Der europäische Gerichtshof hat im Fällen von Cyberkriminalität entschieden, wann und unter welchen Voraussetzungen ein Unternehmen Schadenersatz für die durch den Cybereingriff bedingte unerlaubte Veröffentlichung personenbezogenen Daten schuldet.
Grundlage der Entscheidung
Am 05. Juli 2019 wurde berichtet, dass ein unbefugter Zugang zum Informationssystem der bulgarischen nationalen Agentur für Einnahmen „NAP“ erfolgt sei. Anschließend wurden die in diesem System enthaltene personenbezogene Daten durch die Hacker im Internet veröffentlich. Es wurden mehr als sechs Millionen Personen betroffen. Hunderte von ihnen verklagten die NAP auf Ersatz des immateriellen Schadens, der sich aus der Offenlegung der Daten ergeben haben soll. Ob und unter welchen Voraussetzungen ein Anspruch auf Schadenersatz in solchen Fällen den Betroffenen zusteht, war dabei unklar und wurde somit den EuGH im Rahmen einer Vorabentscheidung vorgelegt.
Es wurde gefragt, ob die Feststellung einer Verletzung des Schutzes personenbezogenen Daten den Schluss zulasse, dass die vom für die Verarbeitung dieser Daten Verantwortlichen getroffenen Maßnahmen nicht „geeignet“ gewesen seien, sowie welche Regeln der Beweisführung die Verantwortlichen bezüglich der Geeignetheit der betroffenen Schutzmaßnahmen treffen.
Zusätzlich wurde gefragt, ob allein die Befürchtung einer Person, dass ihre personenbezogenen Daten in Zukunft missbräuchlich verwendet werden könnten, einen „Schaden“ im Sinne von Art. 82 Abs. 1 DS- GVO darstellen könne.
Geeignetheit der Maßnahmen und Beweispflicht
Der EuGH lehnt eine generelle Annahme ab, dass die Schutzmaßnahmen ungeeignet oder unzureichend waren, wenn es zu einem erfolgreichen unbefugten Zugang (zum Beispiel sog. Cyberattacke) gekommen ist. Dies bedeutet, dass Gerichte eine Beurteilung der Sicherheitsmaßnahmen des Verantwortlichen vornehmen müssen.
Der für die Verarbeitung personenbezogenen Daten Verantwortliche trägt dabei aufgrund des in DSGVO formulierten Grundsatzes der Rechenschaftspflicht Beweislast dafür, dass die von ihm getroffenen Sicherheitsmaßnahmen geeignet waren, angemessenen Datenschutz zu gewährleisten. Folglich kann sich der Verantwortliche von der Haftung nur befreien, indem er beweist, dass er in keinerlei Hinsicht für den Schaden verantwortlich ist.
Wann entsteht eine Schadenersatzpflicht?
Grundsätzlich kann ein Schaden durch die Befürchtung des Betroffenen, die Daten könnten missbräuchlich verwendet werden, entstehen. Eine Bagatellgrenze wird bei dem Anspruch aus Art. 82 Abs. 1 DSGVO abgelehnt. Unter Verweis auf eine andere EuGH- Entscheidung („Österreichische Post“, C- 300/ 21) wird erneut hingewiesen, dass Betroffene das Vorliegen des oben genannten Schadens iSv. Art. 82 DSGVO nachweisen müssen.
Folgen für Unternehmen und der Praxis
Die Urteile können zur strengerer Bewertung von Datenschutzverletzungen und erhöhten Anzahl von Klagen wegen immateriellen Schäden führen. Auch Bußgelder sowie Abmahnungen von Verbraucherschutzvereinen können verhängt werden. Folglich sollte dies der Anlass für Unternehmen bieten, ausreichende Sicherheitsmaßnahmen zu implementieren und zu überprüfen. Dabei sollte vor allem ein angemessenes Schutzniveau personenbezogenen Daten stets gewährleistet und ggf. auch bewiesen werden, dass das Unternehmen für die Verletzung in keinerlei Hinsicht verantwortlich ist.
Grau Rechtsanwälte PartGmbB berät auditiert und unterstützt Unternehmen, auch als externer Datenschutzbeauftragter, im Bereich des Datenschutzes.
Bei weiteren Fragen wenden Sie sich bitte an unsere Kanzlei unter +49 (0) 40 180 364 020 oder office@graulaw.eu.
