Das Thema Datenschutz gewinnt angesichts zunehmender Cyberangriffe und Datenlecks immer mehr an Relevanz. In diesem Zusammenhang hat der Europäische Gerichtshof (EuGH) entschieden, unter welchen Bedingungen Betroffene nach einem Hackerangriff Schadensersatz geltend machen können. Die Richter stellen dabei zentrale Anforderungen an die Verantwortlichen und an deren Ausgestaltung technischer und organisatorischer Maßnahmen (TOM) (Urteil vom 14. Dezember 2023, Az.: C-340/21).
Hintergrund und rechtlicher Kontext
Im Mittelpunkt der Entscheidung stand ein Fall aus Bulgarien, in dem die Steuerbehörde Ziel eines Hackerangriffs wurde, bei dem personenbezogene Daten von über sechs Millionen Betroffenen im Internet veröffentlicht wurden.
Laut Datenschutz-Grundverordnung (DSGVO) müssen Verantwortliche Maßnahmen ergreifen, um personenbezogene Daten vor unbefugtem Zugriff zu schützen. Diese Maßnahmen müssen dem Stand der Technik entsprechen und geeignet sein, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Art. 32 DSGVO). Ein Verstoß hiergegen kann Schadensersatzansprüche nach sich ziehen, wenn ein konkreter Schaden nachgewiesen wird.
Vorliegend hatten hunderte Betroffene Klage eingereicht, darunter auch die Klägerin des Ausgangsverfahren, und forderten Schadensersatz für den immateriellen Schaden, der durch die Sorge vor einem potenziellen Datenmissbrauch entstanden war. In erster Instanz wurde die Klage abgewiesen, da die bulgarische Steuerbehörde argumentierte, sie habe angemessene Sicherheitsmaßnahmen getroffen, die einer Haftung entgegenstünden. Das Berufungsgericht wandte sich damit an den EuGH, welcher sich daraufhin mit der Auslegung von Art. 82 DSGVO bezüglich etwaiger Schadensersatzansprüche unter Verstoß gegen Art. 32 DSGVO beschäftige. Zudem wurden Fragen zur Beweislastverteilung beantwortet.
Aktuelle Urteile zur DSGVO
In unseren regelmäßigen Besprechungen von Urteilen zum Datenschutzrecht erklären wir Ihnen die Konsequenzen für den Unternehmensalltag.
Kernaussagen des Urteils
Geeignetheit der Maßnahmen
Eine unbefugte Offenlegung von bzw. ein unbefugter Zugang zu personenbezogenen Daten durch Dritte allein reicht nicht aus, um anzunehmen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht geeignet im Sinne der Art. 24 und 32 DSGVO sind.
Die Beurteilung erfolgt vielmehr nach Maßgabe von der DSGVO geforderter Kriterien. Dies sind insbesondere Art, Umfang, Umstände und Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und die Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen.
Die ergriffenen Schutzmaßnahmen müssen allerdings regelmäßig dem Stand der Technik genügen.
Beweislast und Nachweisdokumentation
Der Verantwortliche muss beweisen können, dass die Maßnahmen ausreichend waren und dem Stand der Technik entsprechen, was zu einer Beweislastumkehr führt.
Der EuGH stellt hierzu klar, dass ein Sachverständigengutachten zum Nachweis der Geeignetheit der TOM nicht obligatorisch ist. Andere Beweise wie unabhängige Sicherheitsprüfungen oder interne Kontrollen können ausreichen, um die Geeignetheit zu beurteilen.
Gerichte sind dazu angehalten, alle vorliegenden Beweise zu berücksichtigen und dürfen sich nicht allein auf Gutachten verlassen, um die Geeignetheit der Sicherheitsmaßnahmen zu prüfen.
Anforderungen an die Aktivlegitimation
Der EuGH stellt fest, dass bereits die Sorge vor einem möglichen Datenmissbrauch nach unbefugter Offenlegung an Dritte als immaterieller Schaden anerkannt werden kann. Ein konkret nachgewiesener Missbrauch der Daten durch Dritte ist nicht zwingend erforderlich.
