Datenlecks: EuGH macht Schadensersatz leichter

Der EuGH stärkt in seinem Urteil (C-340/21) die Rechte von Betroffenen von Datenlecks durch einen erleichterten Zugang zur Geltendmachung eines Schadensersatzes.

Datenverarbeiter haben bei Hackerangriffen bisher nur mit wenig Konsequenzen rechnen müssen. Dies ist vor allem darauf zurückzuführen, dass trotz eines Datenlecks bei einem Unternehmen oder einer Behörde ein tatsächlicher Datenmissbrauch überhaupt nicht stattgefunden hat. So war es auch im Jahr 2019, als die bulgarische Finanzbehörde (NAP) von einem groß angelegten Hackerangriff erschüttert und lahmgelegt wurde. Bei diesem Angriff seien von Millionen von Menschen personenbezogene Daten im Internet veröffentlicht worden.

Das oberste bulgarische Verwaltungsgericht hat dem EuGH dazu mehrere Fragen zur Auslegung der Datenschutz-Grundverordnung (DS-GVO) in einem Vorabentscheidungsersuchen vorgelegt.

Die Kernaussagen des Gerichtshofs lauten im Wesentlichen wie folgt:

  • Eine unbefugte Offenlegung oder ein unbefugter Zugang zu personenbezogenen Daten durch "Dritte" reicht allein nicht aus, um die technischen und organisatorischen Maßnahmen eines Verantwortlichen als „ungeeignet“ im Sinne von Art. 24 u. 32 DS-GVO zu betrachten; stattdessen erfordert die DS-GVO eine detaillierte Bewertung dieser Maßnahmen anhand verschiedener Kriterien.
  • Die Gerichte haben die Geeignetheit der Maßnahmen einzelfallabhängig und konkret zu prüfen und zu beurteilen.
  • Der Gerichtshof stellt fest, dass die Beweislast für die Geeignetheit der Maßnahmen beim Verantwortlichen liegt.
  • Verantwortliche sind nicht automatisch von ihrer Haftung befreit, wenn Dritte unbefugten Zugriff auf personenbezogene Daten haben; eine Haftungsbefreiung ist nur möglich, wenn der Verantwortliche nachweist, dass er nicht für den eingetretenen Schaden verantwortlich ist.
  • Die „Befürchtung“ einer betroffenen Person, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, kann allein einen "immateriellen Schaden" im Sinne von Art. 82 Abs. 1 DS-GVO darstellen.

Das Urteil des EuGH ist ein nächster Schritt für den Schutz der Rechte von Betroffenen bei Datenlecks. Es erleichtert grundlegend die Geltendmachung eines Schadensersatzanspruches, wobei ein tatsächlicher Schaden überhaupt nicht eingetreten sein muss. Darüber hinaus wird die Verantwortung für die Datensicherheit von Unternehmen und auch Behörden weiter erhöht. So verschärft sich die Verantwortung und Schutzpflicht der Verantwortlichen von personenbezogenen Daten, was wiederum zu mehr Verfahren wegen Schadensersatzansprüchen führen wird.

+49 641 98 44 57-0
info@westpruefung.de