Cyberangriffe: Angst vor Datenmissbrauch reicht für Anspruch auf Schadensersatz

(5 Bewertungen, 4.00 von 5)

Worum geht's?

Wenn Daten von Kunden oder Abonnenten im Internet landen, kann das für die Verantwortlichen teuer werden. Und zwar nicht nur dann, wenn die Informationen oder Passwörter tatsächlich für Spam und Betrugsversuche benutzt werden. Schon die Furcht vor einem solchen Missbrauch kann nach einem aktuellen Urteil des EuGH einen Schadensersatzanspruch begründen.

Sorge um Erpressung, Angriff, Entführung

Hintergrund des weitreichenden Urteils der europäischen Richter ist ein Rechtsstreit im Zusammenhang mit einem Cyberangriff auf die bulgarische Nationalen Agentur für Einnahmen (kurz: NAP). Die Behörde untersteht dem staatlichen Finanzministerium und verarbeitet personenbezogene Informationen von In- und Ausländern. Im Juli 2019 berichteten Medien, dass Daten der NAP von mehr als 6 Millionen Menschen im Internet veröffentlicht worden waren. Mehrere Hundert Betroffene klagten auf Schadensersatz. In einem Fall hatte das Verwaltungsgericht der Stadt Sofia darüber zu entscheiden, ob schon die Sorge um einen möglichen Missbrauch der Daten einen immateriellen Schaden darstellt.

News-Banner_höhere_auflödung.jpeg

Wer trägt die Beweislast?

Die NAP sagte vor Gericht aus, man habe alles getan, um Kundendaten zu schützen und den Schaden im Fall eines Datenlecks zu minimieren. Tatsächlich sei die Behörde selbst Opfer der Täter und könne für eventuelle Folgen nicht verantwortlich gemacht werden. Keinesfalls trage man Verantwortung für eventuelle Ängste und Sorgen im Zusammenhang mit der Veröffentlichung der Daten. Während das Verwaltungsgericht Sofia der Argumentation weitgehend folgte, gab die Berufungsinstanz den Fall weiter an den Europäischen Gerichtshof (kurz: EuGH) in Luxemburg.

Wann sind Daten ausreichend geschützt?

Für den EuGH ergaben sich aus dem Fall fünf grundsätzliche Fragen zur Auslegung der Datenschutz-Grundverordnung (kurz: DSGVO): Kann aus der Tatsache, dass personenbezogene Daten abflossen, automatisch gefolgert werden, dass die Behörde diese nicht ausreichend geschützt hatte? Und wenn das nicht der Fall ist: Wie kann und muss ein Gericht feststellen, ob angemessene Schutzmaßnahmen ergriffen wurden? Obliegt die Beweislast den Verantwortlichen und reicht es, wenn sie ein entsprechendes Sachverständigengutachten vorlegen? Sind sie möglicherweise grundsätzlich von der Haftung befreit, wenn der Datenmissbrauch durch Dritte erfolgt? Und nicht zuletzt: Stellt allein die Angst vor den möglichen Folgen eines Cyberangriffs einen immateriellen Schaden dar?

Haftungsfreiheit nur, wenn Daten ausreichend geschützt

In ihrem Urteil (Az. C-340/21) kommen die Richter zu dem Schluss, dass ein erfolgreicher Hackerangriff nicht automatisch auf mangelnden Datenschutz schließen lässt. Dass sie alles Notwendige für die Sicherheit der Informationen getan hätten, müssten allerdings laut DSGVO die Verantwortlichen belegen können. Bei der Überprüfung dürfe sich ein Gericht nicht allein auf ein vorgelegtes Sachverständigenurteil beschränken. Vielmehr seien verschiedene Kriterien zu berücksichtigen, die in der Datenschutz-Grundverordnung aufgezählt seien. Demnach hänge das erforderliche Schutzniveau beispielsweise ab von der Art der Daten sowie von den Risiken, die mit einem Missbrauch verbunden seien. Auch bei der Frage nach der Haftung verwies der EuGH auf den Gesetzestext. Befreit ist demnach nur, wer nachweisen kann, dass die Daten gemäß den Vorgaben der DSGVO ausreichend vor Missbrauch geschützt waren.

Kontrollverlust als immaterieller Schaden

Sind Daten von Verbrauchern erst einmal abgeflossen, kann schon die Angst vor damit verbundenen Folgen einen Anspruch auf Schadensersatz begründen, so der EuGH. Die DSGVO sehe ausdrücklich bereits den Verlust der Kontrolle über die eigenen Daten als einen immateriellen Schaden an. In der Praxis folgt daraus, dass Verbraucher nach Cyberangriffen auf Unternehmen oder Behörden auch ohne nachgewiesenen Missbrauch Schadensersatz fordern können.

Fazit

Mit dem Urteil ist für Unternehmer ein hoher Sicherheitsstandard bei der Verarbeitung von Daten noch wichtiger geworden. Denn im Zusammenhang mit Datenlecks oder Cyberangriffen sind Verantwortliche nur dann von der Haftung befreit, wenn sie nachweisen können, nicht für den Abfluss verantwortlich zu sein. Gelingt ihnen das nicht