuGH erhofft sich das Gericht Klarheit, wie es letztlich verfahren soll. ➧ Schäden durch Datenklau hält das Gericht für eher harmlos Dass bei Körperverletzungen ein Schmerzensgeld fällig ist, hält das Gericht für richtig. Bei Schäden, die durch Datenklau entstehen, scheint ihm das dagegen nicht zwingend notwendig. Nur so lässt sich folgende Frage erklären, die das Gericht an den EuGH richtet: „Ist … von einem strukturellen Rangverhältnis oder zumindest Regel-Ausnahme-Rangverhältnis auszugehen, bei dem das von einer Datenverletzung ausgehende Beeinträchtigungserleben weniger Gewicht hat als das mit einer Körperverletzung verknüpfte Beeinträchtigungs- und Schmerzerleben?“ ➧ Der EuGH widerspricht dieser Idee deutlich Nach Auffassung des EuGH ist ein „durch eine Verletzung des Schutzes personenbezogener Daten verursachter Schaden seiner Natur nach nicht weniger schwerwiegend … als eine Körperverletzung.“ (Rn. 39 des Urteils). Dies begründete er damit, dass die DSGVO eine solche Hierarchie verschiedener Arten von Schäden nicht kennt. Vielmehr setzt sie „physische, materielle oder immaterielle Schäden gleich“ (Rn. 37 des Urteils). Ein Schaden ist also erst einmal ein Schaden, egal ob er in einer Körperverletzung besteht („physischer Schaden“), in einer Schädigung des Vermögens („materieller Schaden“) oder in einer Beeinträchtigung des seelischen Empfindens („immaterieller Schaden“). Jetzt Newsletter abonnieren Jetzt abonnieren ➧ Auch Bagatellschäden sind auszugleichen Fast schon trickreich fragt das deutsche Gericht den EuGH, ob bei einem geringen Schaden ein geringfügiger Schadensersatz ausreicht, den die betroffene Person möglicherweise als rein symbolisch empfindet. Was man sich darunter genau vorstellen soll, sagt das Gericht nicht. Möglicherweise denkt es an Beträge von vielleicht einem Euro oder auch fünf Euro. Die Absicht ist jedoch klar: Das Gericht überlegt, möglicherweise eine Summe festzulegen, die die betroffene Person eher als Verhöhnung empfindet. Hierzu bemerkt der EuGH recht trocken: Schadensersatz ist zu leisten, egal wie gering der Schaden ist. Wichtig ist aber, dass der Schadensersatz den entstandenen Schaden in vollem Umfang ausgleicht ➧ Schadensersatz muss angemessen sein Den Aspekt des vollständigen Ausgleichs betont der EuGH in dem Urteil gleich mehrfach. Entscheidend ist die Effektivität des Schadensersatzes: „Der Betrag ist … so festzulegen, dass er den konkret aufgrund des Verstoßes gegen die DSGVO erlittenen Schaden in vollem Umfang ausgleicht (Rn. 29 des Urteils). Um zu unterstreichen, wie ernst er diesen Grundsatz nimmt, verweist der EuGH zu dieser Frage gleich auf mehrere frühere Urteile. Man kann dies durchaus als Mahnung an die Gerichte der Mitgliedstaaten verstehen, in diesem Punkt auf keinen Fall kleinlich zu sein. ➧ Jetzt kommt es auf die Gerichte der Mitgliedstaaten an Ebenfalls mehrfach betont der EuGH, dass es Sache der nationalen Gerichte ist, Schadensersatz in angemessener Höhe zu gewähren. Dabei können auch bei gleich gelagerten Fällen die konkreten Beträge in den einzelnen Mitgliedstaaten unterschiedlich ausfallen. Denn die DSGVO gibt keine konkreten Beträge vor und die Lebensverhältnisse (einschließlich der wirtschaftlichen Verhältnisse) sind in den einzelnen Mitgliedstaaten unterschiedlich. In Deutschland sind beim Bundesgerichtshof (BGH) mehrere einschlägige Fälle anhängig. Sie werden voraussichtlich noch im Jahr 2024 entschieden. Man darf mit Spannung erwarten, was der BGH aus den Vorgaben des EuGH macht. ➧ Scalable Capital GmbH darf öffentlich genannt werden Die Namen der Kläger nennt der EuGH in seinem Urteil nicht. Sie sind so abgekürzt, dass kein Kläger zu identifizieren ist. Bei der GmbH, gegen die sich die Klage richtet, ist das anders. Sie wird mit ihrer vollen Bezeichnung genannt und muss künftig damit leben, dass die Entscheidung des EuGH sozusagen ihren Namen trägt. Genau das hatte die GmbH zu verhindern versucht. Dazu hatte sie beim Präsidenten des EuGH den Antrag gestellt, das gesamte Verfahren (und damit natürlich auch das Urteil) entsprechend zu anonymisieren. ➧ Die DSGVO gilt nicht für juristische Personen Dieses Ansinnen hat der Präsident des EuGH jedoch zurückgewiesen (siehe Rn. 16 der Entscheidung). Die Gründe dafür sind nicht ausgeführt. Vermutlich beruht die Ablehnung darauf, dass es sich bei der GmbH um eine juristische Person handelt. Und für juristische Personen gilt der Schutz der DSGVO nicht. Erwägungsgrund 14 Satz 2 zur DSGVO sagt hierzu sehr klar: „Diese Verordnung gilt nicht für die Verarbeitung personenbezogener Daten juristischer Personen und insbesondere als juristische Person gegründete Unternehmen, einschließlich Name, Rechtsform oder Kontaktdaten der juristischen Person.“ ➧ So finden Sie das Urteil des EuGH Das Urteil des EuGH wurde am 20. Juni 2024 verkündet. Da es zwei Verfahren betrifft, die der EuGH miteinander verbunden hat, trägt es auch zwei Aktenzeichen, nämlich C-182/22 und C-189/22. Es genügt, eines der beiden Aktenzeichen einzugeben, um die Entscheidung im Internet zu finden. Dr. Eugen Ehmann Der Beitrag Sind Datenlecks gar nicht so schlimm? erschien zuerst auf Datenschutz PRAXIS für Datenschutzbeauftragte.
Echt schlimm, dass mir das bis jetzt noch nie aufgefallen ist. Ich dachte vorher so etwa, die hätten einen alten Kernel ausgegraben, weil sie bei den neuen einen Fehler draufgekommen sind.
zum Artikel gehenSchlimm, wenn sich Einsamkeit wie ein dunkles Tuch über einen ausbreitet. Es wird in denRead More
zum Artikel gehenIn der letzten Sitzung des Rates in dieser Sitzungsperiode brachte die UWG eine Vielzahl von Schaufensteranträgen ein. Von Hundesteuersenkung bis zur Flüssigsauerstofftankstelle war alles dabei. Nicht das der Eine oder Andere Sachverhalt nicht diskutabel
zum Artikel gehenIm Januar kam dann der große Schock. Unser Engel hatte eine Bronchitis. Sobald sie krank ist, sind wir direkt beim Kinderarzt, damit es nicht zu schlimm wird. Leider fing sie an einem Tag an zu spucken, erst Schleim und plötzlich war es Blut und davon imm
// Der vierte Tag beginnt perfect. Die Sonne lacht, vllig untypisch fr Schottland. Das Frhstck ist nicht zu toppen, einfach wundervoll. Wir haben heute eine Wanderung zum Gobbler geplant, da er quasi vor der Haustr liegt. Der Aufstieg ist ziemli
zum Artikel gehen