Im Juli 2019 veröffentlichten die bulgarischen Medien die Nachricht, dass ein unbefugter Zugang zum Informationssystem der Natsionalna agentsia za prihodite (Nationale Agentur für Einnahmen, Bulgarien (NAP)) erfolgt sei und dass verschiedene Steuer- und Sozialversicherungsdaten von Millionen von Menschen im Internet veröffentlicht worden seien. Eine hiervon Betroffene verklagte die NAP auf Ersatz ihres immateriellen Schadens, weil sie einen Missbrauch ihrer Daten durch Dritte befürchtete.
In erster Instanz scheiterte sie: Die Veröffentlichung der Daten sei der Finanzbehörde nicht zuzurechnen. Außerdem habe die Klägerin nicht nachgewiesen, dass die staatlichen Schutzmaßnahmen nicht ausreichend waren. Und schließlich sei ein immaterieller Schaden nicht ersatzfähig. Das bulgarische Oberste Verwaltungsgericht legte dem EuGH mehrere Fragen zur Auslegung der Datenschutz-Grundverordnung (DS-GVO) zur Vorabentscheidung vor, insbesondere wollte es wissen, unter welchen Bedingungen eine Person, deren personenbezogene Daten, die sich im Besitz einer öffentlichen Agentur befinden, nach einem Angriff von Cyberkriminellen im Internet veröffentlicht wurden, Ersatz des immateriellen Schadens verlangen kann.
Der EuGH (Urteil vom 14.12.2023 – C-340/21) lehnt einen Automatismus dahingehend, dass die Schutzmaßnahmen der Behörde immer ungeeignet oder unzureichend waren, wenn es zu einem erfolgreichen unbefugten Zugang gekommen ist, ab. Allerdings müsse der für die Daten Verantwortliche darlegen und beweisen, dass die getroffenen Maßnahmen zur Abwehr von Hackerangriffen geeignet waren. Es liege dann an den Gerichten, die Eignung oder Nichteignung zu beurteilen.
Die Luxemburger Richterinnen und Richter bejahen auch eine Schadensersatzpflicht im Fall der unrechtmäßigen Offenlegung personenbezogener Daten durch einen Dritten. Die NAP könne sich nur exkulpieren, indem sie explizit nachweise, dass sie in keinerlei Hinsicht für den Schaden verantwortlich ist.
Ein immaterieller Schaden kann dem EuGH zufolge auch durch die Befürchtung, die Daten könnten missbräuchlich verwendet werden, entstehen. Der Gerichtshof betont allerdings auch unter Verweis auf seine Entscheidung in Sachen Österreichische Post (Urteil vom 04.05.2023 – C-300/21), dass betroffene Personen das Vorliegen eines immateriellen Schadens iSv Art. 82 DS-GVO nachweisen muss. In ihrer Besprechung des Urteils in Sachen Österreichische Post hatten Paal/Aliprandi in der NJW das Fehlen von inhaltlichen Maßstäben zum Vorliegen eines immateriellen Schadens bemängelt und sich schärfere Konturen durch weitere Vorlageentscheidungen gewünscht.