EuGH: Zum durch Diebstahl personenbezogener Daten verursachten immateriellen Schaden

EuGH, Urteil vom 20.6.2024 – C-182/22 und C-189/22, JU (C‑182/22), SO (C‑189/22) gegen Scalable Capital GmbH

ECLI:EU:C:2024:531

Volltext: BB-Online BBL2024-1537-2

unter www.betriebs-berater.de

Tenor

1. Art. 82 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass der in dieser Be-stimmung vorgesehene Schadenersatzanspruch ausschließlich eine Ausgleichsfunktion erfüllt, da eine auf diese Bestimmung gestützte Entschädigung in Geld es ermöglichen soll, den erlittenen Schaden in vollem Umfang auszugleichen.

2. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass er nicht ver-langt, dass der Grad der Schwere und die etwaige Vorsätzlichkeit des von dem für die Verarbeitung Verantwortlichen begangenen Verstoßes gegen diese Verordnung für die Zwecke des Ersatzes eines Schadens auf der Grundlage dieser Bestimmung berücksichtigt werden.

3. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass im Rahmen der Festlegung der Höhe des aufgrund des Anspruchs auf Ersatz eines immateriellen Schadens geschuldeten Schadenersatzes davon auszugehen ist, dass ein solcher durch eine Verletzung des Schutzes personenbezogener Daten verursachter Schaden seiner Natur nach nicht weniger schwerwiegend ist als eine Körperverletzung.

4. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass wenn ein Schaden gegeben ist, ein nationales Gericht bei fehlender Schwere des Schadens diesen ausgleichen kann, indem es der betroffenen Person einen geringfügigen Schaden-ersatz zuspricht, sofern dieser Schadenersatz geeignet ist, den entstandenen Schaden in vollem Umfang auszugleichen.

5. Art. 82 Abs. 1 der Verordnung 2016/679 ist im Licht der Erwägungsgründe 75 und 85 dieser Verordnung dahin auszulegen, dass der Begriff „Identitätsdiebstahl“ nur dann erfüllt ist und einen Anspruch auf Ersatz des immateriellen Schadens nach dieser Bestimmung begründet, wenn ein Dritter die Identität einer Person, die von einem Diebstahl personenbezogener Daten betroffen ist, tatsächlich angenommen hat. Jedoch kann der Ersatz eines durch den Diebstahl personenbezogener Daten verursachten immateriellen Schadens nach der genannten Vorschrift nicht auf die Fälle beschränkt werden, in denen nachgewiesen wird, dass ein solcher Diebstahl von Daten anschließend zu einem Identitätsdiebstahl oder ‑betrug geführt hat.

Aus den Gründen

1          Die Vorabentscheidungsersuchen betreffen die Auslegung von Art. 82 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1, im Folgenden: DSGVO).

2          Sie ergehen im Rahmen zweier Rechtsstreitigkeiten zwischen JU bzw. SO auf der einen und der Scalable Capital GmbH auf der anderen Seite über den Ersatz des immateriellen Schadens, der Ersteren durch den Diebstahl ihrer in einer von Scalable Capital betriebenen Trading-App hinterlegten persönlichen Daten durch unbekannte Dritte entstanden sein soll.

Rechtlicher Rahmen

3          In den Erwägungsgründen 75, 85 und 146 der DSGVO heißt es:

„(75) Die Risiken für die Rechte und Freiheiten natürlicher Personen – mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere – können aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einem physischen, materiellen oder immateriellen Schaden führen könnte, insbesondere wenn die Verarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder ‑betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann, wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren, wenn personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Zugehörigkeit zu einer Gewerkschaft hervorgehen, und genetische Daten, Gesundheitsdaten oder das Sexualleben oder strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln betreffende Daten verarbeitet werden, wenn persönliche Aspekte bewertet werden, insbesondere wenn Aspekte, die die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, die Zuverlässigkeit oder das Verhalten, den Aufenthaltsort oder Ortswechsel betreffen, analysiert oder prognostiziert werden, um persönliche Profile zu erstellen oder zu nutzen, wenn personenbezogene Daten schutzbedürftiger natürlicher Personen, insbesondere Daten von Kindern, verarbeitet werden oder wenn die Verarbeitung eine große Menge personenbezogener Daten und eine große Anzahl von betroffenen Personen betrifft.

…

(85) Eine Verletzung des Schutzes personenbezogener Daten kann – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder ‑betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person. …

…

(146) … Der Verantwortliche oder der Auftragsverarbeiter sollte von seiner Haftung befreit werden, wenn er nachweist, dass er in keiner Weise für den Schaden verantwortlich ist. Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht. … Die betroffenen Personen sollten einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. …“

4          Art. 4 („Begriffsbestimmungen“) DSGVO sieht vor:

„Im Sinne dieser Verordnung bezeichnet der Ausdruck:

1. ‚personenbezogene Daten‘ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ‚betroffene Person‘) beziehen; …

…

7. ‚Verantwortlicher‘ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; …

…

10. ,Dritter‘ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;

…

12. ‚Verletzung des Schutzes personenbezogener Daten‘ eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;

…“

5          Art. 82 („Haftung und Recht auf Schadenersatz“) Abs. 1 bis 3 DSGVO bestimmt:

„(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

(2) Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.

