Schlußanträge unten: Generalanwalt beim EuGH, 27.04.2023

Rechtsprechung
   EuGH, 14.12.2023 - C-340/21   

Zitiervorschläge
https://dejure.org/2023,35511
EuGH, 14.12.2023 - C-340/21 (https://dejure.org/2023,35511)
EuGH, Entscheidung vom 14.12.2023 - C-340/21 (https://dejure.org/2023,35511)
EuGH, Entscheidung vom 14. Dezember 2023 - C-340/21 (https://dejure.org/2023,35511)
Tipp: Um den Kurzlink (hier: https://dejure.org/2023,35511) schnell in die Zwischenablage zu kopieren, können Sie die Tastenkombination Alt + R verwenden - auch ohne diesen Bereich zu öffnen.

Volltextveröffentlichungen (5)

  • openjur.de
  • Europäischer Gerichtshof

    Natsionalna agentsia za prihodite

    Vorlage zur Vorabentscheidung - Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten - Verordnung (EU) 2016/679 - Art. 5 - Grundsätze dieser Verarbeitung - Art. 24 - Verantwortung des für die Verarbeitung Verantwortlichen - Art. 32 - Zur ...

  • IWW

    Datenschutz

  • rewis.io

    Die Befürchtung eines möglichen Missbrauchs personenbezogener Daten kann für sich genommen einen immateriellen Schaden darstellen

  • Betriebs-Berater

    Befürchtung eines möglichen Missbrauchs personenbezogener Daten kann für sich genommen einen immateriellen Schaden darstellen

Kurzfassungen/Presse (6)

  • beckmannundnorda.de (Kurzinformation)

    Befürchtung eines möglichen Missbrauchs personenbezogener Daten nach Cyberangriff / Hackerattacke kann Anspruch auf immateriellen Schadensersatz gemäß Art. 82 DSGVO begründen

  • computerundrecht.de (Kurzinformation)

    Die Befürchtung eines möglichen Missbrauchs personenbezogener Daten kann für sich genommen einen immateriellen Schaden darstellen

  • mdr-recht.de (Kurzinformation)

    Die Befürchtung eines möglichen Missbrauchs personenbezogener Daten kann für sich genommen einen immateriellen Schaden darstellen

     
  • anwalt.de (Kurzinformation und Auszüge)

    Rechte der Verbraucher gegen Meta, Deezer und Twitter gestärkt

  • anwalt.de (Kurzinformation)

    Angst vor Datenmissbrauch kann Schadensersatzanspruch begründen

  • shopbetreiber-blog.de (Kurzinformation und Auszüge)

    Schadensersatz nach DSGVO auch bei bloßer Befürchtung eines Missbrauchs möglich

Besprechungen u.ä. (2)

  • lto.de (Entscheidungsbesprechung)

    Immaterieller Schadensersatz bei Datenpannen: Rahmen für DSGVO-Schadensersatzklagen konkretisiert

  • juris (Entscheidungsbesprechung)

    Immaterieller Schadensersatz nach Cyberangriffen ("Nationale Agentur für Einnahmen (Bulgarien)") (jurisPR-Compl 2/2024 Anm. 1)

Sonstiges (2)

Verfahrensgang

Papierfundstellen

  • NJW 2024, 1091
  • EuZW 2024, 234
  • MMR 2024, 231
  • NZA-RR 2024, 279
 
Sortierung


Kontextvorschau



Hinweis: Klicken Sie auf das Sprechblasensymbol, um eine Kontextvorschau im Fließtext zu sehen. Um alle zu sehen, genügt ein Doppelklick.

Wird zitiert von ... (21)Neu Zitiert selbst (7)

  • EuGH, 04.05.2023 - C-300/21

    Der bloße Verstoß gegen die DSGVO begründet keinen Schadenersatzanspruch

    Auszug aus EuGH, 14.12.2023 - C-340/21
    Zunächst ist darauf hinzuweisen, dass nach ständiger Rechtsprechung die Begriffe einer Bestimmung des Unionsrechts, die - wie die Art. 24 und 32 DSGVO - für die Ermittlung ihres Sinns und ihrer Tragweite nicht ausdrücklich auf das Recht der Mitgliedstaaten verweist, in der Regel in der gesamten Union eine autonome und einheitliche Auslegung erhalten müssen, die insbesondere unter Berücksichtigung des Wortlauts der betreffenden Bestimmung, der mit ihr verfolgten Ziele und des Zusammenhangs, in den sie sich einfügt, zu ermitteln ist (vgl. in diesem Sinne Urteile vom 18. Januar 1984, Ekro, 327/82, EU:C:1984:11, Rn. 11, vom 1. Oktober 2019, Planet49, C-673/17, EU:C:2019:801, Rn. 47 und 48, sowie vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 29).

    Insoweit ist darauf hinzuweisen, dass es nach ständiger Rechtsprechung mangels einschlägiger Unionsregeln nach dem Grundsatz der Verfahrensautonomie Sache der innerstaatlichen Rechtsordnung jedes Mitgliedstaats ist, die verfahrensrechtlichen Modalitäten der Rechtsbehelfe, die zum Schutz der Rechte der Bürger bestimmt sind, festzulegen, vorausgesetzt allerdings, dass diese Modalitäten bei unter das Unionsrecht fallenden Sachverhalten nicht ungünstiger sind als diejenigen, die gleichartige Sachverhalte regeln, die dem innerstaatlichen Recht unterliegen (Äquivalenzgrundsatz), und dass sie die Ausübung der durch das Unionsrecht verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren (Effektivitätsgrundsatz) (Urteil vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 53 und die dort angeführte Rechtsprechung).

    Daher ist es nach den Ausführungen in der vorstehenden Randnummer des vorliegenden Urteils und in Ermangelung einschlägiger unionsrechtlicher Vorschriften Aufgabe der innerstaatlichen Rechtsordnung des einzelnen Mitgliedstaats, die Ausgestaltung von Klageverfahren, die den Schutz der dem Einzelnen aus Art. 82 DSGVO erwachsenden Rechte gewährleisten sollen, und insbesondere die Regeln für die Beweismittel, anhand deren die Geeignetheit solcher Maßnahmen in diesem Zusammenhang bewertet werden kann, festzulegen, wobei der Äquivalenz- und der Effektivitätsgrundsatz zu beachten sind (vgl. entsprechend Urteile vom 21. Juni 2022, Ligue des droits humains, C-817/19, EU:C:2022:491, Rn. 297, und vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 54).

    Insoweit hat der Gerichtshof festgestellt, dass aus dem Wortlaut von Art. 82 Abs. 1 DSGVO klar hervorgeht, dass das Vorliegen eines "Schadens", der entstanden ist, eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DSGVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (Urteil vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 32).

    Darüber hinaus hat der Gerichtshof Art. 82 Abs. 1 DSGVO auf der Grundlage von Erwägungen zu Wortlaut, Systematik sowie Sinn und Zweck dahin ausgelegt, dass er einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines "immateriellen Schadens" im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat (Urteil vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 51).

    Diese wörtliche Auslegung wird zweitens durch den 146. Erwägungsgrund der DSGVO bestätigt, der speziell den in Art. 82 Abs. 1 DSGVO vorgesehenen Schadenersatzanspruch betrifft und in dessen drittem Satz es heißt, dass "[d]er Begriff des Schadens ... im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden [sollte], die den Zielen dieser Verordnung in vollem Umfang entspricht." Eine Auslegung des Begriffs "immaterieller Schaden" im Sinne von Art. 82 Abs. 1 DSGVO, die nicht die Fälle umfasst, in denen die von einem Verstoß gegen die DSGVO betroffene Person sich auf die Befürchtung beruft, dass ihre eigenen personenbezogenen Daten in Zukunft missbräuchlich verwendet werden, entspräche jedoch nicht einer weiten Auslegung dieses Begriffs, wie sie vom Unionsgesetzgeber beabsichtigt ist (vgl. entsprechend Urteil vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 37 und 46).

    Allerdings ist darauf hinzuweisen, dass eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie negative Folgen gehabt hat, nachweisen muss, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen (vgl. in diesem Sinne Urteil vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 50).

