Gerichtsurteil
Grundsatzurteil des EuGH: Schadensersatz nach Datenleck
Mit der Entscheidung C-340/21 des EuGH wird kurz vor Weihnachten eine Trendwende eingeläutet, welche die Bürgerinnen und Bürger der Europäischen Union aufhorchen lassen sollte. Eine jahrelang umstrittene Rechtsfrage scheint endgültig geklärt worden zu sein – wir bringen Sie auf den neusten Stand.
Hintergrund des Verfahrens
Doch ganz von vorn. Im Juli 2019 veröffentlichten die bulgarischen Medien die Nachricht, dass ein unbefugter Zugang zum Informationssystem der Natsionalna agentsia za prihodite (Nationale Agentur für Einnahmen, Bulgarien (NAP)) erfolgt sei und dass verschiedene Steuer- und Sozialversicherungsdaten von Millionen von Bürgerinnen und Bürgern im Internet veröffentlicht worden seien (wir berichteten).
Eine hiervon Betroffene verklagte die NAP auf Ersatz ihres immateriellen Schadens, weil sie einen Missbrauch ihrer Daten durch Dritte befürchtete. In erster Instanz scheiterte sie: Die Veröffentlichung der Daten sei der Finanzbehörde nicht zuzurechnen. Außerdem habe die Klägerin nicht nachgewiesen, dass die staatlichen Schutzmaßnahmen nicht ausreichend waren. Und schließlich sei ein immaterieller Schaden nicht ersatzfähig.
Das bulgarische Oberste Verwaltungsgericht legte dem EuGH mehrere Fragen zur Auslegung der Datenschutz-Grundverordnung (DSGVO) zur Vorabentscheidung vor. Insbesondere wollte es wissen, unter welchen Bedingungen eine Person, deren personenbezogene Daten nach einem Angriff von Cyberkriminellen auf eine öffentliche Agentur, in deren Besitz sie sich befinden, im Internet veröffentlicht wurden, Ersatz des immateriellen Schadens verlangen kann.
Urteil des EuGH
Der EuGH führte aus, dass im Fall einer unbefugten Offenlegung von bzw. des unbefugten Zugangs zu personenbezogenen Daten die Gerichte nicht allein aus diesem Umstand ableiten können, dass die Schutzmaßnahmen, die der für die Datenverarbeitung Verantwortliche ergriffen hat, nicht geeignet waren. Eine solche Geeignetheit dieser Maßnahmen muss stets konkret beurteilt werden. Außerdem trägt der Verantwortliche die Beweislast dafür, dass die getroffenen Schutzmaßnahmen im Sinne von Art. 24 und 32 DSGVO geeignet waren.
Im Fall der unbefugten Offenlegung von bzw. des unbefugten Zugangs zu personenbezogenen Daten durch „Dritte“ (wie Cyberkriminelle) kann der Verantwortliche gegenüber den Personen, denen ein Schaden entstanden ist, ersatzpflichtig sein, es sei denn, er weist nach, dass er in keinerlei Hinsicht für den Schaden verantwortlich ist.
Konkrete Auswirkungen
Grundsätzlich steht laut Art. 82 DSGVO Betroffenen bei materiellen oder immateriellen Schäden nach einem Datenschutzverstoß ein Ersatzanspruch gegen den Verantwortlichen zu. Der EuGH hat jetzt klargestellt: Allein die Sorge vor künftigen Datenmissbräuchen nach einem Hackerangriff kann einen solchen immateriellen Schaden darstellen.
Wie wird sich das Urteil für Private und Unternehmen auswirken?
Mit der Entscheidung stärkt das oberste Gericht der EU die Datenschutzrechte von Bürgerinnen und Bürgern. Die Entscheidung wird die laufenden Verfahren, etwa gegen Meta (Facebook) oder Scalable beflügeln und zweifelsohne viele Verbraucher dazu motivieren, ihre Rechte einzuklagen.
Zugleich nimmt der EuGH Behörden und Unternehmen in die Pflicht, vermehrt auf die Einhaltung der Datenschutzstandards zu achten. Besonders die Dokumentation von erfolgten Maßnahmen, wie Schulungen, Trainings oder Sicherheitstests wird wichtiger denn je. Aber auch eine regelmäßige Evaluierung, ob die ergriffenen technischen und organisatorischen Maßnahmen noch dem Stand der Technik entsprechen und weiterhin geeignet sind, die Sicherheit der Verarbeitung von personenbezogenen Daten zu gewährleisten, sollte vorgenommen werden.