(3) Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.“

Ausgangsrechtsstreitigkeiten und Vorlagefragen

6          Scalable Capital, eine Gesellschaft deutschen Rechts, betreibt eine Trading-App, auf der die Kläger des Ausgangsverfahrens, JU und SO, einen Account eröffnet hatten. Zu diesem Zweck hinterlegten sie in ihrem jeweiligen Account bestimmte personenbezogene Daten, insbesondere ihren Namen, ihr Geburtsdatum, ihre Postanschrift, ihre E‑Mail-Adresse sowie eine digital gespeicherte Kopie ihres Personalausweises. Ein für die Eröffnung der Accounts erforderlicher Betrag von mehreren Tausend Euro war von den Klägern des Ausgangsverfahrens einbezahlt worden.

7          Im Jahr 2020 wurden persönliche Daten sowie Daten zum Wertpapier-Depot der Kläger des Ausgangsverfahrens von Dritten, deren Identität unbekannt ist, abgegriffen. Scalable Capital zufolge wurden die persönlichen Daten bislang nicht in betrügerischer Weise verwendet.

8          Vor diesem Hintergrund erhoben die Kläger des Ausgangsverfahrens beim Amtsgericht München (Deutschland), dem vorlegenden Gericht, Klage auf Ersatz des immateriellen Schadens, der ihnen durch den Diebstahl ihrer persönlichen Daten entstanden sein soll.

9          Erstens ergeben sich die Fragen des vorlegenden Gerichts aus unterschiedlichen Ansätzen der deutschen Gerichte bei der Bemessung des Schadenersatzes, der in einer solchen Situation zuzusprechen ist. Daraus ergeben sich erhebliche Unterschiede in der Höhe der Entschädigung in Geld, die in Fällen, die den im Ausgangsverfahren in Rede stehenden ähnlich sind, gewährt wird, insbesondere je nachdem, ob eine mögliche abschreckende Wirkung berücksichtigt wurde oder nicht. Das vorlegende Gericht weist darauf hin, dass im vorliegenden Fall mehrere zehntausend Personen vom Verlust der fraglichen Daten betroffen seien und somit eine einheitliche Bemessungsmethode anzuwenden sei.

10        Zweitens stützt sich das vorlegende Gericht hinsichtlich der Bemessung des immateriellen Schadens auf das deutsche Recht und unterscheidet zwischen einer „Ausgleichsfunktion“ und einer „Genugtuungsfunktion“. Die Ausgleichsfunktion ziele darauf ab, die erlittenen und absehbar zu erwartenden Folgen des geltend gemachten Schadens zu kompensieren, während die Genugtuungsfunktion darauf abziele, das auf dem Eintritt des Schadens beruhende Gefühl erlittenen Unrechts zu neutralisieren. Nach deutschem Recht spiele die Genugtuungsfunktion nur eine untergeordnete Rolle, und im vorliegenden Fall dürfe diese Funktion keinen Einfluss auf die Berechnung des von den Klägern geltend gemachten Schadenersatzes haben.

11        Drittens gebe es im deutschen Recht keine Tabelle, die es ermöglichen würde, die Höhe des Schadenersatzes festzulegen, der in den verschiedenen Situationen, in denen Schadenersatz verlangt werde, zu gewähren sei. Die Vielzahl von Einzelfallentscheidungen erlaube es jedoch, einen Bezugsrahmen festzulegen, was zu einer Form von Systematisierung der Ausgleichsbeträge führe. Insoweit werde in der deutschen Rechtsordnung eine Entschädigung in Geld zum Ausgleich von Persönlichkeitsrechtsverletzungen nur dann gewährt, wenn diese von besonderer Schwere seien. Die Bezifferung in Geld sei für den Ausgleich von Körperverletzungen objektivierbarer. Das vorlegende Gericht ist daher der Auffassung, dass der Verlust von Daten geringeres Gewicht haben sollte als physische Verletzungen.

12        Viertens fragt sich das vorlegende Gericht nach der Möglichkeit, in dem Fall, dass der mit einem Verstoß gegen die DSGVO zusammenhängende Schaden geringfügig ist, eine geringfügige Entschädigung zu gewähren, die als symbolisch angesehen werden könnte.

13        Fünftens weist das vorlegende Gericht darauf hin, dass die Parteien des Ausgangsverfahrens den Begriff „Identitätsdiebstahl“ unterschiedlich auslegten. Insoweit ist es der Ansicht, dass ein Identitätsdiebstahl erst dann vorliege, wenn die illegal gewonnenen Daten von einem Dritten verwendet würden, um die Identität der betroffenen Person vorzutäuschen.