Betroffene müssen für einen Anspruch auf Schadensersatz jedoch eine objektive Beeinträchtigung ihrer emotionalen oder psychischen Sphäre nachweisen können.
Voraussetzung ist außerdem ein kausaler Zusammenhang zwischen dem Verstoß und dem entstandenen Schaden. Die bloße Kenntnis eines Hacker-Angriffs und über die eigene Betroffenheit (diese wird in der Regel über die Benachrichtigungsverpflichtung gemäß. Art. 34 DSGVO erlangt) genügt dabei nicht, um die Aktivlegitimation zu begründen.
Folgen der Beweislastumkehr
Nach dem allgemeinen Grundsatz zur Beweislastverteilung obliegt es jeder Partei, den Nachweis derjenigen Tatsachen zu erbringen, die zur Durchsetzung ihrer eigenen rechtlichen Ansprüche relevant sind. Die obengenannte Beweislastumkehr bringt deshalb für Verantwortliche erhebliche Konsequenzen mit sich. Sie sind damit verpflichtet, nachzuweisen, dass sie alle notwendigen TOM ergriffen haben, um Cyberangriffe effektiv zu verhindern bzw. zu erschweren.
Dieser Nachweis erfordert eine sorgfältige Dokumentation sowie eine regelmäßige Überprüfung der Schutzmaßnahmen, um ihre Aktualität und Wirksamkeit sicherzustellen.
Zusätzlich können Zertifizierungen (etwa ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001) herangezogen werden, um die Wirksamkeit der Maßnahmen zu belegen. Die Zertifizierung muss sich dann aber auch speziell auf den vom Datenleck betroffenen Bereich beziehen.
Die ergriffenen Maßnahmen und deren Angemessenheit werden sodann einer vollen gerichtlichen Überprüfung unterzogen. Das hat zur Folge, dass Verantwortliche darauf vorbereitet sein müssen, ergriffene Schutzmaßnahmen vor Gericht zu verteidigen.
Falls der Nachweis nicht erbracht werden kann, dass alle erforderlichen Vorkehrungen getroffen wurden, droht eine Haftung für Datenschutzverstöße, die Schadensersatzforderungen nach sich ziehen können. Praktische Konsequenzen für Unternehmen
Für Unternehmen ergibt sich aus diesem Urteil eine klare Verpflichtung, ihre Schutzmaßnahmen nicht nur initial festzulegen, sondern auch regelmäßig dokumentiert zu evaluieren. Der Nachweis der Geeignetheit muss durch den Verantwortlichen jederzeit geführt werden können.
Neben Art, Zweck und Umfang der Verarbeitung, muss der Nachweis stets den Stand der Technik, die Implementierungskosten sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen umfassen.
Gefordert ist also nicht weniger als ein Risikomanagement für einzelne Verarbeitungen.
Fazit
Das EuGH-Urteil könnte Betroffene nach bekanntgewordenen Datenschutzverletzungen ermutigen, verstärkt Ansprüche gegen Verantwortliche geltend zu machen. Denn bereits die Befürchtung eines Datenmissbrauchs wird als Grundlage für immateriellen Schadensersatz anerkannt. Allerdings dürfte die vom EuGH geforderte detaillierte Einzelfallprüfung hinsichtlich Schadensbegründung und Kausalität verhindern, dass solche Ansprüche in großer Zahl durchgesetzt werden können.
Dennoch sind Verantwortliche gut beraten, wenn sichergestellt ist, dass ihre technischen und organisatorischen Maßnahmen den aktuellen Anforderungen entsprechen und regelmäßig überprüft werden. Eine Form von Risikomanagement kann im Zuge der dokumentierten Verarbeitungstätigkeiten erfolgen. Hierin kann auch die Bewertung einzelfallspezifischer Maßnahmen und deren Geeignetheit erfolgen.