  • EuGH, 01.10.2019 - C-673/17

    Planet49 - Setzen von Cookies erfordert aktive Einwilligung des Internetnutzers -

    Auszug aus EuGH, 14.12.2023 - C-340/21
    Zunächst ist darauf hinzuweisen, dass nach ständiger Rechtsprechung die Begriffe einer Bestimmung des Unionsrechts, die - wie die Art. 24 und 32 DSGVO - für die Ermittlung ihres Sinns und ihrer Tragweite nicht ausdrücklich auf das Recht der Mitgliedstaaten verweist, in der Regel in der gesamten Union eine autonome und einheitliche Auslegung erhalten müssen, die insbesondere unter Berücksichtigung des Wortlauts der betreffenden Bestimmung, der mit ihr verfolgten Ziele und des Zusammenhangs, in den sie sich einfügt, zu ermitteln ist (vgl. in diesem Sinne Urteile vom 18. Januar 1984, Ekro, 327/82, EU:C:1984:11, Rn. 11, vom 1. Oktober 2019, Planet49, C-673/17, EU:C:2019:801, Rn. 47 und 48, sowie vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 29).
  • EuGH, 04.07.2023 - C-252/21

    Eine nationale Wettbewerbsbehörde kann im Rahmen der Prüfung, ob eine

    Auszug aus EuGH, 14.12.2023 - C-340/21
    Aus dem Wortlaut von Art. 5 Abs. 2, Art. 24 Abs. 1 und Art. 32 Abs. 1 DSGVO geht eindeutig hervor, dass die Beweislast dafür, dass personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit dieser Daten im Sinne von Art. 5 Abs. 1 Buchst. f und Art. 32 DSGVO gewährleistet, dem für die betreffende Verarbeitung Verantwortlichen obliegt (vgl. entsprechend Urteile vom 4. Mai 2023, Bundesrepublik Deutschland [Elektronisches Gerichtsfach], C-60/22, EU:C:2023:373, Rn. 52 und 53, und vom 4. Juli 2023, Meta Platforms u. a. [Allgemeine Nutzungsbedingungen eines sozialen Netzwerks], C-252/21, EU:C:2023:537, Rn. 95).
     
  • EuGH, 04.05.2023 - C-60/22

    Bundesrepublik Deutschland (Boîte électronique judiciaire) - Vorlage zur

    Auszug aus EuGH, 14.12.2023 - C-340/21
    Aus dem Wortlaut von Art. 5 Abs. 2, Art. 24 Abs. 1 und Art. 32 Abs. 1 DSGVO geht eindeutig hervor, dass die Beweislast dafür, dass personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit dieser Daten im Sinne von Art. 5 Abs. 1 Buchst. f und Art. 32 DSGVO gewährleistet, dem für die betreffende Verarbeitung Verantwortlichen obliegt (vgl. entsprechend Urteile vom 4. Mai 2023, Bundesrepublik Deutschland [Elektronisches Gerichtsfach], C-60/22, EU:C:2023:373, Rn. 52 und 53, und vom 4. Juli 2023, Meta Platforms u. a. [Allgemeine Nutzungsbedingungen eines sozialen Netzwerks], C-252/21, EU:C:2023:537, Rn. 95).
  • EuGH, 21.06.2022 - C-817/19

    Fluggastdaten dürfen nur bei Terrorgefahr verarbeitet werden

    Auszug aus EuGH, 14.12.2023 - C-340/21
    Daher ist es nach den Ausführungen in der vorstehenden Randnummer des vorliegenden Urteils und in Ermangelung einschlägiger unionsrechtlicher Vorschriften Aufgabe der innerstaatlichen Rechtsordnung des einzelnen Mitgliedstaats, die Ausgestaltung von Klageverfahren, die den Schutz der dem Einzelnen aus Art. 82 DSGVO erwachsenden Rechte gewährleisten sollen, und insbesondere die Regeln für die Beweismittel, anhand deren die Geeignetheit solcher Maßnahmen in diesem Zusammenhang bewertet werden kann, festzulegen, wobei der Äquivalenz- und der Effektivitätsgrundsatz zu beachten sind (vgl. entsprechend Urteile vom 21. Juni 2022, Ligue des droits humains, C-817/19, EU:C:2022:491, Rn. 297, und vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 54).
  • EuGH, 12.01.2023 - C-132/21

    In der DSGVO vorgesehenen verwaltungs- und zivilrechtlichen Rechtsbehelfe können

    Auszug aus EuGH, 14.12.2023 - C-340/21
    Die Wahrung der durch diese Verordnung eingeräumten Rechte, die mit dem Effektivitätsgrundsatz bezweckt wird, und insbesondere das durch Art. 79 Abs. 1 DSGVO garantierte Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen den Verantwortlichen erfordern indes, dass ein unparteiisches Gericht eine objektive Beurteilung der Geeignetheit der betreffenden Maßnahmen vornimmt, anstatt sich auf eine solche Ableitung zu beschränken (vgl. in diesem Sinne Urteil vom 12. Januar 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C-132/21, EU:C:2023:2, Rn. 50).
  • EuGH, 18.01.1984 - 327/82

    Ekro

    Auszug aus EuGH, 14.12.2023 - C-340/21
    Zunächst ist darauf hinzuweisen, dass nach ständiger Rechtsprechung die Begriffe einer Bestimmung des Unionsrechts, die - wie die Art. 24 und 32 DSGVO - für die Ermittlung ihres Sinns und ihrer Tragweite nicht ausdrücklich auf das Recht der Mitgliedstaaten verweist, in der Regel in der gesamten Union eine autonome und einheitliche Auslegung erhalten müssen, die insbesondere unter Berücksichtigung des Wortlauts der betreffenden Bestimmung, der mit ihr verfolgten Ziele und des Zusammenhangs, in den sie sich einfügt, zu ermitteln ist (vgl. in diesem Sinne Urteile vom 18. Januar 1984, Ekro, 327/82, EU:C:1984:11, Rn. 11, vom 1. Oktober 2019, Planet49, C-673/17, EU:C:2019:801, Rn. 47 und 48, sowie vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 29).
  • EuGH, 25.01.2024 - C-687/21

    MediaMarktSaturn - Vorlage zur Vorabentscheidung - Schutz natürlicher Personen

    24 DSGVO sieht eine allgemeine Verpflichtung des für die Verarbeitung personenbezogener Daten Verantwortlichen vor, geeignete technische und organisatorische Maßnahmen umzusetzen, um sicherzustellen, dass die Verarbeitung im Einklang mit der DSGVO erfolgt, und den Nachweis dafür erbringen zu können (Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, Rn. 24).

    Ebenso sind nach Art. 32 Abs. 2 DSGVO bei der Beurteilung des angemessenen Schutzniveaus insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch - ob unbeabsichtigt oder unrechtmäßig - Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von bzw. unbefugten Zugang zu personenbezogenen Daten (vgl. in diesem Sinne Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, Rn. 26 und 27).

    Dies gilt umso mehr, als der Verantwortliche die Möglichkeit haben muss, den Nachweis zu erbringen, dass seine Maßnahmen im Einklang mit der DSGVO stehen; diese Möglichkeit bliebe ihm verwehrt, wenn von einer unwiderlegbaren Vermutung ausgegangen würde (vgl. in diesem Sinne Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, Rn. 30 bis 32).

    Diese Auslegung des Wortlauts wird durch eine Gesamtbetrachtung der Art. 24 und 32 mit Art. 5 Abs. 2 und Art. 82 DSGVO im Licht ihrer Erwägungsgründe 74, 76 und 83 bestätigt, aus denen sich insbesondere ergibt, dass der für die Verarbeitung Verantwortliche verpflichtet ist, die Risiken einer Verletzung des Schutzes personenbezogener Daten einzudämmen, und nicht, jede Verletzung ihres Schutzes zu verhindern (vgl. in diesem Sinne Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, Rn. 33 bis 38).

    Infolgedessen hat der Gerichtshof die Art. 24 und 32 DSGVO dahin ausgelegt, dass eine unbefugte Offenlegung personenbezogener Daten oder ein unbefugter Zugang zu ihnen durch "Dritte" im Sinne von Art. 4 Nr. 10 DSGVO allein nicht ausreicht, um anzunehmen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht "geeignet" im Sinne der Art. 24 und 32 waren (Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, Rn. 39).

    Eine solche Beweislastverteilung ist nicht nur geeignet, die für die Verarbeitung dieser Daten Verantwortlichen dazu anzuhalten, die nach der DSGVO erforderlichen Sicherheitsmaßnahmen zu ergreifen, sondern auch, die praktische Wirksamkeit des in Art. 82 DSGVO vorgesehenen Schadensersatzanspruchs zu schützen und die in ihrem elften Erwägungsgrund genannten Absichten des Unionsgesetzgebers zu wahren (vgl. in diesem Sinne Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, Rn. 49 bis 56).

    Daher hat der Gerichtshof den in Art. 5 Abs. 2 DSGVO aufgestellten und in ihrem Art. 24 konkretisierten Grundsatz der Rechenschaftspflicht des Verantwortlichen dahin ausgelegt, dass im Rahmen einer auf Art. 82 DSGVO gestützten Schadensersatzklage der für die betreffende Verarbeitung Verantwortliche die Beweislast dafür trägt, dass die von ihm getroffenen Sicherheitsmaßnahmen im Sinne von Art. 32 DSGVO geeignet waren (Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, Rn. 57).

    Das Vorliegen eines "Schadens" stellt nämlich eine der Voraussetzungen für den in Art. 82 Abs. 1 vorgesehenen Schadensersatzanspruch dar, ebenso wie das Vorliegen eines Verstoßes gegen die DSGVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (vgl. in diesem Sinne Urteile vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 32 und 42, vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, Rn. 77, vom 14. Dezember 2023, Gemeinde Ummendorf, C-456/22, EU:C:2023:988, Rn. 14, und vom 21. Dezember 2023, Krankenversicherung Nordrhein, C-667/21, EU:C:2023:1022, Rn. 82).

