Der Europäische Gerichtshof (EuGH) hat in seinem Urteil vom 14.12.2023, Rs. C-340/21 die Voraussetzungen eines immateriellen Schadensersatz nach Art. 82 Abs. 1 Datenschutzgrundverordnung (DSGVO) konkretisiert und dessen Geltendmachung durch Betroffene wesentlich erleichtert. Es genüge allein die Befürchtung, dass die eigenen Daten infolge eines Cyberangriffs missbraucht werden, um einen immateriellen Schaden geltend zu machen. Doch das alleine war es noch nicht. Zusätzlich stellt der EuGH auch noch eine Beweislastumkehr auf: Im Fall von Datenlecks müsse der Verantwortliche nachweisen, dass die durch ihn getroffenen Schutzmaßnahmen geeignet waren im Sinne von Art. 24 und 32 DSGVO (technische und organisatorische Maßnahmen TOM). Wurden personenbezogene Daten infolge eines Hackerangriffs unbefugt offengelegt und ist einem Betroffenen dadurch ein Schaden entstanden, müsse der Verantwortliche sogar nachweisen, dass er „in keinerlei Hinsicht“ für den Schaden verantwortlich ist.

Das ist nicht weniger als ein wegweisendes Urteil, welches der EuGH hier gefällt hat. Es stellt die Sorgen und Ängste der Betroffenen in den Mittelpunkt und erhöht die Hürden für eine Schuldbefreiung der Verantwortlichen signifikant.

Der Fall

Am 15. Juli 2019 wurde bekannt, dass das IT-System der bulgarischen Nationalen Agentur für Einnahmen (NAP), deren wesentliche Aufgabe die Forderungsbeitreibung für den Staat ist, gehackt wurde, wobei die Daten von Millionen von Bürgern gestohlen und später veröffentlicht wurden. Viele der Betroffenen haben Klage auf Schadenersatz gemäß Artikel 82 DSGVO erhoben.

Und das Gericht hat hierzu - vereinfacht gesagt – folgende Fragestellung an den EuGH gegeben: Wann ist von einem Schadenersatzanspruch auszugehen und wer trägt die Verantwortung für den immateriellen Schaden, der durch solche Datenschutzverletzungen entsteht?

Hierzu hat sich nun der EuGH ausführlich geäußert und folgende Kernpunkte hervorgehoben:

Anerkennung immaterieller Schäden

Die Befürchtung eines möglichen Datenmissbrauchs nach einem Cyberangriff alleine kann ausreichen, um als immaterieller Schaden anerkannt zu werden. Dieses Urteil eröffnet neue Wege für den Schutz von Betroffenen und erleichtert die Geltendmachung von Schadensersatz.

Neue Herausforderung: Beweislastumkehr

In einem signifikanten Wandel der Rechtspraxis legt der EuGH die Beweislast für die Angemessenheit von Schutzmaßnahmen in den Verantwortungsbereich der Verantwortlichen. Unternehmen und Behörden müssen nun proaktiv darlegen, dass sie angemessene Schritte unternommen haben und ihre Datenschutzmaßnahmen den Anforderungen der DSGVO entsprechen.

Haftung bei Cyberangriffen

Das Urteil intensiviert die Verantwortung der Datenverarbeiter, auch wenn Dritte (wie z.B. Hacker bei Cyberangriffen) für die Datenverletzung verantwortlich sind. Es wird nun erwartet, dass Verantwortliche nachweisen, dass sie in keinerlei Hinsicht für den Schaden verantwortlich sind, um sich von der Haftung zu befreien.

Praktische Auswirkungen des Urteils

Das Urteil des Europäischen Gerichtshofs setzt neue Standards im Datenschutzrecht, indem es signalisiert, dass Organisationen nicht nur für physische oder materielle Schäden, sondern auch für die psychologischen und emotionalen Auswirkungen von Datenverletzungen verantwortlich gemacht werden können.

Für Betroffene stellt dieses Urteil einen wichtigen Fortschritt dar. Die Möglichkeit, Schadensersatz für die bloße Befürchtung eines Datenmissbrauchs zu fordern, stärkt ihre Position erheblich. Konkrete Beispiele, wie die Angst vor Identitätsdiebstahl oder finanziellen Verlusten, unterstreichen die Bedeutung dieses Urteils für den Einzelnen.

Entsprechend bedeutet das Urteil für Unternehmen und Behörden eine wesentlich erhöhte Verantwortung hinsichtlich der umgesetzten Schutzmaßnahmen. Die Notwendigkeit, präventive Maßnahmen zu ergreifen und vor allem diese auch nachzuweisen, gewinnt an Bedeutung und stellt eine grundsätzliche Herausforderung in der täglichen Praxis dar.

Fazit

Mit diesem Urteil hat der Europäische Gerichtshof ein klares Zeichen gesetzt: Der Schutz personenbezogener Daten ist ein fundamentales Recht, das ernst genommen werden muss.

Gerade die Aussage, dass der vom Hackerangriff betroffene Verantwortliche nachweisen müsse, dass er in keinerlei Hinsicht für den Schaden verantwortlich sei, sonst hafte er für Schäden, wird es Unternehmen und Behörden künftig noch schwerer machen, sich von der Haftung infolge eines Cyberangriffs, bei dem Daten abhandengekommen sind, zu befreien.

Damit gewinnt mit diesem Urteil die Notwendigkeit ausreichender Vorsorge vor Hackerangriffen und Datenlecks eine noch größere Bedeutung. Aus der Sicht von Unternehmen und Behörden wird ein objektiver Nachweis über die Angemessenheit der ergriffenen und umgesetzten Maßnahmen zukünftig wesentlich stärker durch die Erfüllung vorgegebener Regelwerke wie z.B. dem BSI IT-Grundschutz erfolgen müssen.

Wir helfen Ihnen gerne dabei, Ihre technischen und organisatorischen Maßnahmen (TOMs) mit einem passenden Regelwerk für Datensicherheit abzugleichen und anzupassen. Sprechen Sie uns einfach an.