SCHLUSSANTRÄGE DES GENERALANWALTS

ANTHONY COLLINS

vom 26. Oktober 2023(1)

Verbundene Rechtssachen C‑182/22 und C‑189/22

JU (C‑182/22),

SO (C‑189/22)

gegen

Scalable Capital GmbH

(Vorabentscheidungsersuchen des Amtsgerichts München [Deutschland])

„Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 82 Abs. 1 – Anspruch auf Ersatz des Schadens, der durch eine unter Verstoß gegen diese Verordnung erfolgte Datenverarbeitung verursacht worden ist – Immaterieller Schaden – Datendiebstahl – Identitätsdiebstahl oder ‑betrug“

I.      Einleitung

1.        In zwei weitgehend gleichgelagerten Klagen, die von JU gegen die Scalable Capital GmbH (im Folgenden: Scalable Capital) (Rechtssache C‑182/22) und von SO gegen Scalable Capital (Rechtssache C‑189/22) erhoben wurden, machen die Kläger immateriellen Schadensersatz wegen angeblichen Schmerzes und angeblichen Leidens aufgrund dessen, was das vorlegende Gericht als Diebstahl(2) ihrer in einer von Scalable Capital betriebenen Trading-App hinterlegten personenbezogenen Daten durch unbekannte Dritte bezeichnet, geltend. Die Dritten haben die Daten bislang nicht zu betrügerischen oder anderen Zwecken verwendet. Das Amtsgericht München (Deutschland) ersucht den Gerichtshof um Hinweise zur Auslegung des Begriffs des immateriellen Schadens in Art. 82 der Verordnung (EU) 2016/679(3) und zu den Voraussetzungen, unter denen ein solcher Schadensersatz gewährt wird. Es möchte insbesondere wissen, ob der Diebstahl dieser Daten einen „Identitätsdiebstahl“ darstellt, auf den im 75. Erwägungsgrund der DSGVO Bezug genommen wird.

II.    Rechtlicher Rahmen – Unionsrecht

2.        Im 75. Erwägungsgrund der DSGVO heißt es:

„Die Risiken für die Rechte und Freiheiten natürlicher Personen – mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere – können aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einem physischen, materiellen oder immateriellen Schaden führen könnte, insbesondere wenn die Verarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder ‑betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann …“

3.        Der 85. Erwägungsgrund der DSGVO bestimmt:

„Eine Verletzung des Schutzes personenbezogener Daten kann – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder ‑betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person. …“

4.        Im 146. Erwägungsgrund der DSGVO heißt es:

„Der Verantwortliche oder der Auftragsverarbeiter sollte Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, ersetzen. … Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht. … Die betroffenen Personen sollten einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. …“

5.        Art. 82 („Haftung und Recht auf Schadenersatz“) der DSGVO bestimmt:

„(1)      Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

(2)      Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.

(3)      Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Abs. 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.

…“

III. Ausgangsverfahren und Vorlagefragen

6.        JU und SO eröffneten Anlegerkonten bei einer Trading-App, die von Scalable Capital betrieben wurde. Um sich zu authentifizieren, hinterlegten beide personenbezogene Daten in der App, u. a. ihre Namen, Geburtsdaten, Post- und E‑Mail-Adressen sowie digitale Kopien ihrer Personalausweise(4). Es ist unstreitig, dass unbekannte Straftäter diese Daten gestohlen haben.

7.        Das Amtsgericht München (Deutschland) ist der Auffassung, dass die gestohlenen Daten von einer über Belanglosigkeit hinausgehenden Sensitivität seien und dass JU und SO Anspruch auf Schadensersatz nach Art. 82 der DSGVO hätten. Weil die Höhe des JU und SO zuzusprechenden Schadensersatzes von der Auslegung von Art. 82 der DSGVO abhänge, hat das Amtsgericht München beschlossen, das Verfahren auszusetzen und dem Gerichtshof folgende Fragen zur Vorabentscheidung vorzulegen:

1.      Ist Art. 82 der DSGVO dahin auszulegen, dass dem Schadensersatzanspruch auch im Rahmen der Bemessung seiner Höhe kein Sanktionscharakter, insbesondere keine generelle oder spezielle Abschreckungsfunktion, zukommt, sondern der Anspruch auf Schadensersatz nur eine Ausgleichs- und unter Umständen Genugtuungsfunktion hat?

2.a      Ist für die Bemessung des immateriellen Schadensersatzanspruchs als Verständnis davon auszugehen, dass der Schadensersatzanspruch auch eine individuelle Genugtuungsfunktion hat – hier verstanden als das im Privaten des Verletzten bleibende Interesse, das verursachende Verhalten geahndet zu sehen, oder kommt dem Schadensersatzanspruch nur eine Ausgleichsfunktion zu – hier verstanden als die Funktion, erlittene Beeinträchtigungen zu kompensieren?

2.b.1      Wenn davon auszugehen ist, dass dem immateriellen Schadensersatzanspruch sowohl Ausgleichs- als auch Genugtuungsfunktion zukommt: Ist bei seiner Bemessung davon auszugehen, dass die Ausgleichsfunktion einen strukturellen oder zumindest als Regel-Ausnahmeverhältnis zu sehenden Vorrang vor der Genugtuungsfunktion hat? Führt dies dazu, dass eine Genugtuungsfunktion nur bei vorsätzlichen ober grob fahrlässigen Verletzungen in Betracht kommt?

