Zum Inhalt

Haftung für immaterielle Schäden bei Cyberangriff

Ein Cyberangriff befreit nach dem Europäischen Gerichtshof nicht von der Haftung. Von seiner Haftung kann sich der Verantwortliche nur durch den Nachweis befreien, dass es keinen Kausalzusammenhang zwischen einem etwaigen Datenschutzverstoß und dem Schaden Betroffener gibt. Für das Vorliegen eines ersatzfähigen immateriellen Schadens iSd Art 82 Abs 2 DSGVO reicht die bloße Befürchtung Betroffener, dass ihre Daten missbräuchlich verwendet werden könnten, aus.

Im bulgarischen Anlassfall wurden im Zuge eines Cyberangriffs auf das IT-System der für die Einziehung öffentlicher Forderungen zuständigen Behörde (NAP) personenbezogene Daten von mehr als 6 Mio Betroffenen im Internet veröffentlicht. Einige hundert Betroffene begehrten von NAP den Ersatz ihres immateriellen Schadens iHv rd EUR 510 nach Art 82 DSGVO.

Rechtswidrigkeit und Beweislast 

Nach Art 24 und 32 DSGVO muss der Verantwortliche technische und organisatorische Maßnahmen treffen, die darauf gerichtet sind, jede Verletzung des Schutzes personenbezogener Daten so weit wie möglich zu verhindern. Nach dem EuGH ist die Geeignetheit solcher Maßnahmen konkret und in Hinblick auf die speziell mit der jeweiligen Verarbeitung verbundenen Risiken zu beurteilen.

Eine unbefugte Offenlegung von bzw ein unbefugter Zugang zu personenbezogenen Daten durch einen Dritten iSv Art 4 Nr 10 DSGVO (ein „Cyberangriff“) begründet für sich keinen unwiderlegbaren Nachweis, dass die vom Verantwortlichen ergriffenen technischen und organisatorischen Maßnahmen nicht „geeignet“ iSd Art 24, 32 DSGVO waren. 

Der Verantwortliche trägt allerdings die Beweislast dafür, dass die von ihm getroffenen Sicherheitsmaßnahmen iSv Art 32 DSGVO geeignet waren (Grundsatz der Rechenschaftspflicht, Art 5 Abs 2, Art 24 DSGVO). Ein gerichtliches Sachverständigengutachten ist dafür im Lichte des unionsrechtlichen Effektivitätsgrundsatzes weder generell notwendig noch ausreichend.

Haftungsbefreiung

Nach dem EuGH ist der Verantwortliche von seiner Schadenersatzpflicht gem Art 82 DSGVO nicht schon dadurch befreit, dass der Schaden aus einem Cyberangriff durch Dritte iSd Art 4 Nr 10 DSGVO resultiert. Er muss vielmehr nachweisen, dass es zwischen seinem DSGVO-Verstoß und dem dadurch entstandenen Schaden keinen Kausalzusammenhang gibt.

„Immaterieller Schaden“ ohne Missbrauch von Daten ?

Der Unionsgesetzgeber wollte unter den „Schadensbegriff“ auch einen Kontrollverlust über die eigenen Daten fassen, selbst wenn konkret keine missbräuchliche Verwendung erfolgt sein sollte (EG 85). Nach dem EuGH sind immaterielle Schäden daher unabhängig davon ersatzfähig, ob bereits eine missbräuchliche Verwendung von Daten durch Dritte erfolgt ist oder ob Betroffene einen Missbrauch bloß fürchten. 

Betroffene müssen aber nachweisen, dass die für sie negativen Folgen eines Verstoßes einen immateriellen Schaden iSv Art 82 DSGVO darstellen. Dies ist vom nationalen Gericht mit Blick auf die besonderen Umständen und die betroffene Person zu prüfen.

 

EuGH 14.12.2023, C-340/21, Natsionalna agentsia za prihodite

Anmerkung: 

Vgl EuGH C-300/21, Österreichische Post, wonach für den Ersatz immaterieller Schäden keine Erheblichkeitsschwelle eingezogen werden darf, der Schadensbegriff weit auszulegen ist, die betroffene Person das Vorliegen eines Schadens iSd Art 82 DSGVO aber nachweisen muss. 

Diesen Beitrag teilen

Facebook Twitter Drucken E-Mail

Das könnte auch interessant sein:

Unterlassungserklärung des Hoffman-Vereins

Der VKI hat – im Auftrag des Sozialministeriums – die 24h-Betreuungsagentur Hoffman-Verein wegen dreier Klauseln in ihrem Aufnahmeantrag (Vermittlungs- und Organisationsvertrag) abgemahnt.

Unterlassungserklärung von Bosch

Unterlassungserklärung von Bosch

Der VKI hat im Auftrag des BMSGPK die Robert Bosch AG (Bosch) wegen drei unzulässiger Klauseln in einem Thermenwartungs-Vertragsformblatt des Bosch-Werkskundendienstes abgemahnt.

EU beschließt „Recht auf Reparatur“-Richtlinie

EU beschließt „Recht auf Reparatur“-Richtlinie

Am 13.6.2024 wurde die EU-Richtlinie 2024/1799 zur Förderung der Reparatur von Waren („Right to Repair“-Directive) verabschiedet. Die Richtlinie ist Bestandteil des European Green Deal und soll einen nachhaltigeren Konsum fördern. Vom österreichischen Gesetzgeber ist die Richtlinie bis zum 31.7.2026 in nationales Recht umzusetzen. Wir informieren über die wichtigsten Neuerungen.

unterstützt durch das

Sozialministerium
Zum Seitenanfang