    Speziell in Bezug auf immaterielle Schäden hat der Gerichtshof ferner entschieden, dass Art. 82 Abs. 1 DSGVO einer nationalen Vorschrift oder Praxis entgegensteht, die den Ersatz eines immateriellen Schadens im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person im Sinne von Art. 4 Nr. 1 DSGVO entstandene Schaden eine gewisse Schwere erreicht hat (vgl. in diesem Sinne Urteile vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 51, vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, Rn. 78, und vom 14. Dezember 2023, Gemeinde Ummendorf, C-456/22, EU:C:2023:988, Rn. 16).

    Der Gerichtshof hat hinzugefügt, dass eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie nachteilige Folgen hatte, jedoch den Nachweis erbringen muss, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen, da der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen (vgl. in diesem Sinne Urteile vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 42 und 50, vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, Rn. 84, und vom 14. Dezember 2023, Gemeinde Ummendorf, C-456/22, EU:C:2023:988, Rn. 21 und 23).

    Der Gerichtshof hat entschieden, dass sich nicht nur aus dem Wortlaut von Art. 82 Abs. 1 DSGVO im Licht ihrer Erwägungsgründe 85 und 146, wonach der Begriff "immaterieller Schaden" im Sinne von Art. 82 Abs. 1 weit zu verstehen ist, sondern auch aus dem mit der DSGVO verfolgten Ziel der Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten ergibt, dass die durch einen Verstoß gegen die DSGVO ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, für sich genommen einen "immateriellen Schaden" im Sinne von Art. 82 Abs. 1 darstellen kann (vgl. in diesem Sinne Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, Rn. 79 bis 86).

  • EuGH, 11.04.2024 - C-741/21

    juris - Vorlage zur Vorabentscheidung - Schutz natürlicher Personen bei der

    Insoweit ist hervorzuheben, dass die Umstände der in Art. 82 Abs. 3 DSGVO vorgesehenen Befreiung streng auf solche beschränkt werden müssen, unter denen der Verantwortliche nachweisen kann, dass er selbst nicht für den Schaden verantwortlich ist (vgl. in diesem Sinne Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, Rn. 70).

    Daher kann dem Verantwortlichen bei einer Verletzung des Schutzes personenbezogener Daten durch eine ihm unterstellte Person diese Befreiung nur zugutekommen, wenn er nachweist, dass es keinen Kausalzusammenhang zwischen der etwaigen Verletzung der ihm gemäß den Art. 5, 24 und 32 dieser Verordnung obliegenden Verpflichtung zum Datenschutz und dem der betroffenen Person entstandenen Schaden gibt (vgl. entsprechend Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, Rn. 72).

  • EuGH, 21.12.2023 - C-667/21

    Krankenversicherung Nordrhein - Vorlage zur Vorabentscheidung - Schutz

    Die Geeignetheit solcher Maßnahmen ist konkret zu bewerten, indem geprüft wird, ob der Verantwortliche diese Maßnahmen unter Berücksichtigung der verschiedenen in den genannten Artikeln aufgeführten Kriterien und der Datenschutzbedürfnisse getroffen hat, die speziell mit der betreffenden Verarbeitung sowie den davon ausgehenden Risiken verbunden sind (vgl. in diesem Sinne Urteil vom 14. Dezember 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, Rn. 30).

    Wie der Generalanwalt in Nr. 93 seiner Schlussanträge im Wesentlichen ausgeführt hat, stünde es zum einen nicht im Einklang mit dem Ziel dieses hohen Schutzes, sich für eine Auslegung zu entscheiden, wonach die betroffenen Personen, denen durch einen Verstoß gegen die DSGVO ein Schaden entstanden ist, im Rahmen einer auf Art. 82 dieser Verordnung gestützten Schadenersatzklage die Beweislast nicht nur für das Vorliegen dieses Verstoßes und des ihnen daraus entstandenen Schadens tragen müssten, sondern auch für das Vorliegen von Vorsatz oder Fahrlässigkeit des Verantwortlichen oder sogar für den Grad des jeweiligen Verschuldens, obwohl Art. 82 DSGVO keine derartigen Anforderungen enthält (vgl. entsprechend Urteil vom 14. Dezember, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, Rn. 56).

     
  • OLG Koblenz, 18.05.2022 - 5 U 2141/21

    Bestimmung der Höhe des immateriellen Schadenersatzes bei unberechtigter

    An einer europarechtlichen Konkretisierung der Voraussetzungen fehlt es bisher, auch wenn es bereits Vorlagen zum Europäischen Gerichtshof gibt (BAG v. 26.08.2021, 8 AZR 253/20; EuGH C-340/21 (Bulgarien); EuGH C-300/21 (Österreich); LG Saarbrücken v. 22.11.2021, 5 O 151/19).
  • OLG Dresden, 02.04.2024 - 4 U 1743/23
    (5) Genauso dahinstehen können die Fragen, ob der Kläger zu Recht weitere Verstöße gegen die DSGVO geltend macht und ob die Beklagte ihrer Pflicht zur Schaffung eines angemessenen Schutzniveaus durch geeignete technische und organisatorische Schutzmaßnahmen unter Berücksichtigung des Standes der Technik (Art. 32 DSGVO) nachgekommen ist (vgl. EuGH, Urteil vom 14.12.2023, C-340/21).

    Die Darlegungs- und Beweislast obliegt insoweit der betroffenen Person (vgl. EuGH, Urteil vom 04.05.2023, C-300/21, Rn. 50; Urteile vom 14.12.2023, C-340/21, Rn. 84 und C-456/22, Tenor, S.2, GRUR-RS 2023, 35767; OLG Hamm, Urteil vom 15.08.2023, 7 U 19/23, Rn. 151).

    So kann auch die Veröffentlichung personenbezogener Daten im Internet und der daraus resultierende kurzzeitige Verlust der Hoheit über diese Daten einen immateriellen Schaden darstellen, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte (vgl. EuGH, Urteil vom 14.12.2023 - C - 340/21, Rn. 82).

    Daraus ergibt sich ebenfalls, dass bestimmte "negative Folgen" für die konkret betroffene Person eintreten müssen, die im Hinblick auf diese Person eine Missbrauchsbefürchtung rechtfertigen (vgl. EuGH, Urteil vom 14.12.2023, C -340/21 Rn. 85).

  • OLG Dresden, 20.02.2024 - 4 U 1608/23
    Genauso dahinstehen können die Fragen, ob der Kläger zu Recht weitere Verstöße gegen die DSGVO geltend macht und ob die Beklagte ihrer Pflicht zur Schaffung eines angemessenen Schutzniveaus durch geeignete technische und organisatorische Schutzmaßnahmen unter Berücksichtigung des Standes der Technik (Art. 32 DSGVO) nachgekommen ist (vgl. EuGH, Urteil vom 14.12.2023, C-340/21).

    Die Darlegungs- und Beweislast obliegt insoweit der betroffenen Person (vgl. EuGH, Urteil vom 04.05.2023, C-300/21, Rn. 50; Urteile vom 14.12.2023, C-340/21, Rn. 84 und C-456/22, Tenor, S.2, GRUR-RS 2023, 35767; OLG Hamm, Urteil vom 15.08.2023, 7 U 19/23, Rn. 151).

    So kann auch die Veröffentlichung personenbezogener Daten im Internet und der daraus resultierende kurzzeitige Verlust der Hoheit über diese Daten einen immateriellen Schaden darstellen, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte (vgl. EuGH, Urteil vom 14.12.2023 - C - 340/21, Rn. 82).

    Daraus ergibt sich ebenfalls, dass bestimmte "negative Folgen" für die konkret betroffene Person eintreten müssen, die im Hinblick auf diese Person eine Missbrauchsbefürchtung rechtfertigen (vgl. EuGH, Urteil vom 14.12.2023, C -340/21 Rn. 85).

    Der Senat sieht dagegen keinen Anlass für die Einleitung eines Vorabentscheidungsverfahrens nach Art. 267 AEUV oder für die Aussetzung des vorliegenden Verfahrens bis zur Entscheidung des Europäischen Gerichtshofs in den Verfahren C-189/22, C-741/21, C-687/21, C-667/21, C-340/21 und C-307/22.

    Unerheblich für das vorliegende Verfahren sind auch die Vorlagefragen im Verfahren C-340/21, da der Anspruch des Klägers vorliegend zum einen nicht daran scheitert, dass ihm die Beweislast für das Vorliegen geeigneter technischer und organisatorischer Maßnahmen im Sinne von Art. 32 DSGVO auferlegt wird und es zum anderen auch nicht um die Haftung der Beklagten für einen sog. "Hackerangriff" geht.

