IT/Datenschutz
EuGH: Angst vor Datenmissbrauch kann bei Hackerangriffen einen immateriellen Schaden darstellen
Der EuGH bringt mit dem Urteil vom 14.12.2023 – C-340/21 Klarheit in einige offene Fragen zum datenschutzrechtlichen Schadenersatz, insbesondere im Zusammenhang mit Hackerangriffen bzw. sog. Datenlecks.
Zum Hintergrund des Urteils
Im Juli 2019 wurde in Bulgarien öffentlich, dass bei der NAP, eine dem bulgarischen Finanzminister unterstellte Behörde, ein unbefugter Zugang zum IT‑System erfolgt sei, und dass infolge dieses Cyberangriffs in diesem System enthaltene personenbezogene Daten im Internet veröffentlicht wurden. Es waren mehr als sechs Millionen Personen betroffen. Einige Hundert von ihnen verklagten die NAP auf Ersatz des immateriellen Schadens, der sich aus der Offenlegung ihrer personenbezogenen Daten ergeben haben soll.
Mit Entscheidung vom 27. November 2020 wies das Verwaltungsgericht der Stadt Sofia die Klage der Klägerin des Ausgangsverfahrens ab, da zum einem der unbefugte Zugriff auf die Datenbank der NAP auf einen von Dritten begangenen Hackerangriff zurückzuführen sei und zum anderen die Klägerin nicht nachgewiesen habe, dass die NAP es unterlassen habe, Sicherheitsmaßnahmen zu ergreifen. Zudem sei der Klägerin kein immaterieller Schaden entstanden.
Die Klägerin legte gegen diese Entscheidung Kassationsbeschwerde beim Obersten Verwaltungsgericht in Bulgarien ein, welches dem EuGH mehrere Fragen zum datenschutzrechtlichen Schadenersatzrecht vorlegte.
Entscheidungen des EuGH
1. Geeignetheit technischer und organisatorischer Maßnahmen
- Eine unbefugte Offenlegung von bzw. ein unbefugter Zugang zu personenbezogenen Daten durch „Dritte“ allein reicht nicht aus, um anzunehmen, dass die technischen und organisatorischen Maßnahmen nicht geeignet waren.
- Die Geeignetheit technischer und organisatorischer Maßnahmen ist von den nationalen Gerichten unter Berücksichtigung der mit der betreffenden Verarbeitung verbundenen Risiken und der Art, dem Inhalt und der Umsetzung der Maßnahmen konkret zu beurteilen.
- Der Verantwortliche trägt durch die Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO die Beweislast dafür, dass getroffenen Sicherheitsmaßnahmen im Sinne von Art. 32 DSGVO geeignet waren.
- Für die Beurteilung der Geeignetheit der Sicherheitsmaßnahmen ist ein gerichtliches Sachverständigengutachten kein generell notwendiges und ausreichendes Beweismittel.
2. Haftungsbefreiung
- Verantwortliche können sich von der Schadenersatzpflicht nicht allein dadurch befreien, dass eine unbefugte Offenlegung von bzw. ein unbefugter Zugang zu personenbezogenen Daten durch „Dritte“ erfolgte.
3. Immaterieller Schaden
- Die Befürchtung einer betroffenen Person, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden können, kann bereits einen immateriellen Schaden darstellen.
Fazit und Folgen für Unternehmen
Der EUGH stellt zunächst fest, dass die Tatsache, dass es zu einem Hackerangriff kam, noch nicht automatisch bedeutet, dass die getroffenen Sicherheitsmaßnahmen ungeeignet waren. Verantwortliche müssen darlegen und beweisen, dass die getroffenen Maßnahmen zur Abwehr von Hackerangriffen geeignet waren und können sich auch nicht mit der Behauptung, dass der Datenschutzverstoß durch Dritte verursacht wurde, von der Haftung befreien. Sie müssen vielmehr nachweisen, dass sie in keinerlei Hinsicht für den Schaden verantwortlich waren.
Hervorzuheben ist die Aussage des EuGH zum immateriellen Schaden. Ein immaterieller Schaden kann nach dem EuGH bereits durch die Befürchtung, die Daten könnten missbräuchlich verwendet werden, entstehen.
Durch das Urteil erhöhen sich die Haftungsrisiken für Unternehmen. Durch umfassende Sicherheitsmaßnahmen können diese Risiken aber deutlich reduziert werden.
Es empfiehlt sich, umfassende technische und organisatorische Maßnahmen zu implementieren und regelmäßig auf Geeignetheit zu überprüfen.