2.b.2      Wenn dem immateriellen Schadensersatzanspruch keine Genugtuungsfunktion zukommt: Führen bei seiner Bemessung nur vorsätzliche oder grob fahrlässige Datenschutzverletzungen als Beurteilung von Verursachungsbeiträgen zu zusätzlichem Gewicht?

3.      Ist für das Verständnis des immateriellen Schadensersatzes in seiner Bemessung von einem strukturellen Rangverhältnis oder zumindest Regel-Ausnahme-Rangverhältnis auszugehen, bei dem das von einer Datenverletzung ausgehende Beeinträchtigungserleben weniger Gewicht hat als das mit einer Körperverletzung verknüpfte Beeinträchtigungs- und Schmerzerleben?

4.      Steht einem nationalen Gericht offen, wenn von einem Schaden auszugehen ist, angesichts fehlender Schwere einen materiell nur im Geringfügigen bleibenden und damit unter Umständen von Verletztenseite oder allgemein nur als symbolisch empfundenen Schadensersatz zuzusprechen?

5.      Ist für das Verständnis des immateriellen Schadensersatzes in der Beurteilung seiner Folgen davon auszugehen, dass ein Identitätsdiebstahl im Sinne des 75. Erwägungsgrundes der DSGVO erst dann vorliegt, wenn tatsächlich ein Straftäter die Identität des Betroffenen angenommen hat, sich also in irgendeiner Form als der Betroffene ausgegeben hat, oder liegt schon im Umstand, dass inzwischen Straftäter über Daten verfügen, die den Betroffenen identifizierbar machen, ein solcher Identitätsdiebstahl?

IV.    Verfahren vor dem Gerichtshof

8.        Mit Entscheidung vom 19. April 2022 hat der Präsident des Gerichtshofs die Rechtssachen C‑182/22 und C‑189/22 zu gemeinsamem schriftlichen und mündlichen Verfahren und zu gemeinsamer Entscheidung verbunden.

9.        Am 1. Juni 2022 hat der Präsident des Gerichtshofs den Antrag von Scalable Capital gemäß Art. 95 Abs. 2 der Verfahrensordnung des Gerichtshofs auf Anonymisierung des vorliegenden Verfahrens zurückgewiesen.

10.      SO, Scalable Capital, Irland und die Europäische Kommission haben schriftliche Erklärungen eingereicht.

11.      Bevor ich dem Gerichtshof auf der Grundlage seines Ersuchens eine Empfehlung geben werde, wie er die fünfte Frage beantworten sollte, werde ich zunächst die Einwände erörtern, die gegen die Zulässigkeit der Vorlagefragen erhoben wurden.

V.      Würdigung

A.      Zulässigkeit

12.      Scalable Capital ist der Auffassung, dass der Verlust der Kontrolle über personenbezogene Daten ohne weitere Folgen für die betroffene Person nicht zu einem immateriellen Schaden im Sinne von Art. 82 Abs. 1 der DSGVO führe. Der Wortlaut, die allgemeine Systematik sowie Sinn und Zweck von Art. 82 der DSGVO begründeten keine Vermutung, dass ein solcher Schaden als Folge dieses Kontrollverlusts entstehe. Das vorlegende Gericht habe daher zu Unrecht angenommen, dass JU und SO einen immateriellen Schaden erlitten hätten. Die Vorabentscheidungsersuchen seien daher für die Entscheidung der Klagen vor dem vorlegenden Gericht unerheblich und damit unzulässig.

13.      Die Kommission ist der Ansicht, dass die Erheblichkeit der fünften Frage für die Entscheidung der Klagen vor dem vorlegenden Gericht nicht klar sei. Das vorlegende Gericht verweise lediglich auf die unterschiedlichen Auslegungen der Rechtsvorschriften durch die Parteien und stelle fest, dass „ein Identitätsdiebstahl erst vor[liegt], wenn jemand die illegal gewonnenen Daten verwendet, um die Identität des Betroffenen vorzutäuschen“. Auch werde der Gerichtshof mit der fünften Frage nicht um Auslegung einer bestimmten Vorschrift der DSGVO ersucht.

14.      Nach ständiger Rechtsprechung des Gerichtshofs gilt für von einem nationalen Gericht vorgelegte Fragen zur Auslegung des Unionsrechts eine Vermutung der Entscheidungserheblichkeit. Der Gerichtshof kann die Beantwortung solcher Fragen nur ablehnen, wenn die erbetene Auslegung des Unionsrechts offensichtlich für die Gegebenheiten oder den Gegenstand des Ausgangsrechtsstreits unerheblich ist, wenn das Problem hypothetischer Natur ist oder wenn der Gerichtshof nicht über die tatsächlichen und rechtlichen Angaben verfügt, die für eine zweckdienliche Beantwortung der ihm vorgelegten Fragen erforderlich sind(5).

15.      Die Einrede von Scalable Capital gegen die Zulässigkeit aller Vorlagefragen beruht auf der von ihr geltend gemachten Auslegung von Art. 82 der DSGVO, dem Schadensersatzanspruch und dem angeblichen Fehlen eines immateriellen Schadens. Die Vorlagefragen betreffen den Anspruch betroffener Personen auf Schadensersatz nach Art. 82 der DSGVO. Die Feststellung des Vorliegens eines Schadens ist eine notwendige Voraussetzung für die Erlangung eines solchen Schadensersatzes(6). Die von Scalable Capital erhobene Einrede der Unzulässigkeit der Vorabentscheidungsersuchen betrifft daher den Inhalt der Fragen, die mit diesen Ersuchen gestellt werden. Argumente, die auf den Inhalt der in einem Vorabentscheidungsersuchen gestellten Fragen gerichtet sind, können die Zulässigkeit dieses Ersuchens naturgemäß nicht beeinträchtigen(7).

