Im Dezember 2023 hat der EuGH gleich vier Urteile zu Auslegungsfragen der DSGVO gefällt und damit (Un-)-klarheiten über die Regelungen von Bußgeldern, Schadensersatz und notwendigen Schutzmaßnahmen geschaffen. Grund genug, die vier Urteil jeweils zusammenzufassen.

Situation: Gegen die Klägerin war von einer Aufsichtsbehörde ein Bußgeld verhängt worden.

Erkenntnis: Ein Verstoß durch eine juristische Person muss nicht einer konkreten natürlichen Person zugeordnet werden. Bußgelder werden gegen eine verantwortliche Person verhängt, nicht gegen ein Unternehmen aufgrund des Fehlverhaltens konkreter Mitarbeitender.

Situation: Auf der Webseite einer Gemeinde wurden Daten von betroffenen Personen ohne Einwilligung veröffentlicht. Strittig war, ob den Betroffenen dadurch ein relevanter Schaden entstanden war.

Erkenntnis: Kein Schaden ist zu gering, um einen Schadensersatz zu begründen. Der Schaden muss jedoch durch die betroffene Person nachgewiesen werden. Konkret ist ein Verstoß gegen die DSGVO notwendig, der kausal für einen Schaden ist.

Situation: Strittig war, ob ein erfolgreicher Cyberangriff auf die bulgarische Finanzbehörde als hinreichender Nachweis für die Annahme ausreicht, dass personenbezogene Daten unzureichend geschützt und damit DSGVO widrig verarbeitet wurden.

Erkenntnis: Die Tatsache, dass es zu einer Datenschutzverletzung gekommen ist, bedeutet nicht, dass die Sicherheitsmaßnahmen unzureichend waren. Die Angemessenheit der Schutzmaßnahmen ist unabhängig vom Angreifer zu bewerten.

Situation: Strittig war die Rechtmäßigkeit eines Gutachtens über die Arbeitsfähigkeit einer betroffenen Person.

Erkenntnis: Art. 9 und Art. 6 DSGVO sind unabhängig voneinander zu erfüllende Anforderungen. Ein Ausnahmetatbestand nach Art. 9 Abs. 2 DSGVO begründet nicht automatisch eine Rechtmäßigkeit nach Art. 6 DSGVO. Beides sind eigenständige Grundsätze der DSGVO. Zudem ist Schadensersatz keine Strafe und darf nicht mit strafender Wirkung (über den entstandenen Schaden hinaus) verhängt werden.