  • OLG Celle, 04.04.2024 - 5 U 31/23

    Berufung; Berufungsbegründung; unzulässig; Textbausteine; immaterieller

    aa) Allerdings könnte man die Formulierungen in Rn. 82 des Urteils des EuGH vom 14. Dezember 2023 (C-340/21) ggf. so deuten, als wäre bereits der bloße, objektive "Verlust der Kontrolle" über seine eigenen Daten (was auch immer darunter genau - jedenfalls dem Senat ist das nicht ganz klar - zu verstehen sein soll), ausreichend, um einen Schaden i.S.v. Art. 82 Abs. 1 DSGVO zu begründen.

    Der Senat räumt allerdings ein, dass sich dieses Auslegungsverständnis aus den bisher zur Vorschrift des Art. 82 Abs. 1 ergangenen Entscheidungen des EuGH (C-300/21, C-340/21, C-667/21, C-687/21 und C-456/22) - zumindest aus seiner Sicht (anders beispielsweise aus jüngster Zeit OLG Oldenburg, Beschluss vom 20. Februar 2024 - 13 U 44/23, juris Rn. 7) - keineswegs eindeutig ergibt.

    Allein schon deshalb meint der Senat (vgl. dazu auch noch nachfolgend Gliederungspunkt C.), dass es mindestens schon aus diesem Grund nicht in Betracht kommt (vgl. genau zu diesem Punkt, und zwar explizit zu Art. 82 Abs. 1 DSGVO : BVerfG, Beschluss vom 14. Januar 2021 - 1 BvR 2853/19 , juris Rn. 14 f.), vergleichbare Berufungen wie die vorliegende entweder durch Beschluss nach § 522 Abs. 2 ZPO oder aber durch Urteil, in dem die Revision nicht zugelassen wird, zurückzuweisen, wie es in der - etwa bei juris veröffentlichten - obergerichtlichen Rechtsprechung aber derzeit mitunter geschieht (wobei der Senat insoweit nicht verkennt, dass zumindest einzelne jener Entscheidungen zeitlich vor dem Urteil des EuGH vom 14. Dezember 2023 (C-340/21) ergangen sind).

    d) Dieses - streitige (beweispflichtig insoweit ist der Kläger, vgl. EuGH, Urteil vom 14. Dezember 2023 - C-340/21 , Rn. 84; EuGH, Urteil vom 4. Mai 2023 - C-300/21 , Rn. 50; EuGH, Urteil vom 14. Dezember 2023 - C-456/22 , Rn. 21) - Vorbringen ist prozessual beachtlich.

  • OLG Dresden, 30.01.2024 - 4 U 1398/23
    Genauso dahinstehen können die Fragen, ob der Kläger zu Recht weitere Verstöße gegen die DSGVO geltend macht und ob die Beklagte ihrer Pflicht zur Schaffung eines angemessenen Schutzniveaus durch geeignete technische und organisatorische Schutzmaßnahmen unter Berücksichtigung des Standes der Technik (Art. 32 DSGVO) nachgekommen ist (vgl. EuGH, Urteil vom 14.12.2023, C-340/21).

    Die Darlegungs- und Beweislast obliegt insoweit der betroffenen Person (vgl. EuGH, Urteil vom 04.05.2023, C-300/21, Rn. 50; Urteile vom 14.12.2023, C-340/21, Rn. 84 und C-456/22, Tenor, S.2, GRUR-RS 2023, 35767; OLG Hamm, Urteil vom 15.08.2023, 7 U 19/23, Rn. 151).

    So kann auch die Veröffentlichung personenbezogener Daten im Internet und der daraus resultierende kurzzeitige Verlust der Hoheit über diese Daten einen immateriellen Schaden darstellen, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte (vgl. EuGH, Urteil vom 14.12.2023 - C - 340/21, Rn. 82).

    Daraus ergibt sich ebenfalls, dass bestimmte "negative Folgen" für die konkret betroffene Person eintreten müssen, die im Hinblick auf diese Person eine Missbrauchsbefürchtung rechtfertigen (vgl. EuGH, Urteil vom 14.12.2023, C -340/21 Rn. 85).

    Der Senat sieht dagegen keinen Anlass für die Einleitung eines Vorabentscheidungsverfahrens nach Art. 267 AEUV oder für die Aussetzung des vorliegenden Verfahrens bis zur Entscheidung des Europäischen Gerichtshofs in den Verfahren C-189/22, C-741/21, C-687/21, C-667/21, C-340/21 und C-307/22.

    Unerheblich für das vorliegende Verfahren sind auch die Vorlagefragen im Verfahren C-340/21, da der Anspruch des Klägers vorliegend zum einen nicht daran scheitert, dass ihm die Beweislast für das Vorliegen geeigneter technischer und organisatorischer Maßnahmen im Sinne von Art. 32 DSGVO auferlegt wird und es zum anderen auch nicht um die Haftung der Beklagten für einen sog. "Hackerangriff" geht.

  • OLG Dresden, 09.04.2024 - 4 U 213/24
    Nach der Rechtsprechung des EuGH (Urteil vom 14.12.2023 C - 340/21 - juris) kann der Kontrollverlust grundsätzlich einen immateriellen Schaden begründen.

    Aus dieser beispielhaften Aufzählung im Erwägungsgrund Nr. 85 der "Schäden", die den betroffenen Personen entstehen können geht hervor, dass der Unionsgesetzgeber unter den Begriff "Schaden" insbesondere auch den bloßen "Verlust der Kontrolle" über ihre eigenen Daten infolge eines Verstoßes gegen die DSGVO fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte (vgl. EuGH, Urteil vom 14.12.2023 - C - 340/21, Rn 82 - juris).

  • OLG München, 24.04.2024 - 34 U 2306/23

    Dsgvo, Unterlassungsanspruch, Feststellungsinteresse, Rechtsschutzbedürfnis,

    Ob der Kläger zu Recht Verstöße gegen die DSGVO geltend macht, kann genauso offenbleiben wie die Frage, ob die Beklagte ihrer Pflicht zur Schaffung eines angemessenen Schutzniveaus durch geeignete technische und organisatorische Schutzmaßnahmen unter Berücksichtigung des Standes der Technik (Art. 32 DSGVO) nachgekommen ist (vgl. EuGH, Urteil vom 14.12.2023, C-340/21, juris).

    Die Darlegungs-und Beweislast trägt insoweit die betroffene Person (vgl. EuGH, Urteil vom 04.05.2023, C-300/21, Rn. 50; Urteile vom 14.12.2023, C-340/21, Rn. 84, juris, und C-456/22, Tenor, S.2, GRUR-RS 2023, 35767; OLG Hamm, Urteil vom 15.08.2023, 7 U 19/23, Rn. 151, juris).

    Die hieraus folgende Dreistufigkeit der Prüfung (Verstoß gegen DSGVO -> negative Folge, z.B. Kontrollverlust -> Schaden) stellt auch der Europäische Gerichtshof in seinem Urteil vom 14.12.2023, C-340/21, GRUR-RS 2023, 35786, Rn. 84 heraus: "Allerdings ist darauf hinzuweisen, dass eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie negative Folgen gehabt hat, nachweisen muss, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen (...).".

    Der Senat sieht dagegen keinen Anlass für die Einleitung eines Vorabentscheidungsverfahren nach Art. 267 AEUV oder für die Aussetzung des vorliegenden Verfahrens bis zur Entscheidung des Europäischen Gerichtshofs in den Verfahren C-189/22, C-741/21, C-687/21, C-667/21, C-340/21 und C-307/22.

  • OLG Dresden, 23.01.2024 - 4 U 1313/23
  • OLG Dresden, 30.01.2024 - 4 U 1481/23
  • OLG Dresden, 30.01.2024 - 4 U 1168/23
  • LG Freiburg, 08.02.2024 - 8 O 212/23

    Datenschutzrechtliche Ansprüche im Zusammenhang mit einem API-Bug bei Twitter

  • ArbG Düsseldorf, 15.02.2024 - 2 Ca 4416/23
  • OLG Hamm, 21.12.2023 - 7 U 137/23

    Aussetzung; Revisionszulassung; grundsätzliche Bedeutung; Fortbildung des Rechts;

  • OLG Dresden, 20.02.2024 - 4 U 1634/23
  • OLG Dresden, 01.03.2024 - 4 U 1550/23
  • OLG Stuttgart, 02.02.2024 - 2 U 63/22

    Direktwerbung kein Datenschutzverstoß

  • LG Dortmund, 24.01.2024 - 3 O 37/23

    Meta, Scraping, Darlegung, Schaden, Streitwert

  • LG Passau, 09.04.2024 - 4 O 260/23

    Datenschutzgrundverordnung, Streitwertfestsetzung, Feststellungsinteresse,

Haben Sie eine Ergänzung? Oder haben Sie einen Fehler gefunden? Schreiben Sie uns.