16.      Was die Einrede der Kommission gegen die Zulässigkeit der fünften Frage betrifft, so ist nicht offensichtlich, dass diese Frage entweder in keinem Zusammenhang mit den Klagen vor dem vorlegenden Gericht steht oder hypothetisch ist. Das vorlegende Gericht ist mit Schadensersatzklagen nach der DSGVO befasst. Zwischen den Parteien ist streitig, ob der Diebstahl personenbezogener Daten einen Identitätsdiebstahl darstellt, auf den der 75. Erwägungsgrund der DSGVO Bezug nimmt, oder ob es für das Vorliegen eines Identitätsdiebstahls erforderlich ist, dass „tatsächlich ein Straftäter die Identität des Betroffenen angenommen [haben muss]“(8). Die Ausführungen des vorlegenden Gerichts zu seiner fünften Frage sind zwar knapp, doch geht aus den Vorabentscheidungsersuchen hervor, dass diese Frage mit den anderen vier Fragen zusammenhängt, die das vorlegende Gericht zum Begriff des immateriellen Schadens und zum Schadensersatzanspruch nach Art. 82 der DSGVO gestellt hat.

17.      Ich empfehle dem Gerichtshof daher, die verschiedenen Einwände gegen die Zulässigkeit der vom Amtsgericht München gestellten Fragen zurückzuweisen.

B.      Begründetheit

1.      Erklärungen der Beteiligten

18.      Nach Ansicht von SO unterscheidet der 85. Erwägungsgrund der DSGVO klar zwischen Identitätsdiebstahl und Identitätsbetrug. Identitätsdiebstahl setze voraus, dass es dem Straftäter möglich sei, die Identität einer Person zu missbrauchen, indem er bei anderen einen Irrtum über diese Identität erziele. Ein Identitätsbetrug könne im Anschluss an einen Identitätsdiebstahl begangen werden. Folglich setze ein Identitätsdiebstahl nicht den tatsächlich erfolgten Missbrauch der Identität einer Person voraus. Art und Umfang der im vorliegenden Fall gestohlenen Daten würden eine Vermutung dafür begründen, dass sich ein Identitätsdiebstahl ereignet habe, der insoweit einen Schadensersatzanspruch begründe.

19.      Scalable Capital trägt vor, dass ein Identitätsdiebstahl anzunehmen sei, wenn ein Straftäter die personenbezogenen Daten einer Person missbräuchlich verwende, um deren Identität vorzutäuschen. Der Diebstahl bestimmter Daten könne zu einem Identitätsdiebstahl führen oder diesen erleichtern, stelle jedoch für sich genommen noch keinen Identitätsdiebstahl dar. Die systematische Auslegung des 75. Erwägungsgrundes der DSGVO stütze diesen Ansatz, da die übrigen in dieser Bestimmung genannten Beispiele deutlich machten, dass die Möglichkeit der Verwendung bestimmter personenbezogener Daten keinen Identitätsdiebstahl darstelle. Das Ziel von Art. 82 der DSGVO bestehe darin, Einbußen auszugleichen, die die Betroffenen tatsächlich erlitten. Eine extensive Auslegung des Begriffs des Identitätsdiebstahls liefe diesem Ziel zuwider, da eine Schadensersatzklage nach dieser Auslegung auf die abstrakte Möglichkeit eines künftigen Schadenseintritts gestützt würde.

20.      Irland macht geltend, dass sich der Begriff „Identitätsdiebstahl“ auf Umstände beziehe, unter denen eine Partei tatsächlich die Identität der Person annehme, deren Daten missbräuchlich verwendet worden seien. Für das Vorliegen eines Identitätsdiebstahls reiche es daher nicht aus, dass eine Partei im Besitz von Daten sei, mit denen eine Person identifiziert werde. Jedenfalls müsse der Ersatz eines immateriellen Schadens im Sinne von Art. 82 der DSGVO einzelfallbezogen beurteilt werden.

21.      Die Kommission führt aus, dass die DSGVO den Identitätsdiebstahl nicht definiere. In den Erwägungsgründen 75 und 85 der DSGVO werde dieser Begriff lediglich als ein Beispiel für die Verarbeitung personenbezogener Daten erwähnt, die zu einem physischen, materiellen oder immateriellen Schaden führen könne. Unter dem Identitätsdiebstahl, auf den in diesen Erwägungsgründen verwiesen werde, sei die illegale Beschaffung von Daten mit dem Zweck, die „Identität der betroffenen Person vorzutäuschen“, zu verstehen(9). Um einen Identitätsdiebstahl nachzuweisen, müsse sich die Absicht des Täters, sich als die betroffene Person ausgeben zu wollen, in konkreten Handlungen oder in Vorbereitungshandlungen hierzu widerspiegeln. Da der Schaden nach ständiger Rechtsprechung des Gerichtshofs „tatsächlich und sicher“(10) sein müsse, stelle der bloße Besitz von Daten, die die betroffene Person identifizierten, ohne dass Schritte unternommen würden, sich als diese Person auszugeben, keinen Identitätsdiebstahl dar.

