Zum Inhalt

Haftung für immaterielle Schäden bei Cyberangriff

Ein Cyberangriff befreit nach dem Europäischen Gerichtshof nicht von der Haftung. Von seiner Haftung kann sich der Verantwortliche nur durch den Nachweis befreien, dass es keinen Kausalzusammenhang zwischen einem etwaigen Datenschutzverstoß und dem Schaden Betroffener gibt. Für das Vorliegen eines ersatzfähigen immateriellen Schadens iSd Art 82 Abs 2 DSGVO reicht die bloße Befürchtung Betroffener, dass ihre Daten missbräuchlich verwendet werden könnten, aus.

Im bulgarischen Anlassfall wurden im Zuge eines Cyberangriffs auf das IT-System der für die Einziehung öffentlicher Forderungen zuständigen Behörde (NAP) personenbezogene Daten von mehr als 6 Mio Betroffenen im Internet veröffentlicht. Einige hundert Betroffene begehrten von NAP den Ersatz ihres immateriellen Schadens iHv rd EUR 510 nach Art 82 DSGVO.

Rechtswidrigkeit und Beweislast 

Nach Art 24 und 32 DSGVO muss der Verantwortliche technische und organisatorische Maßnahmen treffen, die darauf gerichtet sind, jede Verletzung des Schutzes personenbezogener Daten so weit wie möglich zu verhindern. Nach dem EuGH ist die Geeignetheit solcher Maßnahmen konkret und in Hinblick auf die speziell mit der jeweiligen Verarbeitung verbundenen Risiken zu beurteilen.

Eine unbefugte Offenlegung von bzw ein unbefugter Zugang zu personenbezogenen Daten durch einen Dritten iSv Art 4 Nr 10 DSGVO (ein „Cyberangriff“) begründet für sich keinen unwiderlegbaren Nachweis, dass die vom Verantwortlichen ergriffenen technischen und organisatorischen Maßnahmen nicht „geeignet“ iSd Art 24, 32 DSGVO waren. 

Der Verantwortliche trägt allerdings die Beweislast dafür, dass die von ihm getroffenen Sicherheitsmaßnahmen iSv Art 32 DSGVO geeignet waren (Grundsatz der Rechenschaftspflicht, Art 5 Abs 2, Art 24 DSGVO). Ein gerichtliches Sachverständigengutachten ist dafür im Lichte des unionsrechtlichen Effektivitätsgrundsatzes weder generell notwendig noch ausreichend.

Haftungsbefreiung

Nach dem EuGH ist der Verantwortliche von seiner Schadenersatzpflicht gem Art 82 DSGVO nicht schon dadurch befreit, dass der Schaden aus einem Cyberangriff durch Dritte iSd Art 4 Nr 10 DSGVO resultiert. Er muss vielmehr nachweisen, dass es zwischen seinem DSGVO-Verstoß und dem dadurch entstandenen Schaden keinen Kausalzusammenhang gibt.

„Immaterieller Schaden“ ohne Missbrauch von Daten ?

Der Unionsgesetzgeber wollte unter den „Schadensbegriff“ auch einen Kontrollverlust über die eigenen Daten fassen, selbst wenn konkret keine missbräuchliche Verwendung erfolgt sein sollte (EG 85). Nach dem EuGH sind immaterielle Schäden daher unabhängig davon ersatzfähig, ob bereits eine missbräuchliche Verwendung von Daten durch Dritte erfolgt ist oder ob Betroffene einen Missbrauch bloß fürchten. 

Betroffene müssen aber nachweisen, dass die für sie negativen Folgen eines Verstoßes einen immateriellen Schaden iSv Art 82 DSGVO darstellen. Dies ist vom nationalen Gericht mit Blick auf die besonderen Umständen und die betroffene Person zu prüfen.

 

EuGH 14.12.2023, C-340/21, Natsionalna agentsia za prihodite

Anmerkung: 

Vgl EuGH C-300/21, Österreichische Post, wonach für den Ersatz immaterieller Schäden keine Erheblichkeitsschwelle eingezogen werden darf, der Schadensbegriff weit auszulegen ist, die betroffene Person das Vorliegen eines Schadens iSd Art 82 DSGVO aber nachweisen muss. 

