Neben Bußgeldern sind auch Haftungsansprüche wegen Datenschutzverletzungen zunehmend eine Kostenfalle für Unternehmen. Der europäische Gerichtshof hatte in der Rechtssache C-340/21 hierzu über einige Rechtsfragen zu entscheiden: Wie wird mit Datenschutzverletzungen umgegangen, wenn personenbezogene Daten durch Hackerangriffe entwendet werden? Wer trägt die Verantwortung und wofür muss Schadensersatz gezahlt werden?
Der Ausgangspunkt: Hackerangriff in Bulgarien
In Bulgarien gab es am 15. Juli 2019 einen Hackerangriff auf die Nationale Agentur für Einnahmen. Hierbei wurden eine Vielzahl personenbezogene Daten entwendet, darunter auch Steuer- und Sozialversicherungsdaten. Mehrere Personen, darunter die Klägerin im vorliegenden Verfahren, reichten Klage auf Schadensersatz ein. Sie argumentierten, dass die Angst vor möglichem Missbrauch ihrer Daten einen solchen Schaden darstelle. Der EuGH hat ihre Rechtsauffassung nun bestätigt.
Die Key Facts der Entscheidung des EuGH:
1. Die aus einer Datenschutzverletzung resultierenden Sorgen und Befürchtungen der Betroffenen vor einem möglichen Datenmissbrauchs sind ein ersatzfähiger Schaden!
Dass unter Umständen der Missbrauch personenbezogener Daten nur möglich und nicht bereits eingetreten sei, reicht nach Auffassung des EuGH bereits aus, dass die betroffene Person einen ersatzfähigen Schaden erlitten haben könne. Es ist also gerade nicht erforderlich, dass der Verletzte einen finanziellen Schaden darlegt. Auf Verantwortliche dürften also bei zukünftigen Hackerangriffen deutlich mehr Schadensersatzforderungen zukommen.
2. Allein die Tatsache, dass es zu einer Datenschutzverletzung gekommen ist, ist noch kein Beweis für unzureichende Sicherheitsmaßnahmen!
Eine Erleichterung für Unternehmen dürfte die Entscheidung des EuGH dahingehend sein, dass er ausdrücklich klargestellt hat, dass das Vorliegen einer Datenschutzverletzung nicht beweise, dass der Verantwortliche unzureichende Schutzmaßnahmen ergriffen habe. Denn Art. 32 DSGVO fordere vom Verantwortlichen nur, dass er geeignete Schutzmaßnahmen treffe, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Es ist gerade nicht erforderlich – und letzten Endes wohl auch nicht möglich – ein Restrisiko auszuschließen.
3. Der Verantwortliche muss im Prozess beweisen, dass die von ihm ergriffenen technisch-organisatorischen Maßnahmen geeignet sind!
Wenig überraschend, aber praktisch enorm bedeutend hat der EuGH klargestellt, dass es am Verantwortlichen liege, zu beweisen, dass er alle erforderlichen Maßnahmen zum Schutz der von ihm verarbeiteten personenbezogenen Daten ergriffen habe. Der Umfang der rechtlichen Verantwortlichkeit wird von der DSGVO seit jeher weit verstanden.
Das bedeutet jedoch nicht, dass der Kläger einen Schaden einfach ins Blaue hinein behaupten kann. Er muss weiterhin darlegen, dass ihm ein Schaden entstanden ist und das Verhalten des Verantwortlichen für diesen Schaden kausal war.
4. Das Gericht kann die Sicherheitsmaßnahmen der Verantwortlichen vollumfänglich überprüfen!
Ebenso wenig überraschend hat der EuGH in seiner Entscheidung auch klargestellt, dass die Gerichte die von Verantwortlichen ergriffenen Maßnahmen im Streitfall vollumfänglich nachprüfen könnten. Verantwortliche können sich als nicht darauf ausruhen, geeignete technisch-organisatorische Maßnahmen auf dem Papier vorzuhalten, denn spätestes im Prozess wird sich zeigen, ob die Vorgaben des Datenschutzes im Unternehmen auch gelebt wurden.
5. Verantwortliche haften nicht nur deswegen nicht, weil die Datenschutzverletzung durch einen Hackerangriff entstanden ist!
Wenn ein Verantwortlicher Ziel eines Cyberkriminalitätsangriffs wird, besteht die Möglichkeit, dass die eigene Nachlässigkeit des Verantwortlichen zu dem Angriff beigetragen hat, insbesondere wenn angemessene Sicherheitsmaßnahmen zum Schutz personenbezogener Daten nicht umgesetzt wurden. Die Beurteilung, ob den Verantwortlichen tatsächlich eine Schuld trifft, hängt vom Einzelfall ab und ist im Gerichtsverfahren zu ermitteln. Es liegt, wie oben bereits dargestellt, am Verantwortlichen zu beweisen, dass er in keinerlei Hinsicht für den Schaden verantwortlich ist.
Was dies für Unternehmen bedeutet
Für Unternehmen werden Hackerangriffe zunehmend zum Problem: Das Bundesamt für Sicherheit in der Informationstechnik stellt in seinem Jahresbericht 2023 fest, dass insbesondere Ransomware-Angriffe zunehmend professioneller werden und im Bereich der IT-Sicherheit die größte wirtschaftliche Bedrohung für die Privatwirtschaft in Deutschland darstellen (S. 55 d. Berichts). Die Maßnahmen, die fortwährend zum Schutz personenbezogener Daten ergriffen werden müssen, sind daher längst nicht mehr nur To-Dos für die Compliance: Vielmehr geht es auch um den Schutz der eigenen Geschäftsgeheimnisse, den Schutz vor Erpressungen, den guten Rufs des Unternehmens und das Vertrauen der Kundinnen und Kunden.
Fazit
Dieser Fall unterstreicht die Bedeutung angemessener Datenschutzmaßnahmen und die Verantwortung der datenverarbeitenden Stellen. Für Unternehmen und Organisationen ist die Entscheidung des EuGH eine Mahnung, Datenschutzpraktiken kontinuierlich zu überprüfen und sicherzustellen, dass sie den gesetzlichen Anforderungen entsprechen. Denn sonst drohen ihnen nicht nur behördliche Verfahren und eine Reputationsschädigung, sondern auch empfindliche Schadensersatzforderungen, auch wenn der eigentliche Schaden durch einen Cyberkriminellen verursacht wurde.
Bildnachweis für diesen Beitrag © Andrey Popov stock.adobe.com