2.      Würdigung

22.      Das vorlegende Gericht möchte mit seiner fünften Frage wissen, ob der einfache Diebstahl der sensiblen personenbezogenen Daten(11) einer betroffenen Person durch einen unbekannten Straftäter einen Identitätsdiebstahl darstellt, der einen Schadensersatzanspruch begründet, oder ob der Straftäter für die Annahme eines Identitätsdiebstahls die Identität der betroffenen Person tatsächlich annehmen oder zu diesem Zweck Anstrengungen unternehmen muss. Diese Frage wird im Zusammenhang mit der Feststellung gestellt, dass unbekannte Straftäter bestimmte sensible personenbezogene Daten von JU und SO aus der Trading-App von Scalable Capital gestohlen haben. Obwohl keine weitere (missbräuchliche) Verwendung der Daten erfolgt zu sein scheint, kann, da die Identität der Straftäter unbekannt ist und diese noch nicht ergriffen worden sind, eine solche künftige (missbräuchliche) Verwendung nicht ausgeschlossen werden.

23.      Art. 82 der DSGVO bestätigt allgemein(12) den Anspruch jeder betroffenen Person, der wegen eines Verstoßes gegen die DSGVO „ein materieller oder immaterieller Schaden“ entstanden ist, auf Schadensersatz und teilt die Haftung zwischen dem (den) Verantwortlichen und/oder dem (den) Auftragsverarbeiter(n) auf. Diese Bestimmung benennt weder die genaue Art noch die Form eines solchen Schadens. Die DSGVO verweist zur Definition der Bedeutung und des Anwendungsbereichs des Begriffs „immaterieller Schaden“ nicht auf das Recht der Mitgliedstaaten(13). Dieser Begriff ist daher als autonomer Begriff des Unionsrechts zu behandeln und in allen Mitgliedstaaten einheitlich auszulegen(14).

24.      Nach Art. 82 der DSGVO ist Schadensersatz zu leisten, wenn der Nachweis eines Verstoßes gegen die DSGVO, eines „tatsächlich erlittenen Schadens“ und eines Kausalzusammenhangs zwischen diesem Verstoß und diesem Schaden erbracht wird(15). Die DSGVO sieht kein System der verschuldensunabhängigen Haftung vor(16). Die Ausgleichsfunktion der durch Art. 82 Abs. 1 der DSGVO eingeführten Regelung schließt auch den Zuspruch von Strafschadensersatz aus(17). Eine solche Entschädigung muss vollständig und wirksam sein und damit „den aufgrund des Verstoßes gegen [die DSGVO] konkret erlittenen Schaden in vollem Umfang ausgleichen“(18). Der immaterielle Schaden, den die betroffene Person erlitten hat, braucht keinen bestimmten Grad an Erheblichkeit zu erreichen(19). Auch wenn es keine Geringfügigkeitsschwelle für die Höhe des immateriellen Schadens gibt, bedarf es eindeutiger und präziser Beweise dafür, dass die betroffene Person einen solchen Schaden erlitten hat. Ein potenzieller oder hypothetischer Schaden(20) oder die bloße Beunruhigung wegen des Diebstahls der eigenen personenbezogenen Daten reicht nicht aus.

25.      Art. 82 Abs. 3 der DSGVO befreit den Verantwortlichen oder den Auftragsverarbeiter von der Haftung, „wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist“. Der Gerichtshof hatte bisher noch keine Gelegenheit, Art. 82 Abs. 3 der DSGVO ausführlich zu prüfen. Eine wörtliche Auslegung dieser Bestimmung scheint darauf hinauszulaufen, dass jedes fahrlässige (Mit‑)Verschulden oder Versehen des Verantwortlichen oder des Auftragsverarbeiters ausreicht, um die Anwendung der Befreiung auszuschließen. Zudem kann die dem (den) Verantwortlichen oder dem (den) Auftragsverarbeiter(n), der (die) von der Befreiung Gebrauch machen möchte(n), nach dieser Bestimmung obliegende Beweislast(21) die Umsetzung fortlaufender Maßnahmen zur Vorbeugung gegen Datenschutzverletzungen auferlegen(22).

26.      Der Diebstahl der personenbezogenen Daten einer betroffenen Person begründet einen Anspruch auf Ersatz des immateriellen Schadens nach Art. 82 Abs. 1 der DSGVO, wenn die drei im Urteil Österreichische Post(23) aufgestellten Voraussetzungen erfüllt sind. Der siebte Erwägungsgrund der DSGVO bestimmt: „Natürliche Personen sollten die Kontrolle über ihre eigenen Daten besitzen.“ Der Umstand, dass betroffene Personen „daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren“(24), oder dass natürliche Personen die „Kontrolle über ihre personenbezogenen Daten“(25) verlieren, kann zu einem immateriellen Schaden führen. Dies ist der Kontext, in dem das vorlegende Gericht fragt, ob der Diebstahl personenbezogener Daten einen Identitätsdiebstahl darstellt.

27.      Die operativen Bestimmungen der DSGVO erwähnen den Identitätsdiebstahl nicht und definieren ihn auch nicht. Die Erwägungsgründe 75 und 85 der DSGVO erwähnen den „Identitätsdiebstahl oder ‑betrug“ nur. Der 75. Erwägungsgrund nennt in einer nicht erschöpfenden Liste von Beispielen(26)den „Identitätsdiebstahl oder ‑betrug“ als ein Beispiel für die Risiken für die Ausübung der Rechte und Freiheiten natürlicher Personen aufgrund der Verarbeitung ihrer personenbezogenen Daten. In ähnlicher Weise erwähnt der 85. Erwägungsgrund der DSGVO den „Identitätsdiebstahl oder ‑betrug“ als ein Beispiel(27)für den Schaden, der durch das Versäumnis entsteht, auf eine Verletzung des Schutzes personenbezogener Daten rechtzeitig und angemessen zu reagieren(28).

