Im bulgarischen Anlassfall wurden im Zuge eines Cyberangriffs auf das IT-System der für die Einziehung öffentlicher Forderungen zuständigen Behörde (NAP) personenbezogene Daten von mehr als 6 Mio Betroffenen im Internet veröffentlicht. Einige hundert Betroffene begehrten von NAP den Ersatz ihres immateriellen Schadens iHv rd EUR 510 nach Art 82 DSGVO.
Rechtswidrigkeit und Beweislast
Nach Art 24 und 32 DSGVO muss der Verantwortliche technische und organisatorische Maßnahmen treffen, die darauf gerichtet sind, jede Verletzung des Schutzes personenbezogener Daten so weit wie möglich zu verhindern. Nach dem EuGH ist die Geeignetheit solcher Maßnahmen konkret und in Hinblick auf die speziell mit der jeweiligen Verarbeitung verbundenen Risiken zu beurteilen.
Eine unbefugte Offenlegung von bzw ein unbefugter Zugang zu personenbezogenen Daten durch einen Dritten iSv Art 4 Nr 10 DSGVO (ein „Cyberangriff“) begründet für sich keinen unwiderlegbaren Nachweis, dass die vom Verantwortlichen ergriffenen technischen und organisatorischen Maßnahmen nicht „geeignet“ iSd Art 24, 32 DSGVO waren.
Der Verantwortliche trägt allerdings die Beweislast dafür, dass die von ihm getroffenen Sicherheitsmaßnahmen iSv Art 32 DSGVO geeignet waren (Grundsatz der Rechenschaftspflicht, Art 5 Abs 2, Art 24 DSGVO). Ein gerichtliches Sachverständigengutachten ist dafür im Lichte des unionsrechtlichen Effektivitätsgrundsatzes weder generell notwendig noch ausreichend.
Haftungsbefreiung
Nach dem EuGH ist der Verantwortliche von seiner Schadenersatzpflicht gem Art 82 DSGVO nicht schon dadurch befreit, dass der Schaden aus einem Cyberangriff durch Dritte iSd Art 4 Nr 10 DSGVO resultiert. Er muss vielmehr nachweisen, dass es zwischen seinem DSGVO-Verstoß und dem dadurch entstandenen Schaden keinen Kausalzusammenhang gibt.
„Immaterieller Schaden“ ohne Missbrauch von Daten ?
Der Unionsgesetzgeber wollte unter den „Schadensbegriff“ auch einen Kontrollverlust über die eigenen Daten fassen, selbst wenn konkret keine missbräuchliche Verwendung erfolgt sein sollte (EG 85). Nach dem EuGH sind immaterielle Schäden daher unabhängig davon ersatzfähig, ob bereits eine missbräuchliche Verwendung von Daten durch Dritte erfolgt ist oder ob Betroffene einen Missbrauch bloß fürchten.
Betroffene müssen aber nachweisen, dass die für sie negativen Folgen eines Verstoßes einen immateriellen Schaden iSv Art 82 DSGVO darstellen. Dies ist vom nationalen Gericht mit Blick auf die besonderen Umständen und die betroffene Person zu prüfen.
EuGH 14.12.2023, C-340/21, Natsionalna agentsia za prihodite
Anmerkung:
Vgl EuGH C-300/21, Österreichische Post, wonach für den Ersatz immaterieller Schäden keine Erheblichkeitsschwelle eingezogen werden darf, der Schadensbegriff weit auszulegen ist, die betroffene Person das Vorliegen eines Schadens iSd Art 82 DSGVO aber nachweisen muss.