Diesen Beitrag teilen

Facebook Twitter Drucken E-Mail

Das könnte auch interessant sein:

Spanische Hofreitschule – Lipizzanergestüt Piber Kletterpark gibt Unterlassungserklärung ab

Spanische Hofreitschule – Lipizzanergestüt Piber Kletterpark gibt Unterlassungserklärung ab

Das Lipizzanergestüt Piber betreibt auf dem Gelände des Lipizzanergestüts Piber einen Kletterpark.
Anlässlich einer Verbraucher:innenbeschwerde hat der VKI die AGB dieses Kletterparks geprüft und die Spanische Hofreitschule – Lipizzanergestüt Piber Kletterpark, im Auftrag des Sozialministeriums, wegen zwei unzulässigen Klauseln in diesen Teilnahmebedingungen für den Kletterpark abgemahnt. Betroffen sind eine Haftungsfreizeichnungsklausel und eine Klausel, welche die Verwendung von aufgenommenen Fotos und Videos während der Aktivitäten im Kletterpark ohne weitere Zustimmung und auch für Werbezwecke erlaubt hätte.

Die Spanische Hofreitschule – Lipizzanergestüt Piber Kletterpark hat am 25.06.2024 eine außergerichtliche strafbewehrte Unterlassungserklärung abgegeben.

Unterlassungserklärung von Temu

Unterlassungserklärung von Temu

Der Verein für Konsumenteninformation (VKI) hat im Auftrag des BMSGPK die Whaleco Technology Limited (Temu) wegen unzureichender Zurverfügungstellung von Kontaktinformationen (konkret: Telefonnummer) auf ihrer Website abgemahnt. Die Homepagegestaltung von Temu entsprach nach Auffassung des VKI nicht den Vorgaben des FAGG. Temu hat am 24.06.2024 eine Unterlassungserklärung abgegeben.

zupfdi.at: VKI informiert über mögliche Rückforderungsansprüche betroffener Verbraucher:innen

zupfdi.at: VKI informiert über mögliche Rückforderungsansprüche betroffener Verbraucher:innen

Der OGH hat mit Beschluss vom 25.01.2024 (4 Ob 5/24z) das Geschäftsmodell der gewerblichen „Besitzschützer“ hinter der Website www.zupfdi.at für rechtswidrig erkannt. Das HG Wien hat in VKI-Verbandsverfahren ua die Unzulässigkeit von Klauseln über die Abtretung der Besitzschutzansprüche und die Einräumung von Mitbesitz an den bewachten Liegenschaften bestätigt. Nach Rechtsauffassung des VKI ergeben sich aus diesen Entscheidungen Rückforderungsansprüche der betroffenen Verbraucher:innen, die Zahlungen an „Zupf di“ getätigt haben.

Unterlassungserklärung der Sanag Health Care GmbH

Der VKI hat – im Auftrag des Sozialministeriums – die Sanag Health Care GmbH wegen acht Klauseln in ihrem Mietvertrag für ein Leihgerät abgemahnt. Die Sanag Health Care GmbH hat zu allen Klauseln eine Unterlassungserklärung abgegeben.

EuGH: keine Tragung von Verfahrenskosten durch Verbraucher:innen bei missbräuchlichen Vertragsklauseln

EuGH: keine Tragung von Verfahrenskosten durch Verbraucher:innen bei missbräuchlichen Vertragsklauseln

Der Europäische Gerichtshof (EuGH) äußerte sich kürzlich zu offenen Auslegungsverfahren der Klausel-Richtlinie (RL 93/13/EWG) und der Verbraucherkredit-Richtlinie 2008 (RL 2008/48/EG). Das Urteil vom 21.03.2024 (C-714/22, Profi Credit Bulgaria) betrifft ein bulgarisches Vorlageverfahren; die Aussagen des Gerichtshof sind jedoch auch für österreichische Verbraucher:innen von Relevanz.

unterstützt durch das

Sozialministerium
Zum Seitenanfang