28.      In einer Reihe von Erwägungsgründen(29) und Bestimmungen(30) in anderen Rechtsvorschriften der Union werden Begriffe wie „Identitätsdiebstahl“(31), „Identitätsbetrug“ und „Identitätsdiebstahl oder ‑betrug“ erwähnt(32). Ich habe keine Bestimmung des Unionsrechts gefunden, in der die diese Begriffe definiert werden(33). Der Unionsgesetzgeber nennt diese Begriffe daher beispielhaft(34).

29.      Dies wird auch aus einer Betrachtung der verschiedenen Sprachfassungen dieser Begriffe in den Erwägungsgründen 75 und 85 der DSGVO ersichtlich. Während die deutsche (Identitätsdiebstahl oder –betrug), die englische (identity theft or fraud), die estnische (identiteedivargust või –pettust), die irische (goid aitheantais nó calaois aitheantais), die litauische (būti pavogta ar suklastota tapatybė), die niederländische (identiteitsdiefstal of –fraude), die polnische (kradzieżą tożsamości lub oszustwem dotyczącym tożsamości), die rumänische (furt sau fraudă a identității) und die slowakische (krádeži totožnosti alebo podvodu) Sprachfassung weitgehend ähnlich sind, weichen andere Sprachfassungen in unterschiedlichem Maß hiervon ab: die tschechische (krádeži či zneužití identity), die französische (vol ou une usurpation d’identité), die griechische (κατάχρηση ή υποκλοπή ταυτότητας), die portugiesische (usurpação ou roubo da identidade), die italienische (furto o usurpazione d’identità) und die spanische (usurpación de identidad o fraude). Die verschiedenen Sprachfassungen der maßgeblichen Erwägungsgründe der DSGVO deuten darauf hin, dass sich die Begriffe Identitätsdiebstahl, Identitätsbetrug, Identitätsmissbrauch, missbräuchliche Verwendung der Identität, Identitätsaneignung und Identitätsanmaßung überschneiden und dass sie zumindest zu einem gewissen Grad als austauschbar angesehen werden können. Folglich unterscheiden die Erwägungsgründe 75 und 85 der DSGVO entgegen dem in Nr. 18 der vorliegenden Schlussanträge dargelegten Vorbringen von SO nicht klar zwischen Identitätsdiebstahl und Identitätsbetrug.

30.      Die Erwägungsgründe 75 und 85 unterscheiden zwischen dem Beispiel des „Verlusts der Kontrolle“ oder der Unmöglichkeit, personenbezogene Daten zu „kontrollieren“, und dem Beispiel des „Identitätsdiebstahls oder ‑betrugs“. Daher stellt der Diebstahl personenbezogener Daten(35) allein selbst dann keinen Identitätsdiebstahl dar, wenn dieser Diebstahl zu einer künftigen (missbräuchlichen) Verwendung dieser Daten führen kann. Ein Identitätsdiebstahl erfordert eine zusätzliche Handlung oder einen zusätzlichen Schritt mit über den Diebstahl der personenbezogenen Daten hinausgehenden, nachteiligen Auswirkungen auf die betroffene Person(36). Wer die personenbezogenen Daten einer betroffenen Person stiehlt, muss diese Daten ohne Einwilligung der betroffenen Person (missbräuchlich) zu rechtswidrigen Zwecken verwenden oder konkrete Schritte hierzu unternehmen(37). Mit einer solchen Handlung ist typischerweise ein Betrug oder eine andere Form der Täuschung verbunden, und sie wird im Allgemeinen zur Erzielung eines finanziellen oder anderweitigen Gewinns durchgeführt oder um der betroffenen Person oder ihrer Umgebung Schaden zuzufügen(38).

31.      Aus den vorstehenden Erwägungen folgt, dass der Diebstahl personenbezogener Daten zwar keinen Identitätsdiebstahl oder ‑betrug darstellt, jedoch zur Entstehung eines immateriellen Schadens und zu einem Schadensersatzanspruch nach Art. 82 Abs. 1 der DSGVO führen kann(39). Der Nachweis eines immateriellen Schadens kann einfacher zu erbringen sein, wenn festgestellt wird, dass die betroffene Person infolge des Diebstahls ihrer personenbezogenen Daten Opfer eines Identitätsdiebstahls oder ‑betrugs geworden ist(40). Ein Anspruch auf Ersatz des immateriellen Schadens nach Art. 82 Abs. 1 der DSGVO wegen des Diebstahls personenbezogener Daten hängt jedoch nicht vom Vorliegen eines Identitätsdiebstahls oder ‑betrugs ab(41). Ein immaterieller Schaden und der Schadensersatzanspruch nach Art. 82 Abs. 1 der DSGVO sind unter Berücksichtigung aller Umstände einzelfallbezogen zu beurteilen.

VI.    Ergebnis

32.      Nach alledem schlage ich dem Gerichtshof vor, die fünfte Vorlagefrage des Amtsgerichts München (Deutschland) wie folgt zu beantworten:

Art. 82 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

ist wie folgt auszulegen:

Der Diebstahl sensibler personenbezogener Daten einer betroffenen Person durch einen unbekannten Straftäter kann zu einem Anspruch auf immateriellen Schadensersatz führen, wenn der Nachweis eines Verstoßes gegen die Datenschutz-Grundverordnung, eines konkreten erlittenen Schadens und eines Kausalzusammenhangs zwischen dem Schaden und diesem Verstoß erbracht wird. Für die Gewährung eines solchen Schadensersatzes ist es nicht erforderlich, dass der Straftäter die Identität der betroffenen Person angenommen hat, und der Besitz von Daten, die die betroffene Person identifizierbar machen, stellt für sich genommen keinen Identitätsdiebstahl dar.