14        Unter diesen Umständen hat das Amtsgericht München in den Rechtssachen C‑182/22 und C‑189/22 beschlossen, die Verfahren auszusetzen und dem Gerichtshof folgende, in beiden Rechtssachen gleichlautende Fragen zur Vorabentscheidung vorzulegen:

1. Ist Art. 82 DSGVO dahin auszulegen, dass dem Schadenersatzanspruch auch im Rahmen der Bemessung seiner Höhe kein Sanktionscharakter, insbesondere keine generelle oder spezielle Abschreckungsfunktion zukommt, sondern der Anspruch auf Schadenersatz nur eine Ausgleichs- und unter Umständen Genugtuungsfunktion hat?

2. Ist für die Bemessung des immateriellen Schadenersatzanspruchs als Verständnis davon auszugehen, dass der Schadenersatzanspruch auch eine individuelle Genugtuungsfunktion hat – hier verstanden als das im Privaten des Verletzten bleibende Interesse, das verursachende Verhalten geahndet zu sehen, oder kommt dem Schadenersatzanspruch nur eine Ausgleichsfunktion zu – hier verstanden als die Funktion, erlittene Beeinträchtigungen zu kompensieren?

Wenn davon auszugehen ist, dass dem immateriellen Schadenersatzanspruch sowohl Ausgleichs- als auch Genugtuungsfunktion zukommt: Ist bei seiner Bemessung davon auszugehen, dass die Ausgleichsfunktion einen strukturellen oder zumindest als Regel-Ausnahmeverhältnis zu sehenden Vorrang vor der Genugtuungsfunktion hat? Führt dies dazu, dass eine Genugtuungsfunktion nur bei vorsätzlichen ober grob fahrlässigen Verletzungen in Betracht kommt?

Wenn dem immateriellen Schadenersatzanspruch keine Genugtuungsfunktion zukommt: Führen bei seiner Bemessung nur vorsätzliche oder grob fahrlässige Datenschutzverletzungen als Beurteilung von Verursachungsbeiträgen zu zusätzlichem Gewicht?

3. Ist für das Verständnis des immateriellen Schadenersatzes in seiner Bemessung von einem strukturellen Rangverhältnis oder zumindest Regel-Ausnahme-Rangverhältnis auszugehen, bei dem das von einer Datenverletzung ausgehende Beeinträchtigungserleben weniger Gewicht hat als das mit einer Körperverletzung verknüpfte Beeinträchtigungs- und Schmerzerleben?

4. Steht einem nationalen Gericht offen, wenn von einem Schaden auszugehen ist, angesichts fehlender Schwere einen materiell nur im Geringfügigen bleibenden und damit unter Umständen von Verletztenseite oder allgemein nur als symbolisch empfundenen Schadenersatz zuzusprechen?

5. Ist für das Verständnis des immateriellen Schadenersatzes in der Beurteilung seiner Folgen davon auszugehen, dass ein Identitätsdiebstahl im Sinne des 75. Erwägungsgrundes der DSGVO erst dann vorliegt, wenn tatsächlich ein Straftäter die Identität des Betroffenen angenommen hat, sich also in irgendeiner Form als der Betroffene ausgegeben hat, oder liegt schon im Umstand, dass inzwischen Straftäter über Daten verfügen, die den Betroffenen identifizierbar machen, ein solcher Identitätsdiebstahl?

Verfahren vor dem Gerichtshof

15        Durch Entscheidung des Präsidenten des Gerichtshofs vom 19. April 2022 sind die Rechtssachen C‑182/22 und C‑189/22 zu gemeinsamem schriftlichen und mündlichen Verfahren sowie zu gemeinsamem Urteil verbunden worden.

16        Am 1. Juni 2022 hat der Präsident des Gerichtshofs den Antrag von Scalable Capital auf Anonymisierung des vorliegenden Verfahrens gemäß Art. 95 Abs. 2 der Verfahrensordnung des Gerichtshofs zurückgewiesen.

Zur Zulässigkeit der Vorabentscheidungsersuchen

17        Scalable Capital macht im Wesentlichen geltend, die vorliegenden Vorabentscheidungsersuchen seien unzulässig, da sie für die Ausgangsverfahren nicht entscheidungserheblich seien. Ein abstrakter Verlust der Kontrolle über Daten wie im vorliegenden Fall sei nicht als „Schaden“ im Sinne von Art. 82 Abs. 1 DSGVO einzustufen, wenn ein solcher Kontrollverlust keine konkreten Folgen gehabt habe und somit die Voraussetzungen für die Anwendung von Art. 82 DSGVO nicht erfüllt seien. Eine solche Einstufung liefe nämlich auf die Annahme hinaus, dass jeder Verstoß gegen die Verordnung entgegen dem Wortlaut, der Systematik und der Entstehungsgeschichte von Art. 82 DSGVO eine Schadensvermutung begründe.

