Cyberkriminalität: Allein die Angst vor Datenmissbrauch kann einen Schaden darstellen

Erbeuten Kriminelle persönliche Daten kann laut EuGH allein die Angst vor einem Missbrauch dieser Informationen einen immateriellen Schaden darstellen. Aus einem unbefugten Zugriff könne nicht automatisch auf unzureichenden Schutz geschlossen werden, aber die Beweislast liege beim Verantwortlichen.

Im Juli 2019 veröffentlichten die bulgarischen Medien die Nachricht, dass ein unbefugter Zugang zum Informationssystem der Natsionalna agentsia za prihodite (Nationale Agentur für Einnahmen, Bulgarien (NAP)) erfolgt sei und dass verschiedene Steuer- und Sozialversicherungsdaten von Millionen von Menschen im Internet veröffentlicht worden seien. Eine hiervon Betroffene verklagte die NAP auf Ersatz ihres immateriellen Schadens, weil sie einen Missbrauch ihrer Daten durch Dritte befürchtete.

In erster Instanz scheiterte sie: Die Veröffentlichung der Daten sei der Finanzbehörde nicht zuzurechnen. Außerdem habe die Klägerin nicht nachgewiesen, dass die staatlichen Schutzmaßnahmen nicht ausreichend waren. Und schließlich sei ein immaterieller Schaden nicht ersatzfähig. Das bulgarische Oberste Verwaltungsgericht legte dem EuGH mehrere Fragen zur Auslegung der Datenschutz-Grundverordnung (DS-GVO) zur Vorabentscheidung vor, insbesondere wollte es wissen, unter welchen Bedingungen eine Person, deren personenbezogene Daten, die sich im Besitz einer öffentlichen Agentur befinden, nach einem Angriff von Cyberkriminellen im Internet veröffentlicht wurden, Ersatz des immateriellen Schadens verlangen kann.

Der EuGH (Urteil vom 14.12.2023 – C-340/21) lehnt einen Automatismus dahingehend, dass die Schutzmaßnahmen der Behörde immer ungeeignet oder unzureichend waren, wenn es zu einem erfolgreichen unbefugten Zugang gekommen ist, ab. Allerdings müsse der für die Daten Verantwortliche darlegen und beweisen, dass die getroffenen Maßnahmen zur Abwehr von Hackerangriffen geeignet waren. Es liege dann an den Gerichten, die Eignung oder Nichteignung zu beurteilen.

Die Luxemburger Richterinnen und Richter bejahen auch eine Schadensersatzpflicht im Fall der unrechtmäßigen Offenlegung personenbezogener Daten durch einen Dritten. Die NAP könne sich nur exkulpieren, indem sie explizit nachweise, dass sie in keinerlei Hinsicht für den Schaden verantwortlich ist.

Ein immaterieller Schaden kann dem EuGH zufolge auch durch die Befürchtung, die Daten könnten missbräuchlich verwendet werden, entstehen. Der Gerichtshof betont allerdings auch unter Verweis auf seine Entscheidung in Sachen Österreichische Post (Urteil vom 04.05.2023 – C-300/21), dass betroffene Personen das Vorliegen eines immateriellen Schadens iSv Art. 82 DS-GVO nachweisen muss. In ihrer Besprechung des Urteils in Sachen Österreichische Post hatten Paal/Aliprandi in der NJW das Fehlen von inhaltlichen Maßstäben zum Vorliegen eines immateriellen Schadens bemängelt und sich schärfere Konturen durch weitere Vorlageentscheidungen gewünscht.

EuGH, Urteil vom 14.12.2023 - C-340/21

Redaktion beck-aktuell, rw, 14. Dezember 2023.

Weiterführende Links

Datenbank beck-aktuell

Paal, Höhe des Ersatzes immaterieller Schäden nach Art. 82 DS-GVO, NJW 2022, 3673

EuGH, Kein immaterieller Schadensersatz bei bloßem Verstoß gegen die DS-GVO, NJW 2023, 1930 (UI/Österreichische Post AG)

Paal/Aliprandi, Immaterieller Schadensersatz bei Datenschutzverstößen vor dem EuGHNJW 2023, 1914 (Besprechung des Urteils Österreichische Post AG)

Wybitul, Vermeidung von DS-GVO-Risiken nach Datenpannen und Cyberangriffen, NJW 2020, 2577

Weller/Grifo, Schadensersatz nach Cyberangriffen - Ansprüche, Gerichtsstand und anwendbares Recht -, WM 2020, 1513

Internet Explorer: Unsere Empfehlung

×
Sie nutzen noch den Interenet Explorer 11 (IE11) und wir empfehlen Ihnen, bis zum 15. Juni 2022 auf den neuen Browser „Microsoft Edge“ oder eine aktuelle Version eines anderen gängigen Internet-Browsers (Firefox, Chrome, usw.) umzusteigen. Wir folgen damit den Empfehlungen des Unternehmens Microsoft, das ebenfalls schrittweise begonnen hat, die Unterstützung dieser Browserversion einzustellen. Bei Fragen wenden Sie sich bitte an unsere Hotline unter der Telefonnummer 089-38189-421.