1      Originalsprache: Englisch.

2      Das vorlegende Gericht gibt keine genaue rechtliche Einordnung der Handlungen der Straftäter nach nationalem Recht. Der Begriff „Diebstahl“ ist weit und kann die Veruntreuung von Daten durch Dritte umfassen.

3      Verordnung des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1) (im Folgenden: DSGVO).

4      In den Vorlagebeschlüssen heißt es auch: „Das Wertpapier-Depot wurde von einem Robo-Adviser geführt, so dass aus dem erfolgten Trading kein Profil der Risikobereitschaft des Klägers zu ersehen war.“

5      Vgl. in diesem Sinne u. a. Urteil vom 2. September 2021, OTP Jelzálogbank u. a. (C‑932/19, EU:C:2021:673, Rn. 26 und die dort angeführte Rechtsprechung).

6      Der Gerichtshof hat Art. 82 der DSGVO dahin ausgelegt, dass das Vorliegen eines „Schadens“ eine der drei Voraussetzungen für den in dieser Bestimmung vorgesehenen Schadensersatzanspruch darstellt. Der bloße Verstoß gegen die DSGVO reicht für sich genommen nicht aus, um einen Schadensersatzanspruch zu begründen. Urteil vom 4. Mai 2023, Österreichische Post (Immaterieller Schaden, der aus einer rechtswidrigen Verarbeitung von Daten resultiert) (C‑300/21, EU:C:2023:370, Rn. 32 und 42) (im Folgenden: Urteil Österreichische Post).

7      Vgl. entsprechend Urteil vom 12. Dezember 2019, Slovenské elektrárne (C‑376/18, EU:C:2019:1068, Rn. 29).

8      Vgl. Wortlaut der fünften Frage des vorlegenden Gerichts.

9      Vgl. Europäischer Datenschutzausschuss, Guidelines 01/2021 on Examples regarding Personal Data Breach Notification [Leitlinien zu Beispielen für die Meldung von Verletzungen des Schutzes personenbezogener Daten], angenommen am 14. Dezember 2021, Fassung 2.0. Abrufbar unter https://edpb_guidelines_012021_pdbnotification_adopted_en.pdf (europa.eu) (im Folgenden: Leitlinien von 2021).

10      Urteil vom 4. April 2017, Bürgerbeauftragter/Staelen (C‑337/15 P, EU:C:2017:256, Rn. 91 bis 95 und 127 bis 131).

11      Art. 4 Nr. 1 der DSGVO bestimmt, dass „personenbezogene Daten“ „alle Informationen [bezeichnen], die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ‚betroffene Person‘) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann“.

12      Vgl. 146. Erwägungsgrund der DSGVO.

13      Der Gerichtshof hat den Begriff „immaterieller Schaden“ im Kontext von Art. 82 der DSGVO nicht definiert. Ich stimme mit Generalanwalt Pitruzzella überein, dass Ärger oder Unmut darüber, dass die eigenen Daten „gehackt“ wurden, nicht ausreicht. Um mit einem solchen Anspruch Erfolg haben zu können, muss die betroffene Person nachweisen, dass ihr die Befürchtung eines Missbrauchs einen emotionalen Schaden zugefügt hat. Vgl. Schlussanträge des Generalanwalts Pitruzzella in der Rechtssache Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, Nrn. 81 bis 83).

14      Urteil Österreichische Post (Rn. 30).

15      Vgl. Art. 82 Abs. 2 der DSGVO und Urteil Österreichische Post (Rn. 32 und 50).

16      Urteil Österreichische Post (Rn. 33 und 34). Vgl. auch Schlussanträge des Generalanwalts Pitruzzella in der Rechtssache Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, Nr. 61).

17      Urteil Österreichische Post (Rn. 58). Vgl. auch Schlussanträge des Generalanwalts Campos Sánchez-Bordona in der Rechtssache Österreichische Post (Immaterieller Schaden, der aus einer rechtswidrigen Verarbeitung von Daten resultiert) (C‑300/21, EU:C:2022:756, Nrn. 27 bis 55) und des Generalanwalts Pitruzzella in der Rechtssache Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, Nr. 74).

18      Urteil Österreichische Post (Rn. 58).

19      Urteil Österreichische Post (Rn. 31 bis 33, 51 und 58). Vgl. auch 146. Erwägungsgrund der DSGVO. Vgl. im Gegensatz dazu Schlussanträge des Generalanwalts Campos Sánchez-Bordona in der Rechtssache Österreichische Post (Immaterieller Schaden, der aus einer rechtswidrigen Verarbeitung von Daten resultiert) (C‑300/21, EU:C:2022:756, Nr. 105) und des Generalanwalts Pitruzzella in der Rechtssache Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, Nr. 78).

20      Vgl. in diesem Sinne Urteil Österreichische Post (Rn. 37).

21      Es scheint, dass von dem (den) Verantwortlichen und/oder dem (den) Auftragsverarbeiter(n) verlangt werden kann, negative Beweise zu erbringen, um unter diese Befreiung zu fallen.