18        Hierzu ist darauf hinzuweisen, dass es nach ständiger Rechtsprechung allein Sache des nationalen Gerichts ist, das mit dem Rechtsstreit befasst ist und in dessen Verantwortungsbereich die zu erlassende Entscheidung fällt, anhand der Besonderheiten der Rechtssache sowohl die Erforderlichkeit einer Vorabentscheidung für den Erlass seines Urteils als auch die Erheblichkeit der Fragen zu beurteilen, die es dem Gerichtshof vorlegt, wobei für die Fragen eine Vermutung der Entscheidungserheblichkeit gilt. Der Gerichtshof ist folglich grundsätzlich gehalten, über die ihm vorgelegte Frage zu befinden, wenn sie die Auslegung oder die Gültigkeit einer Vorschrift des Unionsrechts betrifft, es sei denn, dass die erbetene Auslegung offensichtlich in keinem Zusammenhang mit den Gegebenheiten oder dem Gegenstand des Ausgangsrechtsstreits steht, dass das Problem hypothetischer Natur ist oder dass der Gerichtshof nicht über die tatsächlichen und rechtlichen Angaben verfügt, die für eine zweckdienliche Beantwortung der Frage erforderlich sind (vgl. Urteile vom 5. Mai 2022, Zagrebačka banka, C‑567/20, EU:C:2022:352, Rn. 43, und vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C‑300/21, EU:C:2023:370, Rn. 23).

19        Im vorliegenden Fall genügt der Hinweis, dass sich der Einwand der Unanwendbarkeit einer Bestimmung des Unionsrechts auf das Ausgangsverfahren, sofern nicht offensichtlich ist, dass ihre Auslegung in keinem Zusammenhang mit den Gegebenheiten oder dem Gegenstand des Ausgangsverfahrens steht, nicht auf die Zulässigkeit des Vorabentscheidungsersuchens auswirkt, sondern den Inhalt der Fragen betrifft (vgl. in diesem Sinne Urteile vom 13. Juli 2006, Manfredi u. a., C‑295/04 bis C‑298/04, EU:C:2006:461, Rn. 30; vom 4. Juli 2019, Kirschstein, C‑393/17, EU:C:2019:563, Rn. 28, und vom 24. Juli 2023, Lin, C‑107/23 PPU, EU:C:2023:606, Rn. 66).

20        Folglich sind die vorliegenden Vorabentscheidungsersuchen zulässig.

Zu den Vorlagefragen

Zur ersten Frage und zum ersten Teil der zweiten Frage

21        Mit seiner ersten Frage und dem ersten Teil seiner zweiten Frage, die zusammen zu prüfen sind, möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass der in dieser Bestimmung vorgesehene Schadenersatzanspruch eine Ausgleichsfunktion erfüllt, da eine auf diese Bestimmung gestützte Entschädigung in Geld es ermöglichen soll, den aufgrund des Verstoßes gegen die DSGVO erlittenen Schaden in vollem Umfang auszugleichen, oder ob er auch eine Straffunktion erfüllt, die insbesondere darauf gerichtet ist, der betroffenen Person hinsichtlich ihrer individuellen Interessen Genugtuung zu verschaffen.

22        Insoweit hat der Gerichtshof bereits entschieden, dass Art. 82 DSGVO – anders als andere, ebenfalls in Kapitel VIII dieser Verordnung enthaltene Bestimmungen, und zwar ihre Art. 83 und 84, die im Wesentlichen einen Strafzweck haben, da sie die Verhängung von Geldbußen und anderen Sanktionen erlauben – keine Straf‑, sondern eine Ausgleichsfunktion hat. Das Verhältnis zwischen den in Art. 82 DSGVO und den in den Art. 83 und 84 DSGVO enthaltenen Vorschriften zeigt, dass zwischen diesen beiden Kategorien von Bestimmungen ein Unterschied besteht, sie einander aber als Anreiz zur Einhaltung der DSGVO auch ergänzen, wobei das Recht jeder Person, den Ersatz eines Schadens zu verlangen, die Durchsetzungskraft der in dieser Verordnung vorgesehenen Schutzvorschriften erhöht und geeignet ist, von der Wiederholung rechtswidriger Verhaltensweisen abzuschrecken (vgl. u. a. Urteile vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C‑300/21, EU:C:2023:370, Rn. 38 und 40, sowie vom 11. April 2024, juris, C‑741/21, EU:C:2024:288, Rn. 59).

23        Dementsprechend ist Art. 82 Abs. 1 DSGVO dahin ausgelegt worden, dass der in dieser Bestimmung vorgesehene Schadenersatzanspruch, insbesondere im Fall eines immateriellen Schadens, ausschließlich eine Ausgleichsfunktion erfüllt, da eine auf diese Bestimmung gestützte finanzielle Entschädigung es ermöglichen soll, den konkret aufgrund des Verstoßes gegen die DSGVO erlittenen Schaden in vollem Umfang auszugleichen, und keine Abschreckungs- oder Straffunktion erfüllt (vgl. in diesem Sinne Urteile vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C‑300/21, EU:C:2023:370, Rn. 57 und 58, sowie vom 11. April 2024, juris, C‑741/21, EU:C:2024:288, Rn. 61).

24        Folglich ist auf die erste Frage und den ersten Teil der zweiten Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass der in dieser Bestimmung vorgesehene Schadenersatzanspruch ausschließlich eine Ausgleichsfunktion erfüllt, da eine auf diese Bestimmung gestützte Entschädigung in Geld es ermöglichen soll, den erlittenen Schaden in vollem Umfang auszugleichen.

