EuGH stärkt Rechte der Betroffenen bei Datenpannen: Durchsetzung von Schadensersatz bei Hackerangriffen wird leichter
Kurz vor den Weihnachtsferien hat der Europäische Gerichtshof noch eine wichtige Entscheidung (Urt. v. 14.12.2023, Rs. C-340/21) in Sachen Datenschutz gefällt und damit die Rechte der Betroffenen entscheidend gestärkt.
Um was geht es?
Die bulgarische Nationale Agentur für Einnahmen (NAP) war Opfer eines Hackerangriffs geworden, wodurch Daten von Millionen von Menschen im Internet veröffentlicht wurden. Zahlreiche Personen verklagten die NAP auf Ersatz des immateriellen Schadens, der aus der Befürchtung eines möglichen Missbrauchs ihrer Daten resultierte. Das bulgarische Oberste Verwaltungsgericht hat dem Europäischen Gerichtshof (EuGH) mehrere Fragen zur Auslegung der Datenschutz-Grundverordnung (DSGVO) zur Vorabentscheidung vorgelegt. Dabei sollte geklärt werden, unter welchen Bedingungen eine Person, deren personenbezogene Daten nach einem Cyberangriff im Internet veröffentlicht wurden, Ersatz des immateriellen Schadens verlangen kann.
Das Urteil des EuGH
Die Datenschutzgrundverordnung (DSGVO) gibt Betroffenen das Recht auf Schadensersatz, wenn ihnen aufgrund eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist (Art. 82 DSGVO). Bisher wurden die Betroffenen bei einer Schadenersatzforderung dazu aufgefordert, nachzuweisen, dass die entwendeten Daten tatsächlich missbraucht wurden. Diese Anforderung entfällt nun. Falls Daten in die falschen Hände geraten sind, genügt es laut EuGH, wenn die Betroffenen die Befürchtung haben, dass eine missbräuchliche Verwendung ihrer Daten erfolgen könnte. Das Gericht stützt sein Urteil darauf, dass bereits ein immaterieller Schaden entsteht, wenn eine Person befürchten muss, dass die gestohlenen Daten für unerwünschte Zwecke genutzt werden könnten.
Es gibt aber auch gute Nachrichten für Unternehmen
In seinem Urteil hat der EuGH aber auch klargestellt, dass nicht jeder erfolgreiche Hackerangriff auf ein Unternehmen bedeutet, dass das Unternehmen auf Grund unzureichender Sicherheitsmaßnahmen die Schuld an dem Angriff trägt. Aber: Es liegt am Unternehmen nachzuweisen, dass die getroffenen Maßnahmen angemessen waren. Kann das Unternehmen das nachweisen, ist es auch nicht schadensersatzpflichtig.
Was heißt das für Sie?
Stellen Sie sicher, dass Ihre IT-Systeme gut geschützt und immer auf dem neusten Stand sind – um den bestmöglichen Schutz der Systeme sicherzustellen. Aber auch, um im Fall der Fälle nachweisen zu können, dass Sie alles getan haben, um Ihre Systeme – und damit auch die personenbezogenen Daten, die Sie verarbeiten, wie z.B. Kundendaten oder auch die Personaldaten Ihrer Beschäftigten – bestmöglich zu schützen.
Die Zusammenfassung des EuGH in seiner Pressemitteilung:
- Im Fall der unbefugten Offenlegung von bzw. des unbefugten Zugangs zu personenbezogenen Daten können die Gerichte aus diesem Umstand allein nicht ableiten, dass die Schutzmaßnahmen, die der für die Datenverarbeitung Verantwortliche ergriffen hat, nicht geeignet waren. Die Gerichte müssen die Geeignetheit dieser Maßnahmen konkret beurteilen.
- Der Verantwortliche trägt die Beweislast dafür, dass die getroffenen Schutzmaßnahmen geeignet waren.
- Im Fall der unbefugten Offenlegung von bzw. des unbefugten Zugangs zu personenbezogenen Daten durch „Dritte“ (wie Cyberkriminelle) kann der Verantwortliche gegenüber den Personen, denen ein Schaden entstanden ist, ersatzpflichtig sein, es sei denn, er weist nach, dass er in keinerlei Hinsicht für den Schaden verantwortlich ist.
- Allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, kann einen „immateriellen Schaden“ darstellen
(Quelle: Pressemitteilung)
Zu guter Letzt
Herzlichen Dank, dass Sie unseren Newsletter lesen.
Wir wünschen Ihnen und Ihren Familien ein frohes Weihnachtsfest und ein gesundes und erfolgreiches Jahr 2024 – möglichst ohne Datenpannen!
Bitte beachten Sie, dass dieser Newsletter der Information dient und keine Rechtsberatung darstellt!