Ersatz eines immateriellen Schadens nach Hacker-Angriff möglich

Bei einem unbefugten Zugang zu personenbezogenen Daten durch Dritte kommt nach Ansicht des Generalanwalts beim Europäischen Gerichtshof, Giovanni Pitruzzella, gegen den Daten-Verantwortlichen nach der DS-GVO ein Anspruch auf Ersatz des immateriellen Schadens wegen der Befürchtung eines künftigen Datenmissbrauchs in Betracht - vorausgesetzt, es handele sich um einen realen emotionalen Schaden und nicht nur um ein Ärgernis.

Daten-Hack bei bulgarischer Finanzbehörde

Den Schlussanträgen liegt ein Fall aus Bulgarien zu Grunde. 2019 wurde dort die Nationale Agentur für Einnahmen (NAP) gehackt und Steuer- und Sozialversicherungsdaten von Millionen von Menschen wurden im Internet veröffentlicht. Mehrere Betroffene verklagten die Behörde daraufhin auf immateriellen Schadensersatz wegen der Befürchtung, dass ihre personenbezogenen Daten künftig missbraucht werden könnten. Ihrer Ansicht nach hatte die NAP gegen nationale Vorschriften und ihre Verpflichtung verstoßen, geeignete Maßnahmen zu ergreifen, um als Verantwortliche bei der Verarbeitung personenbezogener Daten angemessene Sicherheitsstandards zu gewährleisten.

Ersatz des immateriellen Schadens nach Hackerangriff?

Das erstinstanzliche Gericht wies die Klage mit der Begründung ab, dass die Veröffentlichung der Daten nicht der NAP zuzurechnen sei, dass die Beweislast für die Geeignetheit der Maßnahmen bei den Klägern liege und dass kein immaterieller Schaden geltend gemacht werden könne. Das mit der Kassationsbeschwerde befasste Gericht rief den EuGH zur Auslegung der DS-GVO an, um zu klären, unter welchen Bedingungen eine Person, deren personenbezogene Daten, die sich im Besitz einer öffentlichen Agentur befinden, nach einem Hackerangriff im Internet veröffentlicht wurden, Ersatz des immateriellen Schadens verlangen kann.

Daten-Hack allein lässt nicht auf ungeeignete Schutzmaßnahmen schließen

In seinen Schlussanträgen weist Generalanwalt Pitruzzella zunächst darauf hin, dass der Verantwortliche geeignete technische und organisatorische Maßnahmen umsetzen müsse, um sicherzustellen, dass die Verarbeitung personenbezogener Daten gemäß der DS-GVO erfolge. Die Geeignetheit dieser Maßnahmen werde je nach Einzelfall bestimmt. Jedenfalls aber könne von einer "Verletzung des Schutzes personenbezogener Daten" nicht ohne weiteres auf die Ungeeignetheit der Maßnahmen geschlossen werden. Bei der Auswahl der Maßnahmen müsse der Verantwortliche eine Reihe von Faktoren berücksichtigen, darunter den "Stand der Technik" und die Implementierungskosten. Die gerichtliche Beurteilung der ;Geeignetheit der Maßnahmen müsse auf einer Abwägung zwischen den Interessen der betroffenen Person und den wirtschaftlichen Interessen und technischen Möglichkeiten des Verantwortlichen unter Wahrung des allgemeinen Verhältnismäßigkeitsgrundsatzes beruhen.

Verantwortlicher muss Geeignetheit der Schutzmaßnahmen nachweisen

Zudem müsse das nationale Gericht bei der Prüfung der Frage, ob die Maßnahmen geeignet gewesen seien, sowohl deren Inhalt als auch die Art und Weise ihrer Durchführung und ihrer praktischen Auswirkungen in den Blick nehmen. Dabei müssten daher alle Faktoren berücksichtigt werden, die in der DS-GVO enthalten seien, etwa die Einführung von Verhaltensregeln oder Zertifizierungssystemen. Der Verantwortliche müsse nachweisen, dass er die in den Verhaltensregeln vorgesehenen Maßnahmen tatsächlich ergriffen habe, während die Zertifizierung als solche den Beweis für die Übereinstimmung der durchgeführten Verarbeitungen mit der Verordnung darstelle. Außerdem obliege dem Verantwortlichen der Nachweis, dass die Maßnahmen geeignet seien.

Hohe Anforderungen an Haftungsbefreiung

Weiter stelle der Umstand, dass der DS-GVO-Verstoß durch einen Dritten begangen wurde, für sich genommen keinen Grund dar, den Verantwortlichen von der Haftung zu befreien. Für eine Haftungsbefreiung müsse der Verantwortliche vielmehr mit hohem Beweisniveau nachweisen, dass er für den Eintritt des Schadens in keinerlei Hinsicht verantwortlich sei. Denn bei der Haftung für die unrechtmäßige Verarbeitung personenbezogener Daten handele es sich um eine verschärfte Haftung für mutmaßliches Verschulden. Der Verantwortliche habe daher die Möglichkeit, einen Entlastungsbeweis vorzulegen.

Befürchtung künftigen Missbrauchs kann immateriellen Schaden darstellen

Schließlich ist Pitruzzella der Ansicht, dass die Befürchtung eines möglichen künftigen Missbrauchs der personenbezogenen Daten einen immateriellen Schaden darstellen kann, der einen Schadensersatzanspruch begründet. Dies gelte aber nur, wenn es sich um einen realen und sicheren emotionalen Schaden und nicht nur um ein Ärgernis oder eine Unannehmlichkeit handele.

EuGH, Schlussanträge vom 27.04.2023 - C-340/21

Redaktion beck-aktuell, 27. April 2023.

Weiterführende Links

Zum Thema im Internet 

Die Schlussanträge des Generalanwalts finden Sie auf der Website des EuGH.

Aus der Datenbank beck-online

Paal, Höhe des Ersatzes immaterieller Schäden nach Art. 82 DS-GVO, NJW 2022, 3673

Paal/Aliprandi, Immaterieller Schadensersatz bei Datenschutzverstößen, ZD 2021, 241

Klein, Immaterieller Schadensersatz nach der DS-GVO, GRUR-Prax 2020, 433

Korch, Schadensersatz für Datenschutzverstöße, NJW 2021, 978

Wybitul, Vermeidung von DS-GVO-Risiken nach Datenpannen und Cyberangriffen, NJW 2020, 2577

Weller/Grifo, Schadensersatz nach Cyberangriffen – Ansprüche, Gerichtsstand und anwendbares Recht –, WM 2020, 1513

Internet Explorer: Unsere Empfehlung

×
Sie nutzen noch den Interenet Explorer 11 (IE11) und wir empfehlen Ihnen, bis zum 15. Juni 2022 auf den neuen Browser „Microsoft Edge“ oder eine aktuelle Version eines anderen gängigen Internet-Browsers (Firefox, Chrome, usw.) umzusteigen. Wir folgen damit den Empfehlungen des Unternehmens Microsoft, das ebenfalls schrittweise begonnen hat, die Unterstützung dieser Browserversion einzustellen. Bei Fragen wenden Sie sich bitte an unsere Hotline unter der Telefonnummer 089-38189-421.