Zum zweiten Teil der zweiten Frage

25        In Anbetracht der Antwort auf die erste Frage und den ersten Teil der zweiten Frage braucht der zweite Teil der zweiten Frage nicht beantwortet zu werden.

Zum dritten Teil der zweiten Frage

26        Mit dem dritten Teil seiner zweiten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass er verlangt, dass der Grad der Schwere und die etwaige Vorsätzlichkeit des von dem für die Verarbeitung Verantwortlichen begangenen Verstoßes gegen die DSGVO für die Zwecke des Ersatzes eines Schadens auf der Grundlage dieser Bestimmung berücksichtigt werden.

27        Was die Bemessung der Höhe des etwaigen gemäß Art. 82 DSGVO geschuldeten Schadenersatzes betrifft, haben die nationalen Gerichte in Ermangelung einer Bestimmung mit diesem Gegenstand in der DSGVO die innerstaatlichen Vorschriften der einzelnen Mitgliedstaaten über den Umfang der finanziellen Entschädigung anzuwenden, sofern die unionsrechtlichen Grundsätze der Äquivalenz und der Effektivität beachtet werden (vgl. in diesem Sinne Urteile vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C‑300/21, EU:C:2023:370, Rn. 53, 54 und 59, sowie vom 25. Januar 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, Rn. 53).

28        Es ist jedoch zum einen darauf hinzuweisen, dass die Haftung des Verantwortlichen nach Art. 82 DSGVO vom Vorliegen eines ihm anzulastenden Verschuldens abhängt, das vermutet wird, sofern er nicht nachweist, dass die Handlung, die den Schaden verursacht hat, ihm nicht zurechenbar ist, und zum anderen darauf, dass Art. 82 nicht verlangt, dass die Schwere dieses Verschuldens bei der Bemessung der Höhe des als Entschädigung für einen immateriellen Schaden auf der Grundlage dieser Bestimmung gewährten Schadenersatzes berücksichtigt wird (Urteile vom 21. Dezember 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, Rn. 103, und vom 25. Januar 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, Rn. 52).

29        Außerdem schließt die ausschließliche Ausgleichsfunktion des in Art. 82 Abs. 1 DSGVO verankerten Schadenersatzanspruchs es aus, dass die etwaige Vorsätzlichkeit des Verstoßes gegen die Verordnung, den der für die Verarbeitung Verantwortliche begangen haben soll, bei der Bemessung des Betrags des zum Ausgleich eines immateriellen Schadens auf der Grundlage dieser Bestimmung gewährten Schadenersatzes berücksichtigt wird Der Betrag ist jedoch so festzulegen, dass er den konkret aufgrund des Verstoßes gegen die DSGVO erlittenen Schaden in vollem Umfang ausgleicht (vgl. entsprechend Urteile vom 21. Dezember 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, Rn. 102, und vom 25. Januar 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, Rn. 54).

30        Nach alledem ist auf den dritten Teil der zweiten Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass er nicht verlangt, dass der Grad der Schwere und die etwaige Vorsätzlichkeit des von dem für die Verarbeitung Verantwortlichen begangenen Verstoßes gegen die DSGVO für die Zwecke des Ersatzes eines Schadens auf der Grundlage dieser Bestimmung berücksichtigt werden.

Zur dritten Frage

31        Mit seiner dritten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass im Rahmen der Festlegung der Höhe des aufgrund des Anspruchs auf Ersatz eines immateriellen Schadens geschuldeten Schadenersatzes davon auszugehen ist, dass ein solcher durch eine Verletzung des Schutzes personenbezogener Daten verursachter Schaden seiner Natur nach weniger schwerwiegend ist als eine Körperverletzung.

32        Insoweit ist darauf hinzuweisen, dass es nach ständiger Rechtsprechung mangels einschlägiger Unionsregeln nach dem Grundsatz der Verfahrensautonomie Sache der innerstaatlichen Rechtsordnung jedes Mitgliedstaats ist, die verfahrensrechtlichen Modalitäten der Rechtsbehelfe, die zum Schutz der Rechte der Bürger bestimmt sind, festzulegen, vorausgesetzt allerdings, dass diese Modalitäten bei unter das Unionsrecht fallenden Sachverhalten nicht ungünstiger sind als diejenigen, die gleichartige Sachverhalte regeln, die dem innerstaatlichen Recht unterliegen (Äquivalenzgrundsatz), und dass sie die Ausübung der durch das Unionsrecht verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren (Effektivitätsgrundsatz) (vgl. in diesem Sinne Urteile vom 13. Dezember 2017, El Hassani, C‑403/16, EU:C:2017:960, Rn. 26, und vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C‑300/21, EU:C:2023:370, Rn. 53).

