EuGH-SA: Bei einem unbefugten Zugang zu personenbezogenen Daten durch Dritte haftet der Verantwortliche für mutmaßliches Verschulden und es kommt eventuell ein Ersatz des immateriellen Schadens in Betracht

GA Pitruzzella, Schlussanträge vom 27. 4. 2023 – Rs. C-340/21; VB gegen Natsionalna agentsia za prihodite; ECLI:EU:C:2023:353

Nach alledem schlägt der GA dem Gerichtshof vor, die Vorlagefragen wie folgt zu beantworten:

Die Art. 5, 24, 32 und 82 der Verordnung 2016/679 sind wie folgt auszulegen:

Das bloße Vorliegen einer „Verletzung des Schutzes personenbezogener Daten“ im Sinne von Art. 4 Nr. 12 reicht an sich nicht aus, um zu dem Schluss zu gelangen, dass die vom Verantwortlichen getroffenen technischen und organisatorischen Maßnahmen nicht „geeignet“ waren, um den Schutz der betreffenden Daten zu gewährleisten; bei der Prüfung der Frage, ob die von dem für die Verarbeitung personenbezogener Daten Verantwortlichen getroffenen technischen und organisatorischen Maßnahmen geeignet waren, muss das angerufene nationale Gericht eine Überprüfung vornehmen, die sich auf eine konkrete Analyse sowohl des Inhalts dieser Maßnahmen als auch der Art und Weise ihrer Durchführung und ihrer praktischen Auswirkungen erstreckt; bei einer Schadensersatzklage nach Art. 82 der Verordnung muss der Verantwortliche nachweisen, dass die von ihm gemäß Art. 32 der Verordnung ergriffenen Maßnahmen geeignet waren; im Einklang mit dem Grundsatz der Verfahrensautonomie ist es Sache der innerstaatlichen Rechtsordnung jedes Mitgliedstaats, die zulässigen Beweismittel und deren Beweiskraft zu bestimmen, einschließlich der Ermittlungsmaßnahmen, die die nationalen Gerichte anordnen können oder müssen, um zu beurteilen, ob ein Verantwortlicher geeignete Maßnahmen im Sinne dieser Verordnung unter Beachtung der im Unionsrecht festgelegten Grundsätze der Äquivalenz und der Effektivität getroffen hat; der Umstand, dass der Verstoß gegen diese Verordnung, der den fraglichen Schaden verursacht hat, von einem Dritten begangen wurde, stellt für sich genommen keinen Grund dar, den Verantwortlichen von der Haftung zu befreien, und der Verantwortliche muss, um in den Genuss der von dieser Bestimmung vorgesehenen Befreiung zu kommen, nachweisen, dass er für den Verstoß in keinerlei Hinsicht verantwortlich ist; der Schaden, der in der Befürchtung eines möglichen künftigen Missbrauchs ihrer personenbezogenen Daten besteht und dessen Vorhandensein die betroffene Person nachgewiesen hat, kann einen immateriellen Schaden darstellen, der einen Schadensersatzanspruch begründet, sofern die betroffene Person nachweist, dass sie individuell einen realen und sicheren emotionalen Schaden erlitten hat, ein Umstand, den das angerufene nationale Gericht in jedem Einzelfall zu prüfen hat.

(Schlussanträge)