EuGH, Urteil vom 14.12.2023, Az. C-340/21

Das Vorabentscheidungsersuchen betrifft die Auslegung von Art. 5 Abs. 2, den Art. 24 und 32 sowie Art. 82 Abs. 1 bis 3 der Verordnung ([X.]) 2016/679 des [X.] und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/[X.] ([X.]) ([X.]. 2016, [X.], [X.], im Folgenden: [X.]).

Es ergeht im Rahmen eines Rechtsstreits zwischen [X.], einer natürlichen Person, und der [X.] ([X.], [X.]) (im Folgenden: [X.]) über den Ersatz des immateriellen Schadens, der dieser Person dadurch entstanden sein soll, dass diese Behörde ihre gesetzlichen Verpflichtungen als für die Verarbeitung personenbezogener Daten Verantwortliche verletzt haben soll.

In den Erwägungsgründen 4, 10, 11, 74, 76, 83, 85 und 146 der [X.] heißt es:

„(4) … Diese Verordnung steht im Einklang mit allen Grundrechten und achtet alle Freiheiten und Grundsätze, die mit der [[X.]] anerkannt wurden und in den [X.] verankert sind, insbesondere Achtung des Privat- und Familienlebens, der Wohnung und der Kommunikation, Schutz personenbezogener Daten, … Recht auf einen wirksamen Rechtsbehelf und ein faires Verfahren …

…

(10) Um ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten und die Hemmnisse für den Verkehr personenbezogener Daten in der [X.] zu beseitigen, sollte das Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten gleichwertig sein. Die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten von natürlichen Personen bei der Verarbeitung personenbezogener Daten sollten unionsweit gleichmäßig und einheitlich angewandt werden. …

(11) Ein unionsweiter wirksamer Schutz personenbezogener Daten erfordert die Stärkung und präzise Festlegung der Rechte der betroffenen Personen sowie eine Verschärfung der Verpflichtungen für diejenigen, die personenbezogene Daten verarbeiten und darüber entscheiden, …

…

(74) Die Verantwortung und Haftung des [X.], die durch ihn oder in seinem Namen erfolgt, sollte geregelt werden. Insbesondere sollte der Verantwortliche geeignete und wirksame Maßnahmen treffen müssen und nachweisen können, dass die Verarbeitungstätigkeiten im Einklang mit dieser Verordnung stehen und die Maßnahmen auch wirksam sind. Dabei sollte er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung und das Risiko für die Rechte und Freiheiten natürlicher Personen berücksichtigen.

…

(76) Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Person sollten in Bezug auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung bestimmt werden. Das Risiko sollte anhand einer objektiven Bewertung beurteilt werden, bei der festgestellt wird, ob die Datenverarbeitung ein Risiko oder ein hohes Risiko birgt.

…

(83) Zur Aufrechterhaltung der Sicherheit und zur Vorbeugung gegen eine gegen diese Verordnung verstoßende Verarbeitung sollte der Verantwortliche oder der Auftragsverarbeiter die mit der Verarbeitung verbundenen Risiken ermitteln und Maßnahmen zu ihrer Eindämmung, wie etwa eine Verschlüsselung, treffen. Diese Maßnahmen sollten unter Berücksichtigung des Stands der Technik und der Implementierungskosten ein Schutzniveau – auch hinsichtlich der Vertraulichkeit – gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden personenbezogenen Daten angemessen ist. Bei der Bewertung der Datensicherheitsrisiken sollten die mit der Verarbeitung personenbezogener Daten verbundenen Risiken berücksichtigt werden, wie etwa – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von oder unbefugter Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden, insbesondere wenn dies zu einem physischen, materiellen oder immateriellen Schaden führen könnte.

…

(85) Eine Verletzung des Schutzes personenbezogener Daten kann – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder ‑betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person. Deshalb sollte der Verantwortliche, sobald ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird, die Aufsichtsbehörde von der Verletzung des Schutzes personenbezogener Daten unverzüglich … unterrichten, …

…

(146) Der Verantwortliche oder der Auftragsverarbeiter sollte Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, ersetzen. Der Verantwortliche oder der Auftragsverarbeiter sollte von seiner Haftung befreit werden, wenn er nachweist, dass er in keiner Weise für den Schaden verantwortlich ist. Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht. Dies gilt unbeschadet von Schadenersatzforderungen aufgrund von Verstößen gegen andere Vorschriften des [X.]srechts oder des Rechts der Mitgliedstaaten. Zu einer Verarbeitung, die mit der vorliegenden Verordnung nicht im Einklang steht, zählt auch eine Verarbeitung, die nicht mit den nach Maßgabe der vorliegenden Verordnung erlassenen delegierten Rechtsakten und Durchführungsrechtsakten und Rechtsvorschriften der Mitgliedstaaten zur Präzisierung von Bestimmungen der vorliegenden Verordnung im Einklang steht. Die betroffenen Personen sollten einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. …“

Art. 4 („Begriffsbestimmungen“) dieser Verordnung bestimmt:

„Im Sinne dieser Verordnung bezeichnet der Ausdruck:

[X.]‚personenbezogene Daten‘ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ‚betroffene Person‘) beziehen; …

2. ‚Verarbeitung‘ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten …;

…

7. ‚Verantwortlicher‘ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; …

…

10. ‚Dritter‘ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;

…

12. ‚Verletzung des Schutzes personenbezogener Daten‘ eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;

…“

Art. 5 („Grundsätze für die Verarbeitung personenbezogener Daten“) [X.] sieht vor:

„(1) Personenbezogene Daten müssen

a) auf rechtmäßige Weise, nach [X.] und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (‚Rechtmäßigkeit, Verarbeitung nach [X.] und Glauben, Transparenz‘);

…

f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen (‚Integrität und Vertraulichkeit‘);

(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (‚Rechenschaftspflicht‘).“

Art. 24 („Verantwortung des für die Verarbeitung Verantwortlichen“) [X.] lautet:

„(1) Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.

(2) Sofern dies in einem angemessenen Verhältnis zu den Verarbeitungstätigkeiten steht, müssen die Maßnahmen gemäß Absatz 1 die Anwendung geeigneter Datenschutzvorkehrungen durch den Verantwortlichen umfassen.

(3) Die Einhaltung der genehmigten Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Gesichtspunkt herangezogen werden, um die Erfüllung der Pflichten des Verantwortlichen nachzuweisen.“

Art. 32 („Sicherheit der Verarbeitung“) [X.] bestimmt:

„(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:

a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;

b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;

c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;

d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

(2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.

(3) Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.