33        Im vorliegenden Fall ist festzustellen, dass die DSGVO keine Bestimmung enthält, die sich den Regeln für die Bemessung des Schadenersatzes widmet, auf den eine betroffene Person im Sinne von Art. 4 Nr. 1 dieser Verordnung nach deren Art. 82 Anspruch hat, wenn ihr durch einen Verstoß gegen diese Verordnung ein Schaden entstanden ist. Daher sind die Ausgestaltung von Klageverfahren, die den Schutz der dem Einzelnen aus Art. 82 DSGVO erwachsenden Rechte gewährleisten sollen, und insbesondere die Festlegung der Kriterien für die Ermittlung des Umfangs des in diesem Rahmen geschuldeten Schadenersatzes in Ermangelung einschlägiger unionsrechtlicher Vorschriften Aufgabe des Rechts des einzelnen Mitgliedstaats, wobei der Äquivalenz- und der Effektivitätsgrundsatz zu beachten sind (Urteil vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C‑300/21, EU:C:2023:370, Rn. 54).

34        Da die dem Gerichtshof vorliegende Akte keinen Anhaltspunkt dafür enthält, dass der Äquivalenzgrundsatz im Kontext der vorliegenden Ausgangsverfahren relevant sein könnte, ist auf den Effektivitätsgrundsatz abzustellen. Insoweit ist es Sache des vorlegenden Gerichts, festzustellen, ob die im deutschen Recht vorgesehenen Modalitäten für die gerichtliche Festsetzung des Schadenersatzes, der aufgrund des in Art. 82 DSGVO vorgesehenen Schadenersatzanspruchs geschuldet wird, die Ausübung der durch das Unionsrecht und insbesondere durch diese Verordnung verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren.

35        Insoweit ergibt sich aus der in Rn. 23 des vorliegenden Urteils angeführten Rechtsprechung, dass in Anbetracht der ausschließlichen Ausgleichsfunktion des in Art. 82 Abs. 1 DSGVO vorgesehenen Schadenersatzanspruchs eine auf diese Bestimmung gestützte finanzielle Entschädigung als „vollständig und wirksam“ anzusehen ist, wenn sie es ermöglicht, den aufgrund des Verstoßes gegen die DSGVO konkret erlittenen Schaden in vollem Umfang auszugleichen.

36        Insoweit wird im 146. Erwägungsgrund der DSGVO im Übrigen darauf hingewiesen, dass „[d]er Begriff des Schadens … im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden [sollte], die den Zielen dieser Verordnung in vollem Umfang entspricht“, und dass „[d]ie betroffenen Personen … einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten [sollten]“.

37        Ferner ist darauf hinzuweisen, dass in den Erwägungsgründen 75 und 85 der DSGVO verschiedene Umstände aufgeführt sind, die als „physische, materielle oder immaterielle Schäden“ eingestuft werden können, ohne dass eine Hierarchie zwischen ihnen vorgenommen oder darauf hingewiesen würde, dass die aus einer Verletzung des Schutzes von Daten resultierenden Beeinträchtigungen ihrer Natur nach weniger schwerwiegend sind als Körperverletzungen.

38        Die grundsätzliche Annahme, dass eine Körperverletzung von Natur aus schwerer wiegt als ein immaterieller Schaden, könnte den Grundsatz des vollständigen und wirksamen Schadenersatzes für den erlittenen Schaden in Frage stellen.

39        Nach alledem ist auf die dritte Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass im Rahmen der Festlegung der Höhe des aufgrund des Anspruchs auf Ersatz eines immateriellen Schadens geschuldeten Schadenersatzes davon auszugehen ist, dass ein solcher durch eine Verletzung des Schutzes personenbezogener Daten verursachter Schaden seiner Natur nach nicht weniger schwerwiegend ist als eine Körperverletzung.

Zur vierten Frage

40        Mit seiner vierten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass, wenn ein Schaden gegeben ist, ein nationales Gericht bei fehlender Schwere des Schadens diesen ausgleichen kann, indem es der betroffenen Person einen geringfügigen Schadenersatz zuspricht, der als symbolisch empfunden werden könnte.

41        Art. 82 Abs. 1 DSGVO ist nach ständiger Rechtsprechung dahin auszulegen, dass der bloße Verstoß gegen diese Verordnung nicht ausreicht, um einen Schadenersatzanspruch zu begründen, da das Vorliegen eines materiellen oder immateriellen „Schadens“ eine der Voraussetzungen für den in Art. 82 Abs. 1 vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DSGVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (Urteile vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C‑300/21, EU:C:2023:370, Rn. 32, und vom 11. April 2024, juris, C‑741/21, EU:C:2024:288, Rn. 34).

42        Insofern muss die Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO den Ersatz eines immateriellen Schadens verlangt, nicht nur den Verstoß gegen Bestimmungen dieser Verordnung nachweisen, sondern auch, dass ihr durch diesen Verstoß ein solcher Schaden entstanden ist, der daher nicht allein aufgrund dieses Verstoßes vermutet werden kann (vgl. in diesem Sinne Urteile vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C‑300/21, EU:C:2023:370, Rn. 42 und 50, sowie vom 11. April 2024, juris, C‑741/21, EU:C:2024:288, Rn. 35).