Rechtsprechung
   Generalanwalt beim EuGH, 27.04.2023 - C-340/21   

Zitiervorschläge
https://dejure.org/2023,8663
Generalanwalt beim EuGH, 27.04.2023 - C-340/21 (https://dejure.org/2023,8663)
Generalanwalt beim EuGH, Entscheidung vom 27.04.2023 - C-340/21 (https://dejure.org/2023,8663)
Generalanwalt beim EuGH, Entscheidung vom 27. April 2023 - C-340/21 (https://dejure.org/2023,8663)
Tipp: Um den Kurzlink (hier: https://dejure.org/2023,8663) schnell in die Zwischenablage zu kopieren, können Sie die Tastenkombination Alt + R verwenden - auch ohne diesen Bereich zu öffnen.

Volltextveröffentlichungen (2)

  • Europäischer Gerichtshof

    Natsionalna agentsia za prihodite

    Vorlage zur Vorabentscheidung - Schutz personenbezogener Daten - Verordnung (EU) 2016/679 - Haftung des Verantwortlichen - Sicherheit der Verarbeitung - Verletzung der Sicherheit der Verarbeitung personenbezogener Daten - Immaterieller Schaden wegen Unterlassens durch ...

  • Betriebs-Berater

    Unbefugter Zugang zu personenbezogenen Daten durch Dritte (Hackerangriff) - Haftung des Verantwortlichen

Kurzfassungen/Presse

  • beckmannundnorda.de (Kurzinformation)

    EuGH-Generalanwalt: Bei einem Datenleck oder Hackerangriff kann ein Anspruch auf Ersatz des immateriellen Schadens aus Art. 82 DSGVO für Befürchtung eines künftigen Missbrauchs der Daten bestehen

Verfahrensgang

 
Sortierung


Kontextvorschau



Hinweis: Klicken Sie auf das Sprechblasensymbol, um eine Kontextvorschau im Fließtext zu sehen. Um alle zu sehen, genügt ein Doppelklick.

Wird zitiert von ... (19)Neu Zitiert selbst (22)

  • EuGH, 23.01.2014 - C-371/12

    Begrenzung der Entschädigung für immaterielle Schäden bei leichten Verletzungen

    Auszug aus Generalanwalt beim EuGH, 27.04.2023 - C-340/21
    35 Im Bereich der Pauschalreisen vgl. Urteil vom 12. März 2002, Leitner (C-168/00, EU:C:2002:163); im Bereich der zivilrechtlichen Haftung für die Benutzung von Kraftfahrzeugen Urteile vom 24. Oktober 2013, Haasová (C-22/12, EU:C:2013:692, Rn. 47 bis 50), vom 24. Oktober 2013, Drozdovs (C-277/12, EU:C:2013:685, Rn. 40), und vom 23. Januar 2014, Petillo (C-371/12, EU:C:2014:26, Rn. 35).

    So hat der Gerichtshof die Vereinbarkeit eines nationalen Gesetzes, das für die Berechnung des Schadensersatzes bei immateriellen Schäden im Zusammenhang mit durch einen Unfall verursachten Körperverletzungen nach dem Ursprung des Unfalls unterscheidet, mit den unionsrechtlichen Vorschriften anerkannt, vgl. Urteil vom 23. Januar 2014, Petillo (C-371/12, EU:C:2014:26, Tenor): Das Unionsrecht steht "einer nationalen Rechtsvorschrift ... [nicht entgegen], die in Bezug auf die Entschädigung für immaterielle Schäden, die auf leichte Körperverletzungen aufgrund von Straßenverkehrsunfällen zurückzuführen sind, eine Sonderregelung vorsieht, in der die Entschädigung für diese Schäden im Verhältnis zu der Entschädigung begrenzt wird, die für gleiche Schäden aufgrund anderer Ursachen als solcher Unfälle zuerkannt wird".

  • EuGH, 19.11.2009 - C-402/07

    Sturgeon - Den Fluggästen verspäteter Flüge kann ein Ausgleichsanspruch zustehen

    Auszug aus Generalanwalt beim EuGH, 27.04.2023 - C-340/21
    38 Vgl. Urteil vom 23. Oktober 2012, Nelson u. a. (C-581/10 und C-629/10, EU:C:2012:657, Rn. 51), zur Unterscheidung zwischen "Schäden" im Sinne von Art. 19 des am 28. Mai 1999 in Montreal geschlossenen Übereinkommens zur Vereinheitlichung bestimmter Vorschriften über die Beförderung im internationalen Luftverkehr und "Unannehmlichkeiten" im Sinne der Verordnung Nr. 261/2004, die nach deren Art. 7 ersatzfähig sind, im Einklang mit dem Urteil vom 19. November 2009, Sturgeon u. a. (C-402/07 und C-432/07, EU:C:2009:716).
  • AG Diez, 07.11.2018 - 8 C 130/18

    DSGVO-Abmahnungen: 50 EUR Schmerzensgeld pro Spam-EMail?

    Auszug aus Generalanwalt beim EuGH, 27.04.2023 - C-340/21
    In Deutschland u. a.: AG Diez, 7. November 2018 - 8 C 130/18, LG Karlsruhe, 2. August 2019 - 8 O 26/19, und AG Frankfurt am Main, 10. Juli 2020 - 385 C 155/19 (70).
     
  • EuGH, 23.10.2012 - C-581/10

    Nelson u.a. - Luftverkehr - Verordnung (EG) Nr. 261/2004 - Art. 5 bis 7 -

    Auszug aus Generalanwalt beim EuGH, 27.04.2023 - C-340/21
    38 Vgl. Urteil vom 23. Oktober 2012, Nelson u. a. (C-581/10 und C-629/10, EU:C:2012:657, Rn. 51), zur Unterscheidung zwischen "Schäden" im Sinne von Art. 19 des am 28. Mai 1999 in Montreal geschlossenen Übereinkommens zur Vereinheitlichung bestimmter Vorschriften über die Beförderung im internationalen Luftverkehr und "Unannehmlichkeiten" im Sinne der Verordnung Nr. 261/2004, die nach deren Art. 7 ersatzfähig sind, im Einklang mit dem Urteil vom 19. November 2009, Sturgeon u. a. (C-402/07 und C-432/07, EU:C:2009:716).
  • LG Karlsruhe, 02.08.2019 - 8 O 26/19

    Bonitätsauskunft von Schufa & Co ist nicht unmittelbar angreifbar

    Auszug aus Generalanwalt beim EuGH, 27.04.2023 - C-340/21
    In Deutschland u. a.: AG Diez, 7. November 2018 - 8 C 130/18, LG Karlsruhe, 2. August 2019 - 8 O 26/19, und AG Frankfurt am Main, 10. Juli 2020 - 385 C 155/19 (70).
  • EuGH, 15.06.2021 - C-645/19

    Datenschutz-Grundverordnung (DSGVO): Der Gerichtshof erläutert die

    Auszug aus Generalanwalt beim EuGH, 27.04.2023 - C-340/21
    26 Vgl. in diesem Sinne Urteil vom 15. Juni 2021, Facebook Ireland u. a. (C-645/19, EU:C:2021:483, Rn. 43 und 44).
  • EuGH, 06.05.2010 - C-63/09

    Der Gerichtshof bestätigt, dass die Haftung von Luftfahrtunternehmen beim Verlust

    Auszug aus Generalanwalt beim EuGH, 27.04.2023 - C-340/21
    Vgl. Urteile vom 10. Mai 2001, Veedfald (C-203/99, EU:C:2001:258, Rn. 27), zu fehlerhaften Produkten, vom 6. Mai 2010, Walz (C-63/09, EU:C:2010:251, Rn. 21), zur Haftung der Luftfahrtunternehmen, und vom 10. Juni 2021, Van Ameyde España (C-923/19, EU:C:2021:475, Rn. 37 ff.), zur zivilrechtlichen Haftung für Unfälle, die sich im Zusammenhang mit der Benutzung von Kraftfahrzeugen ereignen.
  • AG Frankfurt/Main, 10.07.2020 - 385 C 155/19

    Schadenersatz nach DSGVO verlangt ernsthafte Beeinträchtigung

    Auszug aus Generalanwalt beim EuGH, 27.04.2023 - C-340/21
    In Deutschland u. a.: AG Diez, 7. November 2018 - 8 C 130/18, LG Karlsruhe, 2. August 2019 - 8 O 26/19, und AG Frankfurt am Main, 10. Juli 2020 - 385 C 155/19 (70).
  • EuGH, 10.06.2021 - C-65/20

    Ein Artikel in einer gedruckten Zeitung, der einen unrichtigen Gesundheitstipp

    Auszug aus Generalanwalt beim EuGH, 27.04.2023 - C-340/21
    31 Vgl. Urteile vom 15. April 2021, The North of England P & I Association (C-786/19, EU:C:2021:276, Rn. 48), und vom 10. Juni 2021, KRONE - Verlag (C-65/20, EU:C:2021:471, Rn. 25).
  • EuGH, 12.03.2002 - C-168/00