…“

Art. 79 („Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter“) Abs. 1 [X.] bestimmt:

„Jede betroffene Person hat unbeschadet eines verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs einschließlich des Rechts auf Beschwerde bei einer Aufsichtsbehörde gemäß Artikel 77 das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden.“

Art. 82 („Haftung und Recht auf Schadenersatz“) Abs. 1 bis 3 [X.] sieht vor:

„(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

(2) Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. …

(3) Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.“

Die [X.] ist eine dem [X.] Finanzminister unterstellte Behörde. Im Rahmen ihrer Aufgaben, die u. a. in der Feststellung, Sicherung und Einziehung öffentlicher Forderungen bestehen, ist sie für die Verarbeitung personenbezogener Daten verantwortlich im Sinne von Art. 4 Nr. 7 [X.].

Am 15. Juli 2019 wurde in den Medien darüber berichtet, dass ein unbefugter Zugang zum IT‑System der [X.] erfolgt sei und dass infolge dieses Cyberangriffs in diesem System enthaltene personenbezogene Daten im [X.] veröffentlicht worden seien.

Mehr als sechs Millionen natürliche Personen, zu denen sowohl [X.] als auch ausländische Staatsbürger zählten, waren von diesen Ereignissen betroffen. Einige Hundert von ihnen, darunter die Klägerin des Ausgangsverfahrens, verklagten die [X.] auf Ersatz des immateriellen Schadens, der sich aus der Offenlegung ihrer personenbezogenen Daten ergeben haben soll.

Vor diesem Hintergrund erhob die Klägerin des Ausgangsverfahrens beim Administrativen sad [X.]-grad (Verwaltungsgericht der Stadt [X.], [X.]) auf der Grundlage von Art. 82 [X.] und Bestimmungen des [X.] Rechts Klage auf Verurteilung der [X.] zur Zahlung von 1 000 [X.] Lew ([X.]) (etwa 510 Euro) an sie als Schadenersatz. Zur Stützung dieses Antrags machte sie geltend, sie habe einen immateriellen Schaden erlitten, der sich aus einer Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 [X.] und insbesondere aus einer Verletzung der Sicherheit ergebe, die dadurch verursacht worden sei, dass die [X.] gegen ihre Verpflichtungen insbesondere aus Art. 5 Abs. 1 Buchst. f sowie den Art. 24 und 32 [X.] verstoßen habe. Ihr immaterieller Schaden bestehe in der Befürchtung, dass ihre personenbezogenen Daten, die ohne ihre Einwilligung veröffentlicht worden seien, künftig missbräuchlich verwendet würden oder dass sie selbst erpresst, angegriffen oder sogar entführt werde.

Die [X.] verteidigte sich damit, dass die Klägerin des Ausgangsverfahrens von ihr keine Informationen über die spezifischen Daten, die offengelegt worden seien, angefordert habe. Sie legte ferner Dokumente zum Nachweis dafür vor, dass sie alle erforderlichen Maßnahmen ergriffen habe, um im Vorfeld die Verletzung des Schutzes der in ihrem IT‑System enthaltenen personenbezogenen Daten zu verhindern und im Nachhinein die Auswirkungen dieser Verletzung zu begrenzen und die Bürger zu beruhigen. Außerdem bestehe zwischen dem behaupteten immateriellen Schaden und der genannten Verletzung kein Kausalzusammenhang. Überdies könne sie nicht für die schädlichen Folgen dieser Verletzung verantwortlich gemacht werden, da sie selbst durch Personen, die nicht ihre Bediensteten seien, böswillig geschädigt worden sei.

Mit Entscheidung vom 27. November 2020 wies der Administrativen sad [X.]-grad (Verwaltungsgericht der Stadt [X.]) die Klage der Klägerin des Ausgangsverfahrens ab. Dieses Gericht stellte zum einen fest, dass der unbefugte Zugriff auf die Datenbank der [X.] auf einen von [X.] begangenen Hackerangriff zurückzuführen sei, und zum anderen, dass die Klägerin des Ausgangsverfahrens nicht nachgewiesen habe, dass die [X.] es unterlassen habe, Sicherheitsmaßnahmen zu ergreifen. Zudem sei der Klägerin des Ausgangsverfahrens kein immaterieller Schaden entstanden, der einen Schadenersatzanspruch begründe.

Die Klägerin des Ausgangsverfahrens legte gegen diese Entscheidung Kassationsbeschwerde beim Varhoven administrativen sad (Oberstes Verwaltungsgericht, [X.]), dem vorlegenden Gericht in der vorliegenden Rechtssache, ein. Sie stützt ihr Rechtsmittel darauf, dass das erstinstanzliche Gericht bei der Verteilung der Beweislast hinsichtlich der von der [X.] ergriffenen Sicherheitsmaßnahmen einen Rechtsfehler begangen habe, und dass die [X.] nicht nachgewiesen habe, dass sie insoweit nicht untätig geblieben sei. Ferner sei die Befürchtung eines möglichen künftigen Missbrauchs ihrer personenbezogenen Daten ein tatsächlicher immaterieller und kein hypothetischer Schaden. Die [X.] tritt allen diesen Argumenten entgegen.

Das vorlegende Gericht zieht zunächst die Möglichkeit in Betracht, dass schon die Feststellung einer Verletzung des Schutzes personenbezogener Daten den Schluss zulasse, dass die vom für die Verarbeitung dieser Daten Verantwortlichen getroffenen Maßnahmen nicht „geeignet“ im Sinne der Art. 24 und 32 [X.] gewesen seien.

Für den Fall, dass diese Feststellung für die Bejahung einer solchen Schlussfolgerung nicht ausreichen sollte, fragt das vorlegende Gericht jedoch zum einen nach dem Umfang der Kontrolle, die die nationalen Gerichte bei der Beurteilung der Geeignetheit der betreffenden Maßnahmen vorzunehmen hätten, und zum anderen nach den Regeln der Beweisführung, die in diesem Rahmen sowohl in Bezug auf die Beweislast als auch in Bezug auf die Beweismittel anzuwenden seien, insbesondere, wenn diese Gerichte mit einer auf Art. 82 [X.] gestützten Schadenersatzklage befasst seien.

Sodann möchte das vorlegende Gericht wissen, ob im Hinblick auf Art. 82 Abs. 3 [X.] der Umstand, dass die Verletzung des Schutzes personenbezogener Daten auf eine von [X.] begangene Handlung, im vorliegenden Fall auf einen Cyberangriff, zurückzuführen sei, ein Kriterium sei, das den für die Verarbeitung dieser Daten Verantwortlichen generell von seiner Haftung für den der betroffenen Person entstandenen Schaden befreie.

Schließlich fragt sich das vorlegende Gericht, ob allein die Befürchtung einer Person, dass ihre personenbezogenen Daten, im vorliegenden Fall nach einem unbefugten Zugang zu ihnen und ihrer Offenlegung durch Cyberkriminelle, in Zukunft missbräuchlich verwendet werden könnten, einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 [X.] darstellen könne. Sollte dies der Fall sein, müsste diese Person nicht nachweisen, dass Dritte diese Daten vor Erhebung ihrer Schadenersatzklage unrechtmäßig verwendet hätten, etwa durch Identitätsdiebstahl.

Unter diesen Umständen hat der Varhoven administrativen sad (Oberstes Verwaltungsgericht) das Verfahren ausgesetzt und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorgelegt:

[X.]Sind die Art. 24 und 32 [X.] dahin auszulegen, dass es ausreicht, wenn eine unbefugte Offenlegung von beziehungsweise ein unbefugter Zugang zu personenbezogenen Daten im Sinne von Art. 4 Nr. 12 [X.] durch Personen erfolgt ist, die keine Bediensteten der Verwaltung des Verantwortlichen sind und nicht seiner Kontrolle unterliegen, um anzunehmen, dass die getroffenen technischen und organisatorischen Maßnahmen nicht geeignet sind?

2. Falls die erste Frage verneint wird, welchen Gegenstand und Umfang sollte die gerichtliche Rechtmäßigkeitskontrolle bei der Prüfung haben, ob die vom Verantwortlichen getroffenen technischen und organisatorischen Maßnahmen nach Art. 32 [X.] geeignet sind?

3. Falls die erste Frage verneint wird, sind der Grundsatz der Rechenschaftspflicht nach Art. 5 Abs. 2 und Art. 24 in Verbindung mit dem 74. Erwägungsgrund der [X.] dahin auszulegen, dass im Klageverfahren nach Art. 82 Abs. 1 [X.] der Verantwortliche die Beweislast dafür trägt, dass die getroffenen technischen und organisatorischen Maßnahmen nach Art. 32 [X.] geeignet sind?

Kann die Einholung eines Sachverständigengutachtens als ein notwendiges und ausreichendes Beweismittel angesehen werden, um festzustellen, ob die vom Verantwortlichen getroffenen technischen und organisatorischen Maßnahmen in einem Fall wie dem vorliegenden geeignet waren, wenn der unbefugte Zugang zu und die unbefugte Offenlegung von personenbezogenen Daten Folge eines „Hackerangriffs“ sind?

4. Ist Art. 82 Abs. 3 [X.] dahin auszulegen, dass die unbefugte Offenlegung von oder der unbefugte Zugang zu personenbezogenen Daten im Sinne von Art. 4 Nr. 12 [X.] wie vorliegend mittels eines „Hackerangriffs“ durch Personen, die keine Bediensteten der Verwaltung des Verantwortlichen sind und nicht seiner Kontrolle unterliegen, einen Umstand darstellt, für den der Verantwortliche in keinerlei Hinsicht verantwortlich ist und der zur Befreiung von der Haftung berechtigt?

[X.]Sind Art. 82 Abs. 1 und 2 in Verbindung mit den Erwägungsgründen 85 und 146 der [X.] dahin auszulegen, dass in einem Fall wie dem vorliegenden Fall einer Verletzung des Schutzes personenbezogener Daten, die sich in dem unbefugten Zugang zu und der Verbreitung von personenbezogenen Daten mittels eines „Hackerangriffs“ äußert, allein die von der betroffenen Person erlittenen Sorgen, Befürchtungen und Ängste vor einem möglichen künftigen Missbrauch personenbezogener Daten unter den weit auszulegenden Begriff des immateriellen Schadens fallen und zum Schadenersatz berechtigen, wenn ein solcher Missbrauch nicht festgestellt wurde und/oder kein weiterer Schaden der betroffenen Person entstanden ist?

Mit seiner ersten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob die Art. 24 und 32 [X.] dahin auszulegen sind, dass eine unbefugte Offenlegung von bzw. ein unbefugter Zugang zu personenbezogenen Daten durch „Dritte“ im Sinne von Art. 4 Nr. 10 [X.] allein ausreicht, um anzunehmen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht „geeignet“ im Sinne der Art. 24 und 32 [X.] waren.

Zunächst ist darauf hinzuweisen, dass nach ständiger Rechtsprechung die Begriffe einer Bestimmung des [X.]srechts, die – wie die Art. 24 und 32 [X.] – für die Ermittlung ihres Sinns und ihrer Tragweite nicht ausdrücklich auf das Recht der Mitgliedstaaten verweist, in der Regel in der gesamten [X.] eine autonome und einheitliche Auslegung erhalten müssen, die insbesondere unter Berücksichtigung des Wortlauts der betreffenden Bestimmung, der mit ihr verfolgten Ziele und des Zusammenhangs, in den sie sich einfügt, zu ermitteln ist (vgl. in diesem Sinne Urteile vom 18. Januar 1984, [X.], 327/82, [X.]:[X.], Rn. 11, vom 1. Oktober 2019, [X.], [X.]/17, [X.]:C:2019:801, Rn. 47 und 48, sowie vom 4. Mai 2023, [X.] [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], [X.], [X.]:[X.], Rn. 29).

Erstens ist zum Wortlaut der einschlägigen Bestimmungen festzustellen, dass Art. 24 [X.] eine allgemeine Verpflichtung des für die Verarbeitung personenbezogener Daten Verantwortlichen vorsieht, geeignete technische und organisatorische Maßnahmen umzusetzen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß der [X.] erfolgt.

Hierzu führt Art. 24 Abs. 1 [X.] eine Reihe von Kriterien auf, die für die Beurteilung der Geeignetheit solcher Maßnahmen zu berücksichtigen sind, nämlich Art, Umfang, Umstände und Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen. Weiter heißt es dort, dass diese Maßnahmen erforderlichenfalls überprüft und aktualisiert werden.

Vor diesem Hintergrund legt Art. 32 [X.] die Pflichten des Verantwortlichen und eines etwaigen Auftragsverarbeiters in Bezug auf die Sicherheit dieser Verarbeitung fest. So bestimmt Art. 32 Abs. 1 [X.], dass diese unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der betreffenden Verarbeitung geeignete technische und organisatorische Maßnahmen treffen, um ein Schutzniveau zu gewährleisten, das den in der vorstehenden Randnummer des vorliegenden Urteils genannten Risiken angemessen ist.

Ebenso sind nach Art. 32 Abs. 2 [X.] bei der Beurteilung des angemessenen Schutzniveaus insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von bzw. unbefugten Zugang zu personenbezogenen Daten.

Zudem heißt es sowohl in Art. 24 Abs. 3 [X.] als auch in Art. 32 Abs. 3 [X.], dass der Verantwortliche oder der Auftragsverarbeiter die Erfüllung der in den jeweiligen Abs. 1 dieser Artikel genannten Anforderungen nachweisen kann, indem er sich auf die Einhaltung genehmigter Verhaltensregeln bzw. eines genehmigten Zertifizierungsverfahrens gemäß Art. 40 bzw. Art. 42 [X.] stützt.

Die Bezugnahme in Art. 32 Abs. 1 und 2 [X.] auf „ein dem Risiko angemessenes Schutzniveau“ und ein „angemessenes Schutzniveau“ zeigt, dass mit der [X.] ein Risikomanagementsystem eingeführt und in ihr in keiner Weise behauptet wird, dass sie das Risiko von Verletzungen des Schutzes personenbezogener Daten beseitigt.

Somit ergibt sich aus dem Wortlaut der Art. 24 und 32 [X.], dass diese Bestimmungen dem Verantwortlichen lediglich vorschreiben, technische und organisatorische Maßnahmen zu treffen, die darauf gerichtet sind, jede Verletzung des Schutzes personenbezogener Daten so weit wie möglich zu verhindern. Die Geeignetheit solcher Maßnahmen ist konkret zu bewerten, indem geprüft wird, ob der Verantwortliche diese Maßnahmen unter Berücksichtigung der verschiedenen in den genannten Artikeln aufgeführten Kriterien und der Datenschutzbedürfnisse getroffen hat, die speziell mit der betreffenden Verarbeitung sowie den davon ausgehenden Risiken verbunden sind.

Folglich können die Art. 24 und 32 [X.] nicht dahin verstanden werden, dass eine unbefugte Offenlegung von bzw. ein unbefugter Zugang zu personenbezogenen Daten durch einen [X.] für die Schlussfolgerung ausreicht, dass die von dem für die betreffende Verarbeitung Verantwortlichen ergriffenen Maßnahmen nicht im Sinne dieser Bestimmungen geeignet waren, ohne dass ihm die Möglichkeit eingeräumt wird, den Gegenbeweis zu erbringen.

Eine solche Auslegung ist umso mehr geboten, als Art. 24 [X.] ausdrücklich vorsieht, dass der Verantwortliche den Nachweis dafür erbringen können muss, dass die von ihm umgesetzten Maßnahmen im Einklang mit der [X.] stehen; diese Möglichkeit bliebe ihm verwehrt, wenn eine unwiderlegbare Vermutung angenommen würde.

Zweitens bestätigen systematische und teleologische Gesichtspunkte diese Auslegung der Art. 24 und 32 [X.].

Was zum einen den Zusammenhang betrifft, in den sich diese beiden Artikel einfügen, ist darauf hinzuweisen, dass sich aus Art. 5 Abs. 2 [X.] ergibt, dass der Verantwortliche nachweisen können muss, dass er die in Abs. 1 dieses Artikels genannten Grundsätze für die Verarbeitung personenbezogener Daten eingehalten hat. Diese Verpflichtung wird in Art. 24 Abs. 1 und 3 sowie in Art. 32 Abs. 3 [X.] hinsichtlich der Verpflichtung, technische und organisatorische Maßnahmen zum Schutz solcher Daten bei der Verarbeitung durch den Verantwortlichen zu treffen, aufgegriffen und präzisiert. Eine solche Verpflichtung, die Geeignetheit der Maßnahmen nachzuweisen, hätte indes keinen Sinn, wenn der Verantwortliche verpflichtet wäre, jede Beeinträchtigung dieser Daten zu verhindern.

Zudem sollte der Verantwortliche nach dem 74. Erwägungsgrund der [X.] geeignete und wirksame Maßnahmen treffen müssen und nachweisen können, dass die Verarbeitungstätigkeiten im Einklang mit der [X.] stehen und die Maßnahmen auch wirksam sind, wobei er die Kriterien berücksichtigen sollte, die mit den ebenfalls in den Art. 24 und 32 [X.] genannten Merkmalen der betreffenden Verarbeitung und dem von ihr ausgehenden Risiko zusammenhängen.

Nach dem 76. Erwägungsgrund der [X.] hängen außerdem Eintrittswahrscheinlichkeit und Schwere des Risikos von den Besonderheiten der betreffenden Verarbeitung ab und sollte dieses Risiko anhand einer objektiven Bewertung beurteilt werden.

Darüber hinaus ergibt sich aus Art. 82 Abs. 2 und 3 [X.], dass ein Verantwortlicher zwar für den Schaden haftet, der durch eine nicht der [X.] entsprechende Verarbeitung verursacht wurde, er jedoch von seiner Haftung befreit wird, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.

Zum anderen wird die in Rn. 31 des vorliegenden Urteils vorgenommene Auslegung auch durch den 83. Erwägungsgrund der [X.] bestätigt, in dessen Satz 1 es heißt: „Zur Aufrechterhaltung der Sicherheit und zur Vorbeugung gegen eine gegen diese Verordnung verstoßende Verarbeitung sollte der Verantwortliche oder der Auftragsverarbeiter die mit der Verarbeitung verbundenen Risiken ermitteln und Maßnahmen zu ihrer Eindämmung … treffen.“ Damit hat der [X.]sgesetzgeber seine Absicht zum Ausdruck gebracht, die Risiken einer Verletzung des Schutzes personenbezogener Daten „einzudämmen“, ohne zu behaupten, dass sie beseitigt werden könnten.

Nach alledem ist auf die erste Frage zu antworten, dass die Art. 24 und 32 [X.] dahin auszulegen sind, dass eine unbefugte Offenlegung von bzw. ein unbefugter Zugang zu personenbezogenen Daten durch „Dritte“ im Sinne von Art. 4 Nr. 10 [X.] allein nicht ausreicht, um anzunehmen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht „geeignet“ im Sinne der Art. 24 und 32 [X.] waren.

Mit seiner zweiten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 32 [X.] dahin auszulegen ist, dass die Geeignetheit der vom Verantwortlichen nach diesem Artikel getroffenen technischen und organisatorischen Maßnahmen von den nationalen Gerichten konkret, insbesondere unter Berücksichtigung der mit der betreffenden Verarbeitung verbundenen Risiken, zu beurteilen ist.

Insoweit ist darauf hinzuweisen, dass, wie im Rahmen der Beantwortung der ersten Frage ausgeführt wurde, Art. 32 [X.] verlangt, dass, je nach Sachverhalt, der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen treffen, um unter Berücksichtigung der in Art. 32 Abs. 1 [X.] genannten Beurteilungskriterien ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Zudem zählt Art. 32 Abs. 2 [X.] in nicht abschließender Weise eine Reihe von Kriterien auf, die für die Bewertung des angemessenen Schutzniveaus im Hinblick auf die mit der betreffenden Verarbeitung verbundenen Risiken relevant sind.

Aus Art. 32 Abs. 1 und 2 [X.] ergibt sich, dass die Geeignetheit solcher technischen und organisatorischen Maßnahmen in zwei Schritten zu beurteilen ist. Zum einen sind die von der betreffenden Verarbeitung ausgehenden Risiken einer Verletzung des Schutzes personenbezogener Daten und ihre möglichen Folgen für die Rechte und Freiheiten natürlicher Personen zu ermitteln. Diese Beurteilung muss konkret unter Berücksichtigung der Eintrittswahrscheinlichkeit und Schwere der ermittelten Risiken erfolgen. Zum anderen ist zu prüfen, ob die vom Verantwortlichen getroffenen Maßnahmen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke dieser Verarbeitung diesen Risiken angemessen sind.

Zwar verfügt der Verantwortliche über einen gewissen Entscheidungsspielraum bei der Festlegung geeigneter technischer und organisatorischer Maßnahmen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, wie es Art. 32 Abs. 1 [X.] verlangt. Gleichwohl muss ein nationales Gericht die komplexe Beurteilung, die der Verantwortliche vorgenommen hat, bewerten können und sich dabei vergewissern können, dass die vom Verantwortlichen gewählten Maßnahmen geeignet sind, ein solches Sicherheitsniveau zu gewährleisten.

Eine solche Auslegung ist im Übrigen geeignet, zum einen die Wirksamkeit des Schutzes personenbezogener Daten, die in den Erwägungsgründen 11 und 74 der [X.] hervorgehoben wird, und zum anderen das durch Art. 79 Abs. 1 in Verbindung mit dem vierten Erwägungsgrund der [X.] geschützte Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche zu gewährleisten.

Daher darf sich ein nationales Gericht bei der Kontrolle der Geeignetheit der nach Art. 32 [X.] getroffenen technischen und organisatorischen Maßnahmen nicht auf die Feststellung beschränken, in welcher Weise der für die betreffende Verarbeitung Verantwortliche seinen Verpflichtungen aus diesem Artikel nachkommen wollte, sondern muss eine materielle Prüfung dieser Maßnahmen anhand aller in diesem Artikel genannten Kriterien sowie der Umstände des Einzelfalls und der dem Gericht dafür zur Verfügung stehenden Beweismittel vornehmen.

Eine solche Prüfung erfordert eine konkrete Untersuchung sowohl der Art als auch des Inhalts der vom Verantwortlichen getroffenen Maßnahmen, der Art und Weise, in der diese Maßnahmen angewandt wurden, und ihrer praktischen Auswirkungen auf das Sicherheitsniveau, das der Verantwortliche in Anbetracht der mit dieser Verarbeitung verbundenen Risiken zu gewährleisten hatte.

Daher ist auf die zweite Frage zu antworten, dass Art. 32 [X.] dahin auszulegen ist, dass die Geeignetheit der vom Verantwortlichen nach diesem Artikel getroffenen technischen und organisatorischen Maßnahmen von den nationalen Gerichten konkret zu beurteilen ist, wobei die mit der betreffenden Verarbeitung verbundenen Risiken zu berücksichtigen sind und zu beurteilen ist, ob Art, Inhalt und Umsetzung dieser Maßnahmen diesen Risiken angemessen sind.

Mit dem ersten Teil seiner dritten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob der in Art. 5 Abs. 2 [X.] formulierte und in Art. 24 [X.] konkretisierte Grundsatz der Rechenschaftspflicht des Verantwortlichen dahin auszulegen ist, dass im Rahmen einer auf Art. 82 [X.] gestützten Schadenersatzklage der für die betreffende Verarbeitung Verantwortliche die Beweislast dafür trägt, dass die von ihm getroffenen Sicherheitsmaßnahmen im Sinne von Art. 32 [X.] geeignet waren.

In diesem Zusammenhang ist erstens darauf hinzuweisen, dass Art. 5 Abs. 2 [X.] einen Grundsatz der Rechenschaftspflicht aufstellt, nach dem der Verantwortliche für die Einhaltung der in Art. 5 Abs. 1 [X.] niedergelegten Grundsätze für die Verarbeitung personenbezogener Daten verantwortlich ist, und der vorsieht, dass dieser Verantwortliche nachweisen können muss, dass diese Grundsätze eingehalten werden.

Insbesondere muss der Verantwortliche gemäß dem Grundsatz der Integrität und Vertraulichkeit personenbezogener Daten, der in Art. 5 Abs. 1 Buchst. f [X.] festgelegt ist, sicherstellen, dass solche Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen, und er muss nachweisen können, dass dieser Grundsatz beachtet wird.

Ferner ist darauf hinzuweisen, dass sowohl Art. 24 Abs. 1 in Verbindung mit dem 74. Erwägungsgrund der [X.] als auch Art. 32 Abs. 1 [X.] den Verantwortlichen verpflichten, in Bezug auf jedwede Verarbeitung personenbezogener Daten, die durch ihn oder in seinem Namen erfolgt, geeignete technische und organisatorische Maßnahmen umzusetzen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß der [X.] erfolgt.

Aus dem Wortlaut von Art. 5 Abs. 2, Art. 24 Abs. 1 und Art. 32 Abs. 1 [X.] geht eindeutig hervor, dass die Beweislast dafür, dass personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit dieser Daten im Sinne von Art. 5 Abs. 1 Buchst. f und Art. 32 [X.] gewährleistet, dem für die betreffende Verarbeitung Verantwortlichen obliegt (vgl. entsprechend Urteile vom 4. Mai 2023, [X.] [Elektronisches Gerichtsfach], C‑60/22, [X.]:[X.], Rn. 52 und 53, und vom 4. Juli 2023, [X.] u. a. [Allgemeine Nutzungsbedingungen eines [X.] Netzwerks], [X.]/21, [X.]:[X.], Rn. 95).

Diese drei Artikel formulieren somit eine allgemein anwendbare Regel, die mangels gegenteiliger Anhaltspunkte in der [X.] auch im Rahmen einer auf Art. 82 [X.] gestützten Schadenersatzklage anzuwenden ist.

Zweitens ist festzustellen, dass die vorstehende wörtliche Auslegung bestätigt wird, wenn man die mit der [X.] verfolgten Ziele berücksichtigt.

Da zum einen das von der [X.] angestrebte Schutzniveau von den Sicherheitsmaßnahmen abhängt, die von den für die Verarbeitung dieser Daten Verantwortlichen getroffen werden, müssen diese – mittels der ihnen obliegenden Beweislast für die Geeignetheit dieser Maßnahmen – dazu angehalten werden, alles zu unternehmen, um Verarbeitungsvorgänge zu verhindern, die nicht im Einklang mit der [X.] stehen.

Läge zum anderen die Beweislast für die Geeignetheit dieser Maßnahmen bei den betroffenen Personen im Sinne von Art. 4 Nr. 1 [X.], folgte daraus, dass dem in Art. 82 Abs. 1 [X.] vorgesehenen Schadenersatzanspruch ein erheblicher Teil seiner praktischen Wirksamkeit genommen würde, obwohl der [X.]sgesetzgeber, wie aus dem elften Erwägungsgrund der [X.] hervorgeht, im Vergleich zu den vor Erlass der [X.] geltenden Bestimmungen sowohl die Rechte dieser Personen stärken als auch die Verpflichtungen der Verantwortlichen verschärfen wollte.

Daher ist auf den ersten Teil der dritten Frage zu antworten, dass der in Art. 5 Abs. 2 [X.] formulierte und in Art. 24 [X.] konkretisierte Grundsatz der Rechenschaftspflicht des Verantwortlichen dahin auszulegen ist, dass im Rahmen einer auf Art. 82 [X.] gestützten Schadenersatzklage der für die betreffende Verarbeitung Verantwortliche die Beweislast dafür trägt, dass die von ihm getroffenen Sicherheitsmaßnahmen im Sinne von Art. 32 [X.] geeignet waren.

Mit dem zweiten Teil seiner dritten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 32 [X.] und der unionsrechtliche [X.] dahin auszulegen sind, dass für die Beurteilung der Geeignetheit der Sicherheitsmaßnahmen, die der Verantwortliche nach diesem Artikel getroffen hat, ein gerichtliches Sachverständigengutachten ein notwendiges und ausreichendes Beweismittel ist.

Insoweit ist darauf hinzuweisen, dass es nach ständiger Rechtsprechung mangels einschlägiger [X.]sregeln nach dem Grundsatz der Verfahrensautonomie Sache der innerstaatlichen Rechtsordnung jedes Mitgliedstaats ist, die verfahrensrechtlichen Modalitäten der Rechtsbehelfe, die zum Schutz der Rechte der Bürger bestimmt sind, festzulegen, vorausgesetzt allerdings, dass diese Modalitäten bei unter das [X.]srecht fallenden Sachverhalten nicht ungünstiger sind als diejenigen, die gleichartige Sachverhalte regeln, die dem innerstaatlichen Recht unterliegen (Äquivalenzgrundsatz), und dass sie die Ausübung der durch das [X.]srecht verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren ([X.]) (Urteil vom 4. Mai 2023, [X.] [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], [X.], [X.]:[X.], Rn. 53 und die dort angeführte Rechtsprechung).

Im vorliegenden Fall ist festzustellen, dass die [X.] keine Regeln über die Zulassung und den Beweiswert eines Beweismittels wie eines gerichtlichen Sachverständigengutachtens enthält, die von den nationalen Gerichten anzuwenden sind, die mit einer auf Art. 82 [X.] gestützten Schadenersatzklage befasst sind und die Geeignetheit der von dem für die betreffende Verarbeitung Verantwortlichen getroffenen Sicherheitsmaßnahmen im Hinblick auf Art. 32 [X.] zu beurteilen haben. Daher ist es nach den Ausführungen in der vorstehenden Randnummer des vorliegenden Urteils und in Ermangelung einschlägiger unionsrechtlicher Vorschriften Aufgabe der innerstaatlichen Rechtsordnung des einzelnen Mitgliedstaats, die Ausgestaltung von Klageverfahren, die den Schutz der dem Einzelnen aus Art. 82 [X.] erwachsenden Rechte gewährleisten sollen, und insbesondere die Regeln für die Beweismittel, anhand deren die Geeignetheit solcher Maßnahmen in diesem Zusammenhang bewertet werden kann, festzulegen, wobei der Äquivalenz- und der [X.] zu beachten sind (vgl. entsprechend Urteile vom 21. Juni 2022, [X.], [X.]/19, [X.]:[X.], Rn. 297, und vom 4. Mai 2023, [X.] [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], [X.], [X.]:[X.], Rn. 54).

Im vorliegenden Verfahren hat der Gerichtshof keinen Anhaltspunkt für Zweifel an der Beachtung des Äquivalenzgrundsatzes. Etwas anderes gilt für die Vereinbarkeit mit dem [X.], da schon der Wortlaut des zweiten Teils der dritten Frage die Einholung eines gerichtlichen Sachverständigengutachtens als „notwendiges und ausreichendes Beweismittel“ darstellt.

Insbesondere könnte eine nationale Verfahrensvorschrift, nach der es generell „notwendig“ wäre, dass die nationalen Gerichte ein gerichtliches Sachverständigengutachten anordnen, gegen den [X.] verstoßen. Ein genereller Rückgriff auf ein solches Gutachten kann sich nämlich in Anbetracht anderer Beweise, die dem angerufenen Gericht vorliegen, als überflüssig erweisen; wie die [X.] Regierung in ihren schriftlichen Erklärungen ausgeführt hat, gilt dies insbesondere im Hinblick auf Ergebnisse einer Kontrolle der Einhaltung der Maßnahmen zum Schutz personenbezogener Daten, die von einer unabhängigen und gesetzlich eingerichteten Behörde durchgeführt wurde, sofern diese Kontrolle erst kürzlich stattgefunden hat, da diese Maßnahmen gemäß Art. 24 Abs. 1 [X.] erforderlichenfalls zu überprüfen und zu aktualisieren sind.

Zudem könnte, wie die [X.] in ihren schriftlichen Erklärungen ausgeführt hat, der [X.] verletzt sein, wenn der Begriff „ausreichend“ dahin zu verstehen wäre, dass ein nationales Gericht ausschließlich oder automatisch aus einem gerichtlichen Sachverständigengutachten abzuleiten hätte, dass die von dem für die betreffende Verarbeitung Verantwortlichen getroffenen Sicherheitsmaßnahmen „geeignet“ im Sinne von Art. 32 [X.] sind. Die Wahrung der durch diese Verordnung eingeräumten Rechte, die mit dem [X.] bezweckt wird, und insbesondere das durch Art. 79 Abs. 1 [X.] garantierte Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen den Verantwortlichen erfordern indes, dass ein unparteiisches Gericht eine objektive Beurteilung der Geeignetheit der betreffenden Maßnahmen vornimmt, anstatt sich auf eine solche Ableitung zu beschränken (vgl. in diesem Sinne Urteil vom 12. Januar 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, [X.]/21, [X.]:[X.], Rn. 50).

Nach alledem ist auf den zweiten Teil der dritten Frage zu antworten, dass Art. 32 [X.] und der unionsrechtliche [X.] dahin auszulegen sind, dass für die Beurteilung der Geeignetheit der Sicherheitsmaßnahmen, die der Verantwortliche nach diesem Artikel getroffen hat, ein gerichtliches Sachverständigengutachten kein generell notwendiges und ausreichendes Beweismittel sein kann.

Mit seiner vierten Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 Abs. 3 [X.] dahin auszulegen ist, dass der Verantwortliche von seiner nach Art. 82 Abs. 1 und 2 [X.] bestehenden Pflicht zum Ersatz des einer Person entstandenen Schadens allein deshalb befreit ist, weil dieser Schaden die Folge einer unbefugten Offenlegung von bzw. eines unbefugten Zugangs zu personenbezogenen Daten durch „Dritte“ im Sinne von Art. 4 Nr. 10 [X.] ist.

Zunächst ist klarzustellen, dass sich aus Art. 4 Nr. 10 [X.] ergibt, dass „Dritte“ insbesondere andere Personen sind als diejenigen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten. Diese Definition umfasst Personen wie die in der Vorlagefrage genannten, die keine Bediensteten des Verantwortlichen sind und nicht von diesem kontrolliert werden.

Sodann ist erstens darauf hinzuweisen, dass nach Art. 82 Abs. 2 [X.] „[j]eder an einer Verarbeitung beteiligte Verantwortliche … für den Schaden [haftet], der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde“, und nach Art. 82 Abs. 3 [X.] der Verantwortliche oder, je nach Sachverhalt, der Auftragsverarbeiter von dieser Haftung befreit wird, „wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist“.

Zudem heißt es in den ersten beiden Sätzen des 146. [X.] der [X.], der sich speziell auf Art. 82 [X.] bezieht: „Der Verantwortliche oder der Auftragsverarbeiter sollte Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, ersetzen“ und „von seiner Haftung befreit werden, wenn er nachweist, dass er in keiner Weise für den Schaden verantwortlich ist“.

Aus diesen Bestimmungen ergibt sich zum einen, dass der für die betreffende Verarbeitung Verantwortliche grundsätzlich einen Schaden ersetzen muss, der durch einen mit dieser Verarbeitung im Zusammenhang stehenden Verstoß gegen die [X.] verursacht wurde, und zum anderen, dass er nur dann von seiner Haftung befreit werden kann, wenn er den Nachweis erbringt, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.

Wie die ausdrückliche Hinzufügung des Ausdrucks „in keinerlei Hinsicht“ im Lauf des Gesetzgebungsverfahrens zeigt, müssen die Umstände, unter denen der Verantwortliche von der ihm nach Art. 82 [X.] drohenden zivilrechtlichen Haftung befreit werden kann, streng auf solche beschränkt werden, unter denen der Verantwortliche nachweisen kann, dass er selbst nicht für den Schaden verantwortlich ist.

Wenn, wie im vorliegenden Fall, eine Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 [X.] von [X.] und damit von „[X.]“ im Sinne von Art. 4 Nr. 10 [X.] begangen wurde, kann diese Verletzung dem Verantwortlichen nur dann zugerechnet werden, wenn dieser die Verletzung unter Missachtung einer Verpflichtung aus der [X.], insbesondere der Verpflichtung zum Datenschutz, die ihm nach Art. 5 Abs. 1 Buchst. f, Art. 24 und Art. 32 [X.] obliegt, ermöglicht hat.

Somit kann sich der Verantwortliche bei einer Verletzung des Schutzes personenbezogener Daten durch einen [X.] auf der Grundlage von Art. 82 Abs. 3 [X.] von seiner Haftung befreien, indem er nachweist, dass es keinen Kausalzusammenhang zwischen der etwaigen Verletzung der Verpflichtung zum Datenschutz durch ihn und dem der natürlichen Person entstandenen Schaden gibt.

Zweitens steht die vorstehende Auslegung von Art. 82 Abs. 3 [X.] auch im Einklang mit dem in den Erwägungsgründen 10 und 11 der [X.] formulierten Ziel der [X.], ein hohes Schutzniveau für natürliche Personen bei der Verarbeitung ihrer personenbezogenen Daten zu gewährleisten.

Nach alledem ist auf die vierte Frage zu antworten, dass Art. 82 Abs. 3 [X.] dahin auszulegen ist, dass der Verantwortliche von seiner nach Art. 82 Abs. 1 und 2 [X.] bestehenden Pflicht zum Ersatz des einer Person entstandenen Schadens nicht allein deshalb befreit werden kann, weil dieser Schaden die Folge einer unbefugten Offenlegung von bzw. eines unbefugten Zugangs zu personenbezogenen Daten durch „Dritte“ im Sinne von Art. 4 Nr. 10 [X.] ist, wobei der Verantwortliche dann nachweisen muss, dass er in keinerlei Hinsicht für den Umstand, durch den der betreffende Schaden eingetreten ist, verantwortlich ist.

Mit seiner fünften Frage möchte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 Abs. 1 [X.] dahin auszulegen ist, dass allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die [X.] befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, einen „immateriellen Schaden“ im Sinne dieser Bestimmung darstellen kann.

Was erstens den Wortlaut von Art. 82 Abs. 1 [X.] betrifft, ist darauf hinzuweisen, dass dieser Folgendes vorsieht: „Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“

Insoweit hat der Gerichtshof festgestellt, dass aus dem Wortlaut von Art. 82 Abs. 1 [X.] klar hervorgeht, dass das Vorliegen eines „Schadens“, der entstanden ist, eine der Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadenersatzanspruch darstellt, ebenso wie das Vorliegen eines Verstoßes gegen die [X.] und eines Kausalzusammenhangs zwischen dem Schaden und dem Verstoß, wobei diese drei Voraussetzungen kumulativ sind (Urteil vom 4. Mai 2023, [X.] [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], [X.], [X.]:[X.], Rn. 32).

Darüber hinaus hat der Gerichtshof Art. 82 Abs. 1 [X.] auf der Grundlage von Erwägungen zu Wortlaut, Systematik sowie Sinn und Zweck dahin ausgelegt, dass er einer nationalen Regelung oder Praxis entgegensteht, die den Ersatz eines „immateriellen Schadens“ im Sinne dieser Bestimmung davon abhängig macht, dass der der betroffenen Person entstandene Schaden einen bestimmten Grad an Erheblichkeit erreicht hat (Urteil vom 4. Mai 2023, [X.] [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], [X.], [X.]:[X.], Rn. 51).

Weiter ist im vorliegenden Fall festzustellen, dass Art. 82 Abs. 1 [X.] nicht danach unterscheidet, ob der infolge eines erwiesenen Verstoßes gegen die Bestimmungen der [X.] von der betroffenen Person behauptete „immaterielle Schaden“ mit einer zum Zeitpunkt ihres [X.] bereits erfolgten missbräuchlichen Verwendung ihrer personenbezogenen Daten durch Dritte verbunden ist oder ob er mit ihrer Angst verknüpft ist, dass eine solche Verwendung in Zukunft erfolgen könnte.

Somit schließt der Wortlaut von Art. 82 Abs. 1 [X.] nicht aus, dass der in dieser Bestimmung enthaltene Begriff „immaterieller Schaden“ eine Situation wie die vom vorlegenden Gericht beschriebene umfasst, in der sich die betroffene Person, um Schadenersatz nach dieser Bestimmung zu erhalten, auf ihre Befürchtung beruft, dass ihre personenbezogenen Daten aufgrund des eingetretenen Verstoßes gegen die [X.] in Zukunft von [X.] missbräuchlich verwendet werden.

Diese wörtliche Auslegung wird zweitens durch den 146. Erwägungsgrund der [X.] bestätigt, der speziell den in Art. 82 Abs. 1 [X.] vorgesehenen Schadenersatzanspruch betrifft und in dessen drittem Satz es heißt, dass „[d]er Begriff des Schadens … im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden [sollte], die den Zielen dieser Verordnung in vollem Umfang entspricht.“ Eine Auslegung des Begriffs „immaterieller Schaden“ im Sinne von Art. 82 Abs. 1 [X.], die nicht die Fälle umfasst, in denen die von einem Verstoß gegen die [X.] betroffene Person sich auf die Befürchtung beruft, dass ihre eigenen personenbezogenen Daten in Zukunft missbräuchlich verwendet werden, entspräche jedoch nicht einer weiten Auslegung dieses Begriffs, wie sie vom [X.]sgesetzgeber beabsichtigt ist (vgl. entsprechend Urteil vom 4. Mai 2023, [X.] [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], [X.], [X.]:[X.], Rn. 37 und 46).

Zudem heißt es im ersten Satz des 85. [X.] der [X.], dass „[e]ine Verletzung des Schutzes personenbezogener Daten … – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen [kann], wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder ‑betrug, finanzielle Verluste … oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person“. Aus dieser beispielhaften Aufzählung der „Schäden“, die den betroffenen Personen entstehen können, geht hervor, dass der [X.]sgesetzgeber unter den Begriff „Schaden“ insbesondere auch den bloßen „Verlust der Kontrolle“ über ihre eigenen Daten infolge eines Verstoßes gegen die [X.] fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte.

[X.]s und letztens wird die in Rn. 80 des vorliegenden Urteils vorgenommene Auslegung durch die Ziele der [X.] gestützt, denen die Definition des Begriffs „Schaden“ in vollem Umfang entsprechen muss, wie es im dritten Satz des 146. [X.] der [X.] heißt. Eine Auslegung von Art. 82 Abs. 1 [X.] dahin, dass der Begriff „immaterieller Schaden“ im Sinne dieser Bestimmung keine Situationen umfasst, in denen sich eine betroffene Person nur auf ihre Befürchtung beruft, dass ihre Daten in Zukunft von [X.] missbräuchlich verwendet werden, wäre jedoch nicht mit der Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten in der [X.] vereinbar, die mit diesem Rechtsakt bezweckt wird.

Allerdings ist darauf hinzuweisen, dass eine Person, die von einem Verstoß gegen die [X.] betroffen ist, der für sie negative Folgen gehabt hat, nachweisen muss, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 [X.] darstellen (vgl. in diesem Sinne Urteil vom 4. Mai 2023, [X.] [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], [X.], [X.]:[X.], Rn. 50).

Insbesondere muss das angerufene nationale Gericht, wenn sich eine Person, die auf dieser Grundlage Schadenersatz fordert, auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann.

Nach alledem ist auf die fünfte Frage zu antworten, dass Art. 82 Abs. 1 [X.] dahin auszulegen ist, dass allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die [X.] befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, einen „immateriellen Schaden“ im Sinne dieser Bestimmung darstellen kann.

Für die Beteiligten des Ausgangsverfahrens ist das Verfahren Teil des beim vorlegenden Gericht anhängigen Verfahrens; die Kostenentscheidung ist daher Sache dieses Gerichts. Die Auslagen anderer Beteiligter für die Abgabe von Erklärungen vor dem Gerichtshof sind nicht erstattungsfähig.

Aus diesen Gründen hat der Gerichtshof ([X.]) für Recht erkannt:

[X.]Die Art. 24 und 32 der Verordnung ([X.]) 2016/679 des [X.] und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/[X.] ([X.])

sind dahin auszulegen, dass

eine unbefugte Offenlegung von bzw. ein unbefugter Zugang zu personenbezogenen Daten durch „Dritte“ im Sinne von Art. 4 Nr. 10 dieser Verordnung allein nicht ausreicht, um anzunehmen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht „geeignet“ im Sinne der Art. 24 und 32 dieser Verordnung waren.

2. Art. 32 der Verordnung 2016/679

ist dahin auszulegen, dass

die Geeignetheit der vom Verantwortlichen nach diesem Artikel getroffenen technischen und organisatorischen Maßnahmen von den nationalen Gerichten konkret zu beurteilen ist, wobei die mit der betreffenden Verarbeitung verbundenen Risiken zu berücksichtigen sind und zu beurteilen ist, ob Art, Inhalt und Umsetzung dieser Maßnahmen diesen Risiken angemessen sind.

3. Der in Art. 5 Abs. 2 der Verordnung 2016/679 formulierte und in Art. 24 dieser Verordnung konkretisierte Grundsatz der Rechenschaftspflicht des Verantwortlichen

ist dahin auszulegen, dass

im Rahmen einer auf Art. 82 der Verordnung gestützten Schadenersatzklage der für die betreffende Verarbeitung Verantwortliche die Beweislast dafür trägt, dass die von ihm getroffenen Sicherheitsmaßnahmen im Sinne von Art. 32 dieser Verordnung geeignet waren.

4. Art. 32 der Verordnung 2016/679 und der unionsrechtliche [X.]

sind dahin auszulegen, dass

für die Beurteilung der Geeignetheit der Sicherheitsmaßnahmen, die der Verantwortliche nach diesem Artikel getroffen hat, ein gerichtliches Sachverständigengutachten kein generell notwendiges und ausreichendes Beweismittel sein kann.

[X.]Art. 82 Abs. 3 der Verordnung 2016/679

ist dahin auszulegen, dass

der Verantwortliche von seiner nach Art. 82 Abs. 1 und 2 dieser Verordnung bestehenden Pflicht zum Ersatz des einer Person entstandenen Schadens nicht allein deshalb befreit werden kann, weil dieser Schaden die Folge einer unbefugten Offenlegung von bzw. eines unbefugten Zugangs zu personenbezogenen Daten durch „Dritte“ im Sinne von Art. 4 Nr. 10 dieser Verordnung ist, wobei der Verantwortliche dann nachweisen muss, dass er in keinerlei Hinsicht für den Umstand, durch den der betreffende Schaden eingetreten ist, verantwortlich ist.

6. Art. 82 Abs. 1 der Verordnung 2016/679

ist dahin auszulegen, dass

allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen diese Verordnung befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, einen „immateriellen Schaden“ im Sinne dieser Bestimmung darstellen kann.

Unterschriften