43        Sofern eine Person nachweisen kann, dass ihr durch den Verstoß gegen die DSGVO ein Schaden im Sinne von Art. 82 dieser Verordnung entstanden ist, ergibt sich im Wesentlichen aus Rn. 33 des vorliegenden Urteils, dass die Kriterien für die Bemessung des Schadenersatzes, der im Rahmen von Klageverfahren geschuldet wird, die den Schutz der dem Einzelnen aus der genannten Vorschrift erwachsenden Rechte gewährleisten sollen, innerhalb der Rechtsordnung eines jeden Mitgliedstaats festgelegt werden müssen, wobei ein solcher Schadenersatz vollständig und wirksam sein muss.

44        Insoweit hat der Gerichtshof entschieden, dass Art. 82 Abs. 1 DSGVO nicht verlangt, dass nach einem erwiesenen Verstoß gegen Bestimmungen dieser Verordnung der von der betroffenen Person geltend gemachte Schaden eine „Bagatellgrenze“ überschreiten muss, um einen Schadenersatzanspruch zu begründen (vgl. in diesem Sinne Urteil vom 14. Dezember 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, Rn. 18).

45        Diese Erwägungen schließen jedoch nicht aus, dass die nationalen Gerichte einen Schadenersatz in geringer Höhe zusprechen können, sofern dieser Schadenersatz den Schaden in vollem Umfang ausgleicht, was das vorlegende Gericht unter Beachtung der in Rn. 43 des vorliegenden Urteils genannten Grundsätze zu prüfen hat.

46        Nach alledem ist auf die vierte Frage zu antworten, dass Art. 82 Abs. 1 DSGVO dahin auszulegen ist, dass, wenn ein Schaden gegeben ist, ein nationales Gericht bei fehlender Schwere des Schadens diesen ausgleichen kann, indem es der betroffenen Person einen geringfügigen Schadenersatz zuspricht, sofern dieser Schadenersatz geeignet ist, den entstandenen Schaden in vollem Umfang auszugleichen.

Zur fünften Frage

Zur Zulässigkeit

47        Die Europäische Kommission stellt in ihren schriftlichen Erklärungen die Erheblichkeit der fünften Frage für die Entscheidung der Ausgangsrechtsstreitigkeiten in Frage, indem sie feststellt, dass das vorlegende Gericht in keiner Weise auf eine bestimmte Vorschrift des Unionsrechts Bezug nehme.

48        Hierzu ist festzustellen, dass sich die fünfte Frage auf den Begriff „Identitätsdiebstahl“ im Sinne des 75. Erwägungsgrundes der DSGVO bezieht und formal nicht Art. 82 dieser Verordnung betrifft. Jedoch kann der Umstand allein, dass der Gerichtshof aufgefordert ist, sich abstrakt und allgemein zu äußern, nicht die Unzulässigkeit eines Vorabentscheidungsersuchens nach sich ziehen (Urteil vom 15. November 2007, International Mail Spain, C‑162/06, EU:C:2007:681, Rn. 24).

49        Mit dieser Frage ersucht das vorlegende Gericht den Gerichtshof um Auslegung des Begriffs „Identitätsdiebstahl“, wie er im 75. Erwägungsgrund der DSGVO enthalten ist, um die Höhe der in Art. 82 DSGVO vorgesehenen Entschädigung in Geld zu bestimmen. Die Frage bezieht sich somit auf eine Vorschrift des Unionsrechts. Im Übrigen ist die Antwort auf diese Frage auch insofern erheblich, als sich weder das vorlegende Gericht noch die Parteien der Ausgangsverfahren über die Definition dieses Begriffs für die Zwecke der Bemessung des in den Ausgangsverfahren entstandenen Schadens einig sind.

50        Unter diesen Umständen ist die fünfte Frage zulässig.

Zur Beantwortung der Frage

51        Nach ständiger Rechtsprechung ist es im Rahmen des durch Art. 267 AEUV eingeführten Verfahrens der Zusammenarbeit zwischen den nationalen Gerichten und dem Gerichtshof Aufgabe des Gerichtshofs, dem nationalen Gericht eine für die Entscheidung des bei diesem anhängigen Rechtsstreits sachdienliche Antwort zu geben. Hierzu hat er die ihm vorgelegten Fragen gegebenenfalls umzuformulieren. Außerdem kann der Gerichtshof veranlasst sein, unionsrechtliche Vorschriften zu berücksichtigen, die das nationale Gericht in seiner Frage nicht angeführt hat (Urteil vom 7. September 2023, Groenland Poultry, C‑169/22, EU:C:2023:638, Rn. 47 und die dort angeführte Rechtsprechung).

52        Im vorliegenden Fall betrifft die fünfte Frage den in Art. 82 Abs. 1 DSGVO vorgesehenen Schadenersatzanspruch und insbesondere den im 75. Erwägungsgrund der DSGVO enthaltenen Begriff „Identitätsdiebstahl“. Dieser Begriff wird jedoch nicht nur in diesem Erwägungsgrund, sondern auch im 85. Erwägungsgrund der Verordnung erwähnt.

