Skip to main content

Immaterieller Schadensersatz bei Cyberangriffen – teuer? Oder was?

EuGH-Urteil stärkt Rechte bei Datenmissbrauch - und setzt gleichzeitig Grenzen bei der Monetarisierung von Ansprüchen.

Cyberangriffe sind heutzutage eine ernste Bedrohung, die nicht nur finanzielle Schäden verursachen, sondern auch zu immateriellen Schäden bei Betroffenen führen können.

Wie sieht deshalb die rechtliche Bewertung aus, wenn durch einen Cyberangriff personenbezogene Daten offengelegt werden? Wer haftet, und unter welchen Bedingungen kann man Schadensersatz verlangen? Diese Fragen beantwortet ein richtungsweisendes Urteil des Europäischen Gerichtshofs (EuGH) vom 14.12.2023. Hier gehen wir auf die wichtigsten Aspekte dieses Urteils ein und erklären, was es für Betroffene bedeutet.

Der Fall NAP

Der Fall, der dem Urteil zugrunde liegt, betrifft die Nationale Steuerbehörde (NAP) in Bulgarien. Am 15. Juli 2019 wurde bekannt, dass ein Cyberangriff auf das IT-System der NAP erfolgt war, bei dem personenbezogene Daten von über sechs Millionen Menschen, darunter auch Ausländer, im Internet veröffentlicht wurden. Einige Hundert Betroffene, darunter die Klägerin des Ausgangsverfahrens, klagten daraufhin auf Ersatz des immateriellen Schadens.

Die Klägerin verlangte 1000 BGN (ca. 510 EUR) Schadensersatz und begründete dies mit der Befürchtung, dass ihre personenbezogenen Daten missbräuchlich verwendet werden könnten, was zu Erpressung, Angriffen oder gar Entführungen führen könnte.

Die rechtlichen Fragen

Technische und organisatorische Maßnahmen (TOMs)

Eine zentrale Frage des Falls war, ob die bloße Tatsache, dass personenbezogene Daten durch Dritte offengelegt wurden, ausreicht, um anzunehmen, dass die von der NAP getroffenen technischen und organisatorischen Maßnahmen (TOMs) nicht geeignet waren.

Der EuGH stellte klar, dass dies nicht automatisch der Fall ist. Die Geeignetheit der Maßnahmen muss im Einzelfall beurteilt werden, wobei der Verantwortliche die Möglichkeit haben muss, den Gegenbeweis zu erbringen.

Anders formuliert: Der Verantwortliche trägt die Beweislast dafür, dass die getroffenen Sicherheitsmaßnahmen geeignet waren. Dies bedeutet, dass die NAP nachweisen muss, dass sie angemessene Maßnahmen zum Schutz der Daten getroffen hat. Dies ergäbe sich zwangsläufig aus dem Grundsatz der Rechenschaftspflicht der Datenschutz-Grundverordnung (DS-GVO). Er besagt, dass der Verantwortliche sein TUN auch nachweisen können muss. Doch damit nicht genug: Der EuGH entschied weiterhin, dass ein gerichtliches Sachverständigengutachten nicht generell ein notwendiges und ausreichendes Beweismittel für die Beurteilung der Geeignetheit der Sicherheitsmaßnahmen ist. Vielmehr müssten nationale Gerichte alle verfügbaren Beweismittel berücksichtigen und eine umfassende materielle Prüfung vornehmen.

Das macht die Sache für beide Seiten - Verantwortliche und Betroffene – sicher nicht einfacher.

Haftung bei Offenlegung durch Dritte

Ein zentraler Punkt des Urteils ist die Frage, ob der Verantwortliche von seiner Haftung befreit werden kann, wenn der Schaden durch die Offenlegung von Daten durch Dritte verursacht wurde. Der EuGH stellte klar, dass der Verantwortliche nur dann von der Haftung befreit werden kann, wenn er nachweisen kann, dass er in keinerlei Hinsicht für den Schaden verantwortlich ist.

Darüber hinaus entschied der EuGH, dass bereits die Befürchtung einer betroffenen Person, dass ihre personenbezogenen Daten missbräuchlich verwendet werden könnten, einen immateriellen Schaden darstellen kann. Diese Befürchtung muss jedoch begründet und im Einzelfall nachgewiesen werden. Es besteht jedoch erst einmal keine Erheblichkeitsschwelle und keine Bagatellgrenze; der Schäden muss weder spürbar noch objektiv sein. Damit können auch Gefühlsschäden wie Angst immaterielle Schäden sein.