    WIRD EIN PAUSCHALREISEVERTRAG MANGELHAFT ERFÜLLT, SO HAT DER BETROFFENE REISENDE

    Auszug aus Generalanwalt beim EuGH, 27.04.2023 - C-340/21
    35 Im Bereich der Pauschalreisen vgl. Urteil vom 12. März 2002, Leitner (C-168/00, EU:C:2002:163); im Bereich der zivilrechtlichen Haftung für die Benutzung von Kraftfahrzeugen Urteile vom 24. Oktober 2013, Haasová (C-22/12, EU:C:2013:692, Rn. 47 bis 50), vom 24. Oktober 2013, Drozdovs (C-277/12, EU:C:2013:685, Rn. 40), und vom 23. Januar 2014, Petillo (C-371/12, EU:C:2014:26, Rn. 35).
  • EuGH, 10.05.2001 - C-203/99

    Veedfald

  • EuGH, 15.04.2021 - C-786/19

    The North of England P & I Association - Vorlage zur Vorabentscheidung -

  • EuGH, 24.10.2013 - C-22/12

    Sieht das nationale Recht einen Anspruch der Familienangehörigen des Opfers eines

  • EuGH, 24.10.2013 - C-277/12

    Drozdovs - Obligatorische Kraftfahrzeug-Haftpflichtversicherung - Richtlinie

  • EuGH, 10.06.2021 - C-923/19

    Van Ameyde España - Vorlage zur Vorabentscheidung -

  • Generalanwalt beim EuGH, 06.10.2022 - C-300/21

    Österreichische Post (Préjudice moral lié au traitement de données personnelles)

  • EuGH, 05.04.2022 - C-140/20

    Der Gerichtshof bestätigt, dass das Unionsrecht einer allgemeinen und

  • EuG, 29.09.2021 - T-528/20

    Das Gericht weist die von Herrn M. Kocner im Zusammenhang mit den Ermittlungen

  • EuGH, 05.09.2019 - C-447/17

    Europäische Union/ Guardian Europe - Rechtsmittel - Schadensersatzklage - Art.

  • EuGH, 28.10.2021 - C-650/19

    Vialto Consulting/ Kommission - Rechtsmittel - Schadensersatzklage -

  • EuGH, 15.10.2020 - C-778/18

    Association française des usagers de banques - Vorlage zur Vorabentscheidung -

  • EuG, 13.01.2021 - T-548/18

    Helbert/ EUIPO

  • OLG Hamm, 15.08.2023 - 7 U 19/23

    Facebook-Scraping

    Der für die Datenverarbeitung Verantwortliche verletzt seine Pflichten aus Art. 32 und Art. 25 Abs. 1 DSGVO, wenn er - wie hier - bereits konkrete Kenntnis von einem Datenabgriff durch unbefugte Dritte hat und trotzdem - im Einzelfall - bei ex-ante -Betrachtung naheliegende Maßnahmen zur Verhinderung des weiteren unbefugten Datenabgriffs nicht ergreift (im Ergebnis wie Irish Data Protection Commission Entsch. v. 25.11.2022 - IN-21-4-2; siehe auch GA Pitruzzella Schlussanträge v. 27.4.2023 - C-340/21, BeckRS 2023, 8707 Rn. 20, 29 ff., 38 ff.).

    In diesem Fall einer Datenerhebung vor dem 25.05.2018 unterfällt ausschließlich die Weiterverarbeitung der Daten ab dem 25.05.2018 den Anforderungen der DSGVO; denn aus Erwägungsgrund 171 Satz 2 DSGVO, aus Art. 4 Nr. 2 DSGVO und Art. 24 Abs. 1, insbesondere Satz 2 DSGVO ergibt sich die Pflicht, die Datenverarbeitungen, die zum Zeitpunkt der Anwendung der DSGVO bereits begonnen hatten, bis zum 25.05.2018 in Einklang mit der Verordnung zu bringen (vgl. auch GA Pitruzzella Schlussanträge v. 27.4.2023 - C-340/21, BeckRS 2023, 8707 Rn. 43; LAG Baden-Württemberg Urt. v. 25.2.2021 - 17 Sa 37/20, ZD 2021, 436 = juris Rn. 63, nachgehend BAG Vorlagebeschl.

    Er muss damit also generell - und entgegen dem Ansatz der Beklagten auch im Zivilprozess - nach dem in Art. 5 Abs. 2 DSGVO verankerten Grundsatz der Rechenschaftspflicht nachweisen können, dass er die in Abs. 1 dieses Artikels festgelegten Grundsätze für die Verarbeitung personenbezogener Daten einhält (vgl. EuGH Urt. v. 4.7.2023 - C-252/21, GRUR 2023, 1131 Rn. 95, 152, 154; EuGH Urt. v. 4.5.2023 - C-60/22, BeckRS 2023, 8967 Rn. 53; EuGH Urt. v. 24.2.2022 - C-175/20, BeckRS 2022, 2616 Rn. 77, siehe auch Rn. 78; EuGH Urt. v. 24.2.2024 - C-175/20, EuZW 2022, 527 Rn. 77 f., 81; vgl. zu Art. 32, 24 DSGVO speziell auch GA Pitruzzella Schlussanträge v. 27.4.2023 - C-340/21, BeckRS 2023, 8707 Rn. 45-53; siehe auch BVerwG Urt. v. 1.3.2022 - 6 C 7 /20, BVerwGE 175, 76 Rn. 49 f.) .

    [1] Der Senat verkennt insoweit zunächst nicht, dass allein die Tatsache, dass es zum Scraping-Vorfall gekommen ist, kein Beweis dafür ist, dass die Beklagte im Vorfeld ungeeignete Maßnahmen ergriffen hätte (vgl. GA Pitruzzella Schlussanträge v. 27.4.2023 - C-340/21, BeckRS 2023, 8707 Rn. 29-37) .

    Da Art. 32 DSGVO keine konkreten Vorgaben zu erforderlichen Maßnahmen enthält, ist es vielmehr ersichtlich eine Frage des konkreten und vom Gericht zu bearbeitenden Einzelfalls, ob die vom Verantwortlichen darzulegenden und zu beweisenden Maßnahmen das Risiko einer Datenverletzung Dritter - aus ex-ante -Sicht - hinreichend zu verhindern geeignet waren, wobei dem Verantwortlichen bei der Auswahl und Umsetzung der Maßnahmen ein gewisser subjektiver Beurteilungsspielraum zuzugestehen ist (vgl. GA Pitruzzella Schlussanträge v. 27.4.2023 - C-340/21, BeckRS 2023, 8707 Rn. 38-44) .

    Dabei spielt der Grundsatz der Minimierung eine entscheidende Rolle, wonach auf allen Stufen der Datenverarbeitung stets darauf geachtet werden muss, dass Sicherheitsrisiken minimiert werden (GA Pitruzzella Schlussanträge v. 27.4.2023 - C-340/21, BeckRS 2023, 8707 Rn. 20) .

    v. 6.10.2022 - C-300/21, GRUR-RS 2022, 26562 Rn. 111 ff.; GA Pitruzzella Schlussanträge v. 27.4.2023 - C-340/21, BeckRS 2023, 8707 Rn. 79 ff. und insbesondere Rn. 83 zur von den nationalen Gerichten zu beantwortenden Frage des Schadens im Einzelfall) .

    Sie hat innerhalb ihres subjektiven Beurteilungsspielraums zur Umsetzung der Schutzmaßnahmen (vgl. dazu GA Pitruzzella Schlussanträge v. 27.4.2023 - C-340/21, BeckRS 2023, 8707 Rn. 38-44) ein hohes Eigeninteresse daran, die gesetzlichen Vorgaben auch zukünftig zu erfüllen.

    Gemessen daran ist die verdeckte Leistungsklage im Antrag zu 3a zu unbestimmt, weil sie keinerlei Konkretisierung des verlangten Tuns für den vermeintlich drohenden Fall der Erstbegehung im Hinblick auf die derzeit nur bestehende "People-You-May-Know"-Funktion - auch unter Berücksichtigung des subjektiven Beurteilungsspielraums der Beklagten zur Umsetzung der Schutzmaßnahmen (vgl. dazu GA Pitruzzella Schlussanträge v. 27.4.2023 - C-340/21, BeckRS 2023, 8707 Rn. 38-44) - benennt.

  • BGH, 26.09.2023 - VI ZR 97/22

    BGH legt dem Gerichtshof der Europäischen Union Fragen zum Bestehen eines

    Weder Art. 82 DSGVO noch die Erwägungsgründe zum Schadensersatz liefern eine eindeutige Antwort auf diese Frage (vgl. Schlussanträge des Generalanwalts vom 27. April 2023 in der Rechtssache C-340/21, ECLI:EU:C:2023:253, Celex-Nr. 62021CC0340 Rn. 70 f., juris).
  • OLG Stuttgart, 22.11.2023 - 4 U 20/23

    Schadensersatz für Datenleck bei Facebook

    Im Verfahren C-340/21 führt der Generalanwalt in seinem Schlussantrag (GRUR-RS 2023, 8707) aus, dass.