53        Folglich ist davon auszugehen, dass das vorlegende Gericht mit seiner fünften Frage im Wesentlichen wissen möchte, ob Art. 82 Abs. 1 DSGVO im Licht der Erwägungsgründe 75 und 85 der DSGVO dahin auszulegen ist, dass der Begriff „Identitätsdiebstahl“ nur dann erfüllt ist und einen Anspruch auf Ersatz des immateriellen Schadens nach dieser Bestimmung begründet, wenn ein Dritter die Identität einer Person, die von einem Diebstahl personenbezogener Daten betroffen ist, tatsächlich angenommen hat, oder ob ein solcher Identitätsdiebstahl auch gegeben ist, wenn dieser Dritte über Daten verfügt, die die betroffene Person identifizierbar machen.

54        Der Begriff des Identitätsdiebstahls ist in der DSGVO nicht definiert. Allerdings werden im 75. Erwägungsgrund dieser Verordnung „Identitätsdiebstahl“ und „Identitätsbetrug“ als Teil einer nicht erschöpfenden Auflistung von Folgen einer Verarbeitung personenbezogener Daten genannt, die zu einem physischen, materiellen oder immateriellen Schaden führen könnte. Auch im 85. Erwägungsgrund der Verordnung werden „Identitätsdiebstahl“ und „Identitätsbetrug“ zusammen in einer Auflistung physischer, materieller oder immaterieller Schäden genannt, die eine Verletzung des Schutzes personenbezogener Daten nach sich ziehen kann.

55        Wie der Generalanwalt in Nr. 29 seiner Schlussanträge ausgeführt hat, werden in den verschiedenen Sprachfassungen der Erwägungsgründe 75 und 85 der DSGVO die Begriffe „Identitätsdiebstahl“, „Identitätsmissbrauch“, „Identitätsbetrug“, „missbräuchliche Verwendung der Identität“ und „Identitätsaneignung“ erwähnt und dort unterschiedslos verwendet. Folglich sind die Begriffe „Identitätsdiebstahl“ und „Identitätsbetrug“ austauschbar, und es kann nicht zwischen ihnen unterschieden werden. Die beiden letztgenannten Begriffe begründen die Vermutung eines Willens, sich die Identität einer Person anzueignen, deren personenbezogene Daten zuvor gestohlen wurden.

56        Außerdem wird, wie der Generalanwalt ebenfalls, in Nr. 30 seiner Schlussanträge, ausgeführt hat, unter den verschiedenen Begriffen in den Auflistungen in den Erwägungsgründen 75 und 85 der DSGVO der „Verlust der Kontrolle“ oder die Hinderung daran, personenbezogene Daten zu „kontrollieren“, vom „Identitätsdiebstahl oder ‑betrug“ unterschieden. Daraus folgt, dass der Zugang zu solchen Daten und die Übernahme der Kontrolle über solche Daten, die mit einem Diebstahl dieser Daten gleichgesetzt werden könnten, für sich genommen nicht mit einem „Identitätsdiebstahl oder ‑betrug“ gleichzusetzen sind. Mit anderen Worten stellt der Diebstahl personenbezogener Daten für sich genommen keinen Identitätsdiebstahl oder ‑betrug dar.

57        Insoweit ist jedoch klarzustellen, dass der Ersatz eines durch den Diebstahl personenbezogener Daten verursachten immateriellen Schadens nach Art. 82 Abs. 1 DSGVO nicht auf die Fälle beschränkt werden kann, in denen nachgewiesen wird, dass ein solcher Diebstahl von Daten anschließend zu einem Identitätsdiebstahl oder ‑betrug geführt hat. Der Diebstahl personenbezogener Daten einer betroffenen Person begründet nämlich einen Anspruch nach Art. 82 Abs. 1 DSGVO auf Ersatz des erlittenen immateriellen Schaden, wenn die drei in dieser Bestimmung aufgestellten Voraussetzungen vorliegen, nämlich eine Verarbeitung personenbezogener Daten unter Verstoß gegen die Bestimmungen der DSGVO, ein der betroffenen Person entstandener Schaden und ein Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden (vgl. in diesem Sinne Urteil vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C‑300/21, EU:C:2023:370, Rn. 32 und 36).

58        Aus diesen Gründen ist auf die fünfte Frage zu antworten, dass Art. 82 Abs. 1 DSGVO im Licht der Erwägungsgründe 75 und 85 der DSGVO dahin auszulegen ist, dass der Begriff „Identitätsdiebstahl“ nur dann erfüllt ist und einen Anspruch auf Ersatz des immateriellen Schadens nach dieser Bestimmung begründet, wenn ein Dritter die Identität einer Person, die von einem Diebstahl personenbezogener Daten betroffen ist, tatsächlich angenommen hat. Jedoch kann der Ersatz eines durch den Diebstahl personenbezogener Daten verursachten immateriellen Schadens nach der genannten Vorschrift nicht auf die Fälle beschränkt werden, in denen nachgewiesen wird, dass ein solcher Diebstahl von Daten anschließend zu einem Identitätsdiebstahl oder ‑betrug geführt hat.

Kosten

59        Für die Beteiligten des Ausgangsverfahrens ist das Verfahren Teil des beim vorlegenden Gericht anhängigen Verfahrens; die Kostenentscheidung ist daher Sache dieses Gerichts. Die Auslagen anderer Beteiligter für die Abgabe von Erklärungen vor dem Gerichtshof sind nicht erstattungsfähig.