22      Generalanwalt Pitruzzella ist der Auffassung, dass die für Systeme öffentlicher oder privater Einrichtungen, die über eine große Menge personenbezogener Daten verfügen, Verantwortlichen zur Vermeidung der Haftung nach Art. 82 der DSGVO geeignete Maßnahmen ergreifen müssen, um insbesondere Angriffen von außen begegnen zu können: vgl. seine Schlussanträge in der Rechtssache Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:353, Nrn. 65 bis 67). Solche proaktiven Maßnahmen können mühsam und kostspielig sein. Art. 82 der DSGVO erlegt den Verantwortlichen und Auftragsverarbeitern eine hohe Sorgfaltspflicht auf.

23      Vgl. Rn. 32 und 50 dieses Urteils. Siehe auch Nr. 24 und Fn. 6 der vorliegenden Schlussanträge.

24      75. Erwägungsgrund der DSGVO.

25      85. Erwägungsgrund der DSGVO.

26      Dies ergibt sich eindeutig aus der Verwendung der Ausdrücke „können“, „könnte“ und „insbesondere“ in diesem Erwägungsgrund.

27      Dies ergibt sich eindeutig aus der Verwendung der Ausdrücke „kann“ und „wie“ in diesem Erwägungsgrund. Vgl. entsprechend Urteil vom 22. Dezember 2008, Wallentin-Hermann (C‑549/07, EU:C:2008:771, Rn. 22).

28      Art. 4 Nr. 12 der DSGVO definiert die „Verletzung des Schutzes personenbezogener Daten“ als „eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“.

29      Erwägungsgründe erleichtern die Auslegung und das Verständnis von Unionsrechtsvorschriften, indem sie u. a. die Ziele, die mit ihnen verfolgt werden, und den Kontext, in dem sie erlassen wurden, benennen. Sie tragen dazu bei, die Bedeutung mehrdeutiger Rechtsvorschriften zu ermitteln. Die Erwägungsgründe können nicht herangezogen werden, um eine Vorschrift contra legem auszulegen. Urteil vom 19. November 1998, Nilsson u. a. (C‑162/97, EU:C:1998:554, Rn. 54).

30      Vgl. z. B. Art. 86 Buchst. e des Beschlusses 2013/490/EU des Rates und der Kommission vom 22. Juli 2013 über den Abschluss des Stabilisierungs- und Assoziierungsabkommens zwischen den Europäischen Gemeinschaften und ihren Mitgliedstaaten einerseits und der Republik Serbien andererseits (ABl. 2013, L 278, S. 14) und Art. 2 Abs. 2 Buchst. b sowie Art. 21 und 25 der Verordnung (EU) 2019/817 des Europäischen Parlaments und des Rates vom 20. Mai 2019 zur Errichtung eines Rahmens für die Interoperabilität zwischen EU‑Informationssystemen in den Bereichen Grenzen und Visa und zur Änderung der Verordnungen (EG) Nr. 767/2008, (EU) 2016/399, (EU) 2017/2226, (EU) 2018/1240, (EU) 2018/1726 und (EU) 2018/1861 des Europäischen Parlaments und des Rates, der Entscheidung 2004/512/EG des Rates und des Beschlusses 2008/633/JI des Rates (ABl. 2019, L 135, S. 27).

31      Der 14. Erwägungsgrund der Richtlinie 2013/40/EU des Europäischen Parlaments und des Rates vom 12. August 2013 über Angriffe auf Informationssysteme und zur Ersetzung des Rahmenbeschlusses 2005/222/JI des Rates (ABl. 2013, L. 218, S. 8) bestimmt: „Die Einführung wirksamer Maßnahmen gegen Identitätsdiebstahl und andere identitätsbezogene Straftaten bildet eine weitere wichtige Komponente eines integrierten Ansatzes gegen die Cyberkriminalität.“ Nach dem 31. Erwägungsgrund der Richtlinie (EU) 2019/713 des Europäischen Parlaments und des Rates vom 17. April 2019 zur Bekämpfung von Betrug und Fälschung im Zusammenhang mit unbaren Zahlungsmitteln und zur Ersetzung des Rahmenbeschlusses 2001/413/JI des Rates (ABl. 2019, L 123, S. 18) „[können] Betrug und Fälschung im unbaren Zahlungsverkehr … für die Opfer sowohl schwere wirtschaftliche als auch nicht wirtschaftliche Folgen haben. Bei Betrug, etwa durch Identitätsdiebstahl, sind die Folgen aufgrund einer Beschädigung des Ansehens und eines beruflichen Schadens, einer Schädigung der Kreditwürdigkeit einer Einzelperson sowie einer erheblichen psychischen Schädigung des Opfers häufig noch schwerwiegender.“ Der 33. Erwägungsgrund dieser Richtlinie bestimmt: „Die Mitgliedstaaten sollten Beistands- und Unterstützungsmaßnahmen für die Opfer beschließen, die sich an den von jener Richtlinie geforderten Maßnahmen orientieren, aber unmittelbarer auf die spezifischen Bedürfnisse der Opfer von Betrug in Bezug auf Identitätsdiebstahl ausgerichtet sind.“

32      Die Begriffe „Identitätsdiebstahl oder ‑betrug“ werden – ohne Definition – in den Erwägungsgründen anderer Rechtsvorschriften der Union verwendet. Vgl. z. B. 46. Erwägungsgrund der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. 2018, L 295, S. 39) sowie Erwägungsgründe 51 und 61 der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (ABl. 2016, L 119, S. 89).

