Sorge um Erpressung, Angriff, Entführung
Hintergrund des weitreichenden Urteils der europäischen Richter ist ein Rechtsstreit im Zusammenhang mit einem Cyberangriff auf die bulgarische Nationalen Agentur für Einnahmen (kurz: NAP). Die Behörde untersteht dem staatlichen Finanzministerium und verarbeitet personenbezogene Informationen von In- und Ausländern. Im Juli 2019 berichteten Medien, dass Daten der NAP von mehr als 6 Millionen Menschen im Internet veröffentlicht worden waren. Mehrere Hundert Betroffene klagten auf Schadensersatz. In einem Fall hatte das Verwaltungsgericht der Stadt Sofia darüber zu entscheiden, ob schon die Sorge um einen möglichen Missbrauch der Daten einen immateriellen Schaden darstellt.
Wer trägt die Beweislast?
Die NAP sagte vor Gericht aus, man habe alles getan, um Kundendaten zu schützen und den Schaden im Fall eines Datenlecks zu minimieren. Tatsächlich sei die Behörde selbst Opfer der Täter und könne für eventuelle Folgen nicht verantwortlich gemacht werden. Keinesfalls trage man Verantwortung für eventuelle Ängste und Sorgen im Zusammenhang mit der Veröffentlichung der Daten. Während das Verwaltungsgericht Sofia der Argumentation weitgehend folgte, gab die Berufungsinstanz den Fall weiter an den Europäischen Gerichtshof (kurz: EuGH) in Luxemburg.
Wann sind Daten ausreichend geschützt?
Für den EuGH ergaben sich aus dem Fall fünf grundsätzliche Fragen zur Auslegung der Datenschutz-Grundverordnung (kurz: DSGVO): Kann aus der Tatsache, dass personenbezogene Daten abflossen, automatisch gefolgert werden, dass die Behörde diese nicht ausreichend geschützt hatte? Und wenn das nicht der Fall ist: Wie kann und muss ein Gericht feststellen, ob angemessene Schutzmaßnahmen ergriffen wurden? Obliegt die Beweislast den Verantwortlichen und reicht es, wenn sie ein entsprechendes Sachverständigengutachten vorlegen? Sind sie möglicherweise grundsätzlich von der Haftung befreit, wenn der Datenmissbrauch durch Dritte erfolgt? Und nicht zuletzt: Stellt allein die Angst vor den möglichen Folgen eines Cyberangriffs einen immateriellen Schaden dar?
Haftungsfreiheit nur, wenn Daten ausreichend geschützt
In ihrem Urteil (Az. C-340/21) kommen die Richter zu dem Schluss, dass ein erfolgreicher Hackerangriff nicht automatisch auf mangelnden Datenschutz schließen lässt. Dass sie alles Notwendige für die Sicherheit der Informationen getan hätten, müssten allerdings laut DSGVO die Verantwortlichen belegen können. Bei der Überprüfung dürfe sich ein Gericht nicht allein auf ein vorgelegtes Sachverständigenurteil beschränken. Vielmehr seien verschiedene Kriterien zu berücksichtigen, die in der Datenschutz-Grundverordnung aufgezählt seien. Demnach hänge das erforderliche Schutzniveau beispielsweise ab von der Art der Daten sowie von den Risiken, die mit einem Missbrauch verbunden seien. Auch bei der Frage nach der Haftung verwies der EuGH auf den Gesetzestext. Befreit ist demnach nur, wer nachweisen kann, dass die Daten gemäß den Vorgaben der DSGVO ausreichend vor Missbrauch geschützt waren.
Kontrollverlust als immaterieller Schaden
Sind Daten von Verbrauchern erst einmal abgeflossen, kann schon die Angst vor damit verbundenen Folgen einen Anspruch auf Schadensersatz begründen, so der EuGH. Die DSGVO sehe ausdrücklich bereits den Verlust der Kontrolle über die eigenen Daten als einen immateriellen Schaden an. In der Praxis folgt daraus, dass Verbraucher nach Cyberangriffen auf Unternehmen oder Behörden auch ohne nachgewiesenen Missbrauch Schadensersatz fordern können.
Fazit
Mit dem Urteil ist für Unternehmer ein hoher Sicherheitsstandard bei der Verarbeitung von Daten noch wichtiger geworden. Denn im Zusammenhang mit Datenlecks oder Cyberangriffen sind Verantwortliche nur dann von der Haftung befreit, wenn sie nachweisen können, nicht für den Abfluss verantwortlich zu sein. Gelingt ihnen das nicht, müssen sie nicht nur bei einem tatsächlichen Datenmissbrauch Schadensersatz zahlen. Auch die Angst der Opfer vor den Folgen begründet einen Anspruch.
Alles, was Sie wissen müssen
