Zum Inhalt

Haftung für immaterielle Schäden bei Cyberangriff

Ein Cyberangriff befreit nach dem Europäischen Gerichtshof nicht von der Haftung. Von seiner Haftung kann sich der Verantwortliche nur durch den Nachweis befreien, dass es keinen Kausalzusammenhang zwischen einem etwaigen Datenschutzverstoß und dem Schaden Betroffener gibt. Für das Vorliegen eines ersatzfähigen immateriellen Schadens iSd Art 82 Abs 2 DSGVO reicht die bloße Befürchtung Betroffener, dass ihre Daten missbräuchlich verwendet werden könnten, aus.

Im bulgarischen Anlassfall wurden im Zuge eines Cyberangriffs auf das IT-System der für die Einziehung öffentlicher Forderungen zuständigen Behörde (NAP) personenbezogene Daten von mehr als 6 Mio Betroffenen im Internet veröffentlicht. Einige hundert Betroffene begehrten von NAP den Ersatz ihres immateriellen Schadens iHv rd EUR 510 nach Art 82 DSGVO.

Rechtswidrigkeit und Beweislast 

Nach Art 24 und 32 DSGVO muss der Verantwortliche technische und organisatorische Maßnahmen treffen, die darauf gerichtet sind, jede Verletzung des Schutzes personenbezogener Daten so weit wie möglich zu verhindern. Nach dem EuGH ist die Geeignetheit solcher Maßnahmen konkret und in Hinblick auf die speziell mit der jeweiligen Verarbeitung verbundenen Risiken zu beurteilen.

Eine unbefugte Offenlegung von bzw ein unbefugter Zugang zu personenbezogenen Daten durch einen Dritten iSv Art 4 Nr 10 DSGVO (ein „Cyberangriff“) begründet für sich keinen unwiderlegbaren Nachweis, dass die vom Verantwortlichen ergriffenen technischen und organisatorischen Maßnahmen nicht „geeignet“ iSd Art 24, 32 DSGVO waren. 

Der Verantwortliche trägt allerdings die Beweislast dafür, dass die von ihm getroffenen Sicherheitsmaßnahmen iSv Art 32 DSGVO geeignet waren (Grundsatz der Rechenschaftspflicht, Art 5 Abs 2, Art 24 DSGVO). Ein gerichtliches Sachverständigengutachten ist dafür im Lichte des unionsrechtlichen Effektivitätsgrundsatzes weder generell notwendig noch ausreichend.

Haftungsbefreiung

Nach dem EuGH ist der Verantwortliche von seiner Schadenersatzpflicht gem Art 82 DSGVO nicht schon dadurch befreit, dass der Schaden aus einem Cyberangriff durch Dritte iSd Art 4 Nr 10 DSGVO resultiert. Er muss vielmehr nachweisen, dass es zwischen seinem DSGVO-Verstoß und dem dadurch entstandenen Schaden keinen Kausalzusammenhang gibt.

„Immaterieller Schaden“ ohne Missbrauch von Daten ?

Der Unionsgesetzgeber wollte unter den „Schadensbegriff“ auch einen Kontrollverlust über die eigenen Daten fassen, selbst wenn konkret keine missbräuchliche Verwendung erfolgt sein sollte (EG 85). Nach dem EuGH sind immaterielle Schäden daher unabhängig davon ersatzfähig, ob bereits eine missbräuchliche Verwendung von Daten durch Dritte erfolgt ist oder ob Betroffene einen Missbrauch bloß fürchten. 

Betroffene müssen aber nachweisen, dass die für sie negativen Folgen eines Verstoßes einen immateriellen Schaden iSv Art 82 DSGVO darstellen. Dies ist vom nationalen Gericht mit Blick auf die besonderen Umständen und die betroffene Person zu prüfen.

 

EuGH 14.12.2023, C-340/21, Natsionalna agentsia za prihodite

Anmerkung: 

Vgl EuGH C-300/21, Österreichische Post, wonach für den Ersatz immaterieller Schäden keine Erheblichkeitsschwelle eingezogen werden darf, der Schadensbegriff weit auszulegen ist, die betroffene Person das Vorliegen eines Schadens iSd Art 82 DSGVO aber nachweisen muss. 

Diesen Beitrag teilen

Facebook Twitter Drucken E-Mail

Das könnte auch interessant sein:

EuGH: Schranken für Creditscoring und Speicherdauer

EuGH: Schranken für Creditscoring und Speicherdauer

Der Europäische Gerichtshof stellt klar: Schon die automatisierte Erstellung eines „Score-Werts“ zur Zahlungsausfallswahrscheinlichkeit durch eine Kreditauskunftei unterliegt den strengen Vorgaben für „automatisierte Entscheidungen“ nach Art 22 DSGVO. Informationen über eine Restschuldbefreiung im Insolvenzverfahren dürfen von Wirtschaftsauskunfteien zwecks Bonitätsprüfung nicht mehr verarbeitet werden, sobald diese Daten im öffentlichen Insolvenzregister gelöscht sind. 

VKI-Tipps Weihnachtsgeschenke: Umtausch, Gewährleistung, Gutscheine

VKI-Tipps Weihnachtsgeschenke: Umtausch, Gewährleistung, Gutscheine

Vor dem 24. Dezember werden die Geschenke gekauft - nach dem 24. Dezember stellt sich die Frage: Was mache ich mit einem Geschenk, das nicht gefällt oder nicht funktioniert? Sehr beliebte Weihnachtsgeschenke sind Gutscheine. Aber was passiert, wenn die verbriefte Leistung teurer oder der Unternehmer insolvent wird?

unterstützt durch das

Sozialministerium
Zum Seitenanfang