Was bedeutet das für Betroffene?

Praktische Auswirkungen des Urteils

Für Betroffene von Cyberangriffen bedeutet das Urteil des EuGH, dass sie unter bestimmten Bedingungen Anspruch auf Schadensersatz haben können, selbst wenn ihre Daten nur potenziell missbräuchlich verwendet werden könnten.

Wichtig dabei ist jedoch, dass Betroffene ihre Befürchtungen konkret darlegen und beweisen müssen.

Dies bedeutet im Ergebnis, dass es zukünftig – insbesondere als Konsequenz aus Cyberangriffen - zunehmend Fälle geben wird, bei denen das Recht auf Schadensersatz gemäß Art. 82 DSGVO geltend gemacht werden wird. In welcher Höhe sich dieser dann tatsächlich manifestieren wird, steht dann auf Grund der Nachweispflicht des tatsächlichen Schadens noch einmal auf einem anderen Blatt…

Anforderungen an die Geeignetheit von TOMs

Unternehmen und Behörden sind dennoch gut beraten, daran zu arbeiten, dass ihre technischen und organisatorischen Maßnahmen den Anforderungen der DS-GVO entsprechen. Dazu gehört, dass sie die Risiken, die mit der Verarbeitung personenbezogener Daten verbunden sind, angemessen bewerten und auch tatsächlich entsprechende Schutzmaßnahmen implementieren.

Denn auch wenn es zukünftig nicht zwingendermaßen im zweiten Schritt zu Schadenszahlungen kommt, wird die Aufmerksamkeit, die im ersten Schritt durch zunehmende rechtliche Auseinandersetzungen auf Grund dieses Urteils, auf betroffene Unternehmen gelegt wird, zumindest einen Vertrauensschaden verursachen.

Rolle der Gerichte

Interessant zu beobachten wird auch sein, wie sich die Aufgabendelegation des EuGH an die nationalen Gerichte hinsichtlich deren Rolle bei der Beurteilung der Geeignetheit der getroffenen Maßnahmen auswirken wird. Denn diese müssen zukünftig eine konkrete und umfassende Prüfung vornehmen und können sich dabei nicht ausschließlich auf Sachverständigengutachten stützen.

Verantwortung und Haftung

Und aus der Sicht der Verantwortliche ist noch einmal zu betonen, dass sie sich nicht einfach ihrer Haftung entziehen können, indem sie auf die Handlungen Dritter verweisen. Sie müssen nachweisen, dass sie alle erforderlichen Maßnahmen ergriffen haben, um den Schutz der Daten zu gewährleisten.

Fazit

Das Urteil des EuGH setzt klare Maßstäbe für den immateriellen Schadensersatz bei Cyberangriffen. Es betont die Bedeutung angemessener technischer und organisatorischer Maßnahmen und stellt sicher, dass Verantwortliche für die Sicherheit der von ihnen verarbeiteten personenbezogenen Daten verantwortlich sind. Für Betroffene schafft das Urteil die Möglichkeit, auch für immaterielle Schäden Schadensersatz zu erhalten, wenn sie ihre Befürchtungen konkret darlegen können.

Im Ergebnis kann man sagen, dass der EuGH ein weises Urteil gesprochen hat. Er zeigt auf, welche Bedeutung Cyberkriminalität hat und dass dies von datenverarbeitenden Organisationen nicht auf die leichte Schulter genommen werden darf. Mit dem Urteil hat der EuGH einfach klargemacht, wie er die Angemessenheit von Maßnahmen zur Cybersicherheit in Organisationen bewertet: hoch. Und damit reflektiert er sehr genau die potenzielle Gefahr, die da draußen herrscht - und zukünftig noch zunehmen wird.

Ralf
...schreibt immer wieder zu Themen, die ihm in der Beratung begegnen und die schreibenswert sind.
Veröffentlicht
19. Februar 2024
Kategorie
Tags
Kümmern Sie sich um Ihre wertvolle Arbeit
Das mit dem Datenschutz erledigen wir. Eine kurze E-Mail oder ein Anruf 0 62 45 - 9 94 55 72 genügt.