    Generalanwalt Pitruzella hat im Verfahren C-340/21 im Schlussantrag vom 27.03.2023 (GRUR-RS 2023, 8707) die Beweislast bei Verstößen gegen Art. 5 Abs. 1 DSGVO und den daran anknüpfenden speziellen Vorschriften (dort konkret Art. 24, 32 DSGVO) wegen der Rechenschaftspflicht in Art. 5 Abs. 2 DSGVO ebenfalls beim für die Datenverarbeitung Verantwortlichen angesiedelt,.

    [1.] Der Senat verkennt insoweit zunächst nicht, dass allein die Tatsache, dass es zum Scraping-Vorfall gekommen ist, kein Beweis dafür ist, dass die Beklagte im Vorfeld ungeeignete Maßnahmen ergriffen hätte (vgl. GA Pitruzzella Schlussanträge v. 27.4.2023 - C-340/21, BeckRS 2023, 8707 Rn. 29-37).

    Da Art. 32 DSGVO keine konkreten Vorgaben zu erforderlichen Maßnahmen enthält, ist es vielmehr ersichtlich eine Frage des konkreten und vom Gericht zu bearbeitenden Einzelfalls, ob die vom Verantwortlichen darzulegenden und zu beweisenden Maßnahmen das Risiko einer Datenverletzung Dritter - aus ex-ante-Sicht - hinreichend zu verhindern geeignet waren, wobei dem Verantwortlichen bei der Auswahl und Umsetzung der Maßnahmen ein gewisser subjektiver Beurteilungsspielraum zuzugestehen ist (vgl. GA Pitruzzella Schlussanträge v. 27.4.2023 - C-340/21, BeckRS 2023, 8707 Rn. 38-44).

    Dabei spielt der Grundsatz der Minimierung eine entscheidende Rolle, wonach auf allen Stufen der Datenverarbeitung stets darauf geachtet werden muss, dass Sicherheitsrisiken minimiert werden (GA Pitruzzella Schlussanträge v. 27.4.2023 - C-340/21, BeckRS 2023, 8707 Rn. 20).

     
  • EuGH, 14.12.2023 - C-456/22

    Gemeinde Ummendorf - Vorlage zur Vorabentscheidung - Schutz personenbezogener

    Wie der Gerichtshof hervorgehoben hat, ergibt sich aus Art. 82 Abs. 1 DSGVO, dass das Vorliegen eines "Schadens", der entstanden ist, eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die DSGVO und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (Urteile vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 32, und vom heutigen Tag, Natsionalna agentsia za prihodite, C-340/21, Rn. 77).

    Vor diesem Hintergrund hat der Gerichtshof Art. 82 Abs. 1 DSGVO auf der Grundlage von Erwägungen zu Wortlaut, Systematik sowie Sinn und Zweck dahin ausgelegt, dass er einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines "immateriellen Schadens" im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat (Urteile vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 51, und vom heutigen Tag, Natsionalna agentsia za prihodite, C-340/21, Rn. 78).

    Es stünde jedoch zu dem vom Unionsgesetzgeber gewählten weiten Verständnis des Begriffs "Schaden" in Widerspruch, wenn dieser Begriff auf Schäden mit einer gewissen Erheblichkeit beschränkt wäre, insbesondere was die Dauer betrifft, während der die betroffenen Personen den nachteiligen Folgen des Verstoßes gegen diese Verordnung ausgesetzt waren (vgl. in diesem Sinne Urteile vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 46, und vom heutigen Tag, Natsionalna agentsia za prihodite, C-340/21, Rn. 81).

    Eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie nachteilige Folgen gehabt hat, muss jedoch den Nachweis erbringen, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen (vgl. in diesem Sinne Urteile vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C-300/21, EU:C:2023:370, Rn. 50, und vom heutigen Tag, Natsionalna agentsia za prihodite, C-340/21, Rn. 84).

  • OLG Karlsruhe, 07.11.2023 - 19 U 23/23

    Immaterieller Schaden i.S.d. Art. 82 DS-GVO

    Mehr als die "unbefugte Offenlegung" von oder der "unbefugte Zugang" zu personenbezogenen Daten im Sinne von Art. 4 Nr. 12 DS-GVO erfordert das Vorliegen eines "Verstoßes gegen diese Verordnung" nicht (vgl. Schlussanträge des Generalanwalts Pitruzzella vom 27. April 2023 - C-340/21, Rn. 58 ff.).

    Die Tatsache, dass der Missbrauch personenbezogener Daten nur möglich und nicht bereits eingetreten ist, reicht aus, um davon auszugehen, dass die betroffene Person einen durch den Verstoß gegen die Verordnung verursachten immateriellen Schaden erlitten haben kann, sofern die betroffene Person nachweist, dass die Befürchtung eines solchen Missbrauchs ihr tatsächlich und konkret einen realen und sicheren emotionalen Schaden zugefügt hat (Schlussanträge des Generalanwalts Pitruzzella vom 27. April 2023 - C-340/21, Rn. 82).

    bb) Der Senat folgt der Auffassung des Generalanwalts Pitruzzella in seinen Schlussanträgen vom 27. April 2023 (C-340/21), wonach die betroffene Person nachweisen muss, dass ein kausaler Zusammenhang zwischen dem Verstoß gegen die Verordnung und dem ihr entstandenen Schaden besteht (a.a.O. Rn. 50, vgl. auch Schlussanträge des Generalanwalts Collins vom 26. Oktober 2023 - C-182/22, Rn. 24, 32).

    Eine wörtliche Auslegung dieser Bestimmung läuft darauf hinaus, dass jedes fahrlässige (Mit-)Verschulden oder Versehen des Verantwortlichen ausreicht, um die Anwendung der Befreiung auszuschließen (vgl. Schlussanträge des Generalanwalts Collins vom 26. Oktober 2023 - C-182/22 Rn. 25; zum Verschuldenserfordernis siehe auch die Schlussanträge des Generalanwalts Pitruzzella vom 27. April 2023 - C-340/21, Rn. 62 f.).

    Dabei kann die verantwortliche Person von ihrer Haftung nicht allein deshalb befreit werden, weil der Umstand, auf den der Verstoß zurückzuführen ist, von einer Person außerhalb ihres Kontrollbereichs herbeigeführt wurde (Schlussanträge des Generalanwalts Pitruzzella vom 27. April 2023 - C-340/21, Rn. 65).

    Ebensowenig, wie es einem Verantwortlichen möglich ist, jede Verletzung personenbezogener Daten durch Cyberkriminelle zu verhindern, deren ausgeklügelte Instrumente selbst modernste Sicherheitsmaßnahmen aushebeln können (vgl. Schlussanträge des Generalanwalts Pitruzzella vom 27. April 2023 - C-340/21, Rn. 33), ist es einem Arbeitgeber möglich, vollkommen auszuschließen, dass sich ein Mitarbeiter mit rechtswidrigen Absichten in sein Unternehmen einschleust oder ein Mitarbeiter im Laufe seiner Tätigkeit rechtswidrige Absichten entwickelt.

    Dabei ist auch zu berücksichtigen, dass allgemein bekannt ist, dass externe Angriffe auf die Systeme öffentlicher oder privater Einrichtungen, die über eine große Menge personenbezogener Daten verfügen, weitaus häufiger sind als interne Angriffe, und deshalb der Verantwortliche gehalten ist, sich insbesondere gegen Angriffe von außen zu wappnen (vgl. Schlussanträge des Generalanwalts Pitruzzella vom 27. April 2023 - C-340/21, Rn. 67).

    Die Abwägung zwischen den Interessen der betroffenen Person, die generell ein höheres Schutzniveau anstreben, und den wirtschaftlichen Interessen und technischen Möglichkeiten des Verantwortlichen, die zuweilen ein niedrigeres Schutzniveau anstreben (vgl. Schlussanträge des Generalanwalts Pitruzzella vom 27. April 2023 - C-340/21, Rn. 36), geht hinsichtlich dieser Frage daher zugunsten der Interessen des Verantwortlichen aus.

  • OLG Dresden, 09.04.2024 - 4 U 213/24
    Allerdings unterfällt die zeitlich nach dem 25.05.2018 liegende Weiterverarbeitung der Daten den Anforderungen der DSGVO, denn aus Erwägungsgrund 171 Satz 2 DSGVO sowie aus Art. 4 Nr. 2 DSGVO und Art. 24 Abs. 1 DSGVO ergibt sich die Pflicht, die Datenverarbeitungen, die zum Zeitpunkt der Anwendung der DSGVO bereits begonnen hatten, bis zum 25.05.2018 in Einklang mit der Verordnung zu bringen (vgl. OLG Hamm, Urteil vom 15.08.2023 - 7 U 19/23, Rn 72 - juris; vgl. auch Generalanwalt Pitruzzella Schlussanträge v. 27.4.2023 - C-340/21, Rn. 43 - juris).

    Entscheidend ist, dass es sich nicht um eine bloße subjektive Wahrnehmung handelt, die veränderlich ist und auch vom Charakter und von persönlichen Faktoren abhängt, sondern um die Objektivierung einer, wenn auch geringfügigen aber nachweisbaren Beeinträchtigung der physischen oder psychischen Sphäre oder des Beziehungslebens einer Person; die Art der betroffenen personenbezogenen Daten und die Bedeutung, die sie im Leben der betroffenen Person haben und vielleicht auch die Wahrnehmung, die die Gesellschaft zu diesem Zeitpunkt von dieser spezifischen, mit der Datenverletzung verbundenen Beeinträchtigung hat (vgl. Schlussanträge des GA Pitruzella vom 27.04.2023 - C 340/21, Rn 83 - juris).

    Erforderlich ist vielmehr der konkrete Nachweis eines realen und sicheren emotionalen Schadens (vgl. Schlussanträge des Generalanwaltes Pitruzzella vom 27.04.2023 - C -340/21, Rn 82, 83, - juris).

  • Generalanwalt beim EuGH, 26.10.2023 - C-182/22

    Scalable Capital - Vorlage zur Vorabentscheidung - Schutz natürlicher Personen

    Vgl. Schlussanträge des Generalanwalts Pitruzzella in der Rechtssache Natsionalna agentsia za prihodite (C-340/21, EU:C:2023:353, Nrn. 81 bis 83).

    Vgl. auch Schlussanträge des Generalanwalts Pitruzzella in der Rechtssache Natsionalna agentsia za prihodite (C-340/21, EU:C:2023:353, Nr. 61).

    Vgl. auch Schlussanträge des Generalanwalts Campos Sánchez-Bordona in der Rechtssache Österreichische Post (Immaterieller Schaden, der aus einer rechtswidrigen Verarbeitung von Daten resultiert) (C-300/21, EU:C:2022:756, Nrn. 27 bis 55) und des Generalanwalts Pitruzzella in der Rechtssache Natsionalna agentsia za prihodite (C-340/21, EU:C:2023:353, Nr. 74).

    Vgl. im Gegensatz dazu Schlussanträge des Generalanwalts Campos Sánchez-Bordona in der Rechtssache Österreichische Post (Immaterieller Schaden, der aus einer rechtswidrigen Verarbeitung von Daten resultiert) (C-300/21, EU:C:2022:756, Nr. 105) und des Generalanwalts Pitruzzella in der Rechtssache Natsionalna agentsia za prihodite (C-340/21, EU:C:2023:353, Nr. 78).

    22 Generalanwalt Pitruzzella ist der Auffassung, dass die für Systeme öffentlicher oder privater Einrichtungen, die über eine große Menge personenbezogener Daten verfügen, Verantwortlichen zur Vermeidung der Haftung nach Art. 82 der DSGVO geeignete Maßnahmen ergreifen müssen, um insbesondere Angriffen von außen begegnen zu können: vgl. seine Schlussanträge in der Rechtssache Natsionalna agentsia za prihodite (C-340/21, EU:C:2023:353, Nrn. 65 bis 67).

  • LG Nürnberg-Fürth, 20.10.2023 - 10 O 1510/22

    Datenschutzgrundverordnung, Erfüllung des Auskunftsanspruchs,

    Bezüglich der Einhaltung der technischen und organisatorischen Maßnahmen ist die Beklagte im Zuge ihrer Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO darlegungs- und beweisbelastet (Generalanwalt beim EuGH Schlussantrag v. 27.4.2023 - C-340/21, GRUR-RS 2023, 8707 Rn. 42; OLG Hamm, Urteil vom 15. August 2023 - I-7 U 19/23 -, Rn. 88, juris).

    Dabei spielt der Grundsatz der Minimierung eine entscheidende Rolle, wonach auf allen Stufen der Datenverarbeitung stets darauf geachtet werden muss, dass Sicherheitsrisiken minimiert werden (GA Pitruzzella Schlussanträge v. 27.4.2023 - C-340/21, BeckRS 2023, 8707 Rn. 26).

    Es ist eine Frage des konkreten Einzelfalls, ob die vom Verantwortlichen darzulegenden und zu beweisenden Maßnahmen das Risiko einer Datenverletzung Dritter - aus ex-ante-Sicht - hinreichend zu verhindern geeignet waren, wobei dem Verantwortlichen bei der Auswahl und Umsetzung der Maßnahmen ein gewisser subjektiver Beurteilungsspielraum zuzugestehen ist (vgl. GA Pitruzzella Schlussanträge v. 27.4.2023 - C-340/21, BeckRS 2023, 8707 Rn. 40; OLG Hamm, Urteil vom 15. August 2023 - 7 U 19/23 -, Rn. 140, juris).

  • OLG Dresden, 30.01.2024 - 4 U 1168/23
    Allerdings unterfällt die zeitlich nach dem 25.05.2018 liegende Weiterverarbeitung der Daten den Anforderungen der DSGVO, denn aus Erwägungsgrund 171 Satz 2 DSGVO sowie aus Art. 4 Nr. 2 DSGVO und Art. 24 Abs. 1 DSGVO ergibt sich die Pflicht, die Datenverarbeitungen, die zum Zeitpunkt der Anwendung der DSGVO bereits begonnen hatten, bis zum 25.05.2018 in Einklang mit der Verordnung zu bringen (vgl. OLG Hamm, Urteil vom 15.08.2023 - 7 U 19/23, Rn 72 - juris; vgl. auch Generalanwalt P...... Schlussanträge v. 27.4.2023 - C-340/21, Rn. 43 - juris).

    Entscheidend ist, dass es sich nicht um eine bloße subjektive Wahrnehmung handelt, die veränderlich ist und auch vom Charakter und von persönlichen Faktoren abhängt, sondern um die Objektivierung einer, wenn auch geringfügigen aber nachweisbaren Beeinträchtigung der physischen oder psychischen Sphäre oder des Beziehungslebens einer Person; die Art der betroffenen personenbezogenen Daten und die Bedeutung, die sie im Leben der betroffenen Person haben und vielleicht auch die Wahrnehmung, die die Gesellschaft zu diesem Zeitpunkt von dieser spezifischen, mit der Datenverletzung verbundenen Beeinträchtigung hat (vgl. Schlussanträge des GA P...... vom 27.04.2023 - C 340/21, Rn 83 - juris).

    Erforderlich ist vielmehr der konkrete Nachweis eines realen und sicheren emotionalen Schadens (vgl. Schlussanträge des Generalanwaltes P...... vom 27.04.2023 - C -340/21, Rn 82, 83, - juris).

  • OLG Dresden, 20.02.2024 - 4 U 1634/23
    Entscheidend ist, dass es sich nicht um eine bloße subjektive Wahrnehmung handelt, die veränderlich ist und auch vom Charakter und von persönlichen Faktoren abhängt, sondern um die Objektivierung einer, wenn auch geringfügigen aber nachweisbaren Beeinträchtigung der physischen oder psychischen Sphäre oder des Beziehungslebens einer Person; die Art der betroffenen personenbezogenen Daten und die Bedeutung, die sie im Leben der betroffenen Person haben und vielleicht auch die Wahrnehmung, die die Gesellschaft zu diesem Zeitpunkt von dieser spezifischen, mit der Datenverletzung verbundenen Beeinträchtigung hat (vgl. Schlussanträge des GA P...... vom 27.04.2023 - C 340/21, Rn 83 - juris).

    Erforderlich ist vielmehr der konkrete Nachweis eines realen und sicheren emotionalen Schadens (vgl. Schlussanträge des Generalanwaltes P...... vom 27.04.2023 - C -340/21, Rn 82, 83, - juris).

  • LAG Hamm, 02.12.2022 - 19 Sa 756/22

    1. Ein am reinen Wortlaut von Art. 15 Abs. 1 Halbs. 2 DSGVO orientierter Antrag

  • Generalanwalt beim EuGH, 25.05.2023 - C-667/21

    Krankenversicherung Nordrhein - Vorlage zur Vorabentscheidung - Schutz

  • OLG Dresden, 05.12.2023 - 4 U 709/23
  • OLG Dresden, 05.12.2023 - 4 U 1094/23

    Anspruch gegen eine Betreiberin eines sozialen Netzwerkes wegen behaupteter

  • LG München I, 14.03.2024 - 44 O 3464/23

    Dsgvo, Personenbezogene Daten, Klageantrag, Technische und organisatorische

  • LG Düsseldorf, 19.07.2023 - 12 O 83/22
  • LG Aachen, 06.02.2024 - 10 O 53/23

    Online Banking Betrug - Sparkasse trägt Mitschuld

  • LG Augsburg, 09.06.2023 - 22 O 2669/22

    Keine Ansprüche eines Nutzers gegen Facebook-Betreiber wegen Scraping-Vorfall

  • LG Augsburg, 02.05.2023 - 31 O 1709/22

    Keine Ansprüche eines Nutzers gegen Betreiber von Facebook wegen Scraping-Vorfall

Haben Sie eine Ergänzung? Oder haben Sie einen Fehler gefunden? Schreiben Sie uns.
Sie können auswählen (Maus oder Pfeiltasten):
(Liste aufgrund Ihrer bisherigen Eingabe)
Komplette Übersicht