Daten-Hack bei bulgarischer Finanzbehörde
Den Schlussanträgen liegt ein Fall aus Bulgarien zu Grunde. 2019 wurde dort die Nationale Agentur für Einnahmen (NAP) gehackt und Steuer- und Sozialversicherungsdaten von Millionen von Menschen wurden im Internet veröffentlicht. Mehrere Betroffene verklagten die Behörde daraufhin auf immateriellen Schadensersatz wegen der Befürchtung, dass ihre personenbezogenen Daten künftig missbraucht werden könnten. Ihrer Ansicht nach hatte die NAP gegen nationale Vorschriften und ihre Verpflichtung verstoßen, geeignete Maßnahmen zu ergreifen, um als Verantwortliche bei der Verarbeitung personenbezogener Daten angemessene Sicherheitsstandards zu gewährleisten.
Ersatz des immateriellen Schadens nach Hackerangriff?
Das erstinstanzliche Gericht wies die Klage mit der Begründung ab, dass die Veröffentlichung der Daten nicht der NAP zuzurechnen sei, dass die Beweislast für die Geeignetheit der Maßnahmen bei den Klägern liege und dass kein immaterieller Schaden geltend gemacht werden könne. Das mit der Kassationsbeschwerde befasste Gericht rief den EuGH zur Auslegung der DS-GVO an, um zu klären, unter welchen Bedingungen eine Person, deren personenbezogene Daten, die sich im Besitz einer öffentlichen Agentur befinden, nach einem Hackerangriff im Internet veröffentlicht wurden, Ersatz des immateriellen Schadens verlangen kann.
Daten-Hack allein lässt nicht auf ungeeignete Schutzmaßnahmen schließen
In seinen Schlussanträgen weist Generalanwalt Pitruzzella zunächst darauf hin, dass der Verantwortliche geeignete technische und organisatorische Maßnahmen umsetzen müsse, um sicherzustellen, dass die Verarbeitung personenbezogener Daten gemäß der DS-GVO erfolge. Die Geeignetheit dieser Maßnahmen werde je nach Einzelfall bestimmt. Jedenfalls aber könne von einer "Verletzung des Schutzes personenbezogener Daten" nicht ohne weiteres auf die Ungeeignetheit der Maßnahmen geschlossen werden. Bei der Auswahl der Maßnahmen müsse der Verantwortliche eine Reihe von Faktoren berücksichtigen, darunter den "Stand der Technik" und die Implementierungskosten. Die gerichtliche Beurteilung der ;Geeignetheit der Maßnahmen müsse auf einer Abwägung zwischen den Interessen der betroffenen Person und den wirtschaftlichen Interessen und technischen Möglichkeiten des Verantwortlichen unter Wahrung des allgemeinen Verhältnismäßigkeitsgrundsatzes beruhen.
Verantwortlicher muss Geeignetheit der Schutzmaßnahmen nachweisen
Zudem müsse das nationale Gericht bei der Prüfung der Frage, ob die Maßnahmen geeignet gewesen seien, sowohl deren Inhalt als auch die Art und Weise ihrer Durchführung und ihrer praktischen Auswirkungen in den Blick nehmen. Dabei müssten daher alle Faktoren berücksichtigt werden, die in der DS-GVO enthalten seien, etwa die Einführung von Verhaltensregeln oder Zertifizierungssystemen. Der Verantwortliche müsse nachweisen, dass er die in den Verhaltensregeln vorgesehenen Maßnahmen tatsächlich ergriffen habe, während die Zertifizierung als solche den Beweis für die Übereinstimmung der durchgeführten Verarbeitungen mit der Verordnung darstelle. Außerdem obliege dem Verantwortlichen der Nachweis, dass die Maßnahmen geeignet seien.
Hohe Anforderungen an Haftungsbefreiung
Weiter stelle der Umstand, dass der DS-GVO-Verstoß durch einen Dritten begangen wurde, für sich genommen keinen Grund dar, den Verantwortlichen von der Haftung zu befreien. Für eine Haftungsbefreiung müsse der Verantwortliche vielmehr mit hohem Beweisniveau nachweisen, dass er für den Eintritt des Schadens in keinerlei Hinsicht verantwortlich sei. Denn bei der Haftung für die unrechtmäßige Verarbeitung personenbezogener Daten handele es sich um eine verschärfte Haftung für mutmaßliches Verschulden. Der Verantwortliche habe daher die Möglichkeit, einen Entlastungsbeweis vorzulegen.
Befürchtung künftigen Missbrauchs kann immateriellen Schaden darstellen
Schließlich ist Pitruzzella der Ansicht, dass die Befürchtung eines möglichen künftigen Missbrauchs der personenbezogenen Daten einen immateriellen Schaden darstellen kann, der einen Schadensersatzanspruch begründet. Dies gelte aber nur, wenn es sich um einen realen und sicheren emotionalen Schaden und nicht nur um ein Ärgernis oder eine Unannehmlichkeit handele (Schlussanträge v. 27.04.2023 - C-340/21).