33      Anhang II der Verordnung (EU) 2018/1798 der Kommission vom 21. November 2018 zur Durchführung der Verordnung (EG) Nr. 808/2004 des Europäischen Parlaments und des Rates über Gemeinschaftsstatistiken zur Informationsgesellschaft für das Bezugsjahr 2019 (ABl. 2018, L 296, S. 2) enthält eine Reihe von Beispielen für oder Bezugnahmen auf Identitätsdiebstähle. Diese umfassen u. a. den „Diebstahl der persönlichen Daten des Befragten und Annahme von dessen Identität, z. B. für Einkäufe unter seinem Namen“, als ein Beispiel für den „Identitätsdiebstahl im Internet“.

34      Vgl. im Gegensatz dazu Art. 226-4-1 des Code pénal français (französisches Strafgesetzbuch) (geändert durch LOI n°2020-936 du 30 juillet 2020 [Gesetz Nr. 2020-936 vom 30. Juli 2020] – Art. 19), der vorsieht: „Mit Freiheitsstrafe von einem Jahr und mit Geldstrafe von 15 000 Euro wird bestraft, wer sich die Identität eines Dritten widerrechtlich aneignet oder eine oder mehrere Angaben jeglicher Art, mit denen dieser identifiziert werden kann, verwendet, um seine Ruhe oder die anderer Personen zu stören oder seine Ehre oder seinen Ruf zu schädigen. Die gleichen Strafen gelten, wenn die Straftat in einem öffentlichen Online-Kommunikationsnetz begangen wird. Werden diese Taten von dem Ehegatten oder Mitbewohner des Opfers oder von einem Partner begangen, der durch einen pacte civil de solidarité [(eingetragene Lebenspartnerschaft für gleich- und verschiedengeschlechtliche Paare)] an das Opfer gebunden ist, werden sie mit einer Freiheitsstrafe von zwei Jahren und mit einer Geldstrafe von 30 000 Euro bestraft.“ 18 U. S. Code § 1028A(a)(1) führt das US-Bundesverbrechen des schweren Identitätsdiebstahls ein. Diese Bestimmung sieht vor: „Wer während und im Zusammenhang mit einer der in Unterabschnitt (c) aufgeführten Straftaten wissentlich ein Identifizierungsmittel einer anderen Person ohne rechtmäßige Befugnis weiterleitet, besitzt oder verwendet, wird zusätzlich zu der für diese Straftat vorgesehenen Strafe mit einer Freiheitsstrafe von zwei Jahren bestraft.“ Vgl. auch 18 U.S. Code § 1028(a)(7), mit dem das US-Bundesverbrechen des Identitätsdiebstahls eingeführt wird.

35      Und der damit einhergehende Verlust der Kontrolle über die gestohlenen personenbezogenen Daten.

36      Ein Identitätsdiebstahl erfordert, dass der Straftäter die betroffene Person falsch darstellt, indem er z. B. die Identität der betroffenen Person annimmt oder sich als die betroffene Person ausgibt.

37      Entgegen dem in Nr. 18 der vorliegenden Schlussanträge dargelegten Vorbringen von SO begründen die Art und der Umfang dieser Daten ohne eine (missbräuchliche) Verwendung der gestohlenen Daten oder die hierzu erforderlichen konkreten Schritte keine Vermutung für das Vorliegen eines Identitätsdiebstahls.

38      Für Beispiele zum Identitätsdiebstahl vgl. Agentur der Europäischen Union für Cybersicherheit, Identity theft – ENISA Threat Landscape – From January 2019 to April 2020 [Identitätsdiebstahl – ENISA-Bericht zur Bedrohungslage – von Januar 2019 bis April 2020], abrufbar unter https://www.enisa.europa.eu/publications/enisa-threat-landscape-2020-identity-theft, Abschnitt 7.1 der Leitlinien von 2021, abrufbar unter https://edpb_guidelines_012021_pdbnotification_adopted_en.pdf (europa.eu), und Europäischer Datenschutzausschuss, Guidelines 01/2022 – on data subject rights – Right of access – Version 1.0 –Adopted on 18. Januar 2022 [Leitlinien 01/2022 zu den Rechten betroffener Personen – Recht auf Zugang – Version 1.0 – angenommen am 18. Januar 2022], Rn. 105, abrufbar unter https://edpb.europa.eu/system/files/2022-01/edpb_guidelines_012022_right-of-access_0.pdf.

39      Wenn die drei in Nr. 24 der vorliegenden Schlussanträge beschriebenen Voraussetzungen erfüllt sind.

40      In seinen Schlussanträgen in der Rechtssache Österreichische Post (Immaterieller Schaden, der aus einer rechtswidrigen Verarbeitung von Daten resultiert) (C‑300/21, EU:C:2022:756, Nrn. 98 und 99) hat Generalanwalt Sánchez-Bordona dargelegt, dass die in den Erwägungsgründen 75 und 85 genannten Beispiele für Risiken oder Schäden „erheblich“ oder von einer „besonderen Schwere“ sein können. In der Praxis wird das Vorliegen eines Identitätsdiebstahls oder ‑betrugs zur Feststellung, ob ein Schaden vorliegt, beitragen.

41      Dies folgt aus dem Umstand, dass der „Identitätsdiebstahl oder ‑betrug“ in den Erwägungsgründen 75 und 85 der DSGVO zusammen mit anderen Beispielen für Risiken oder Schäden wie „Diskriminierung“, „finanziellen Verlusten“ und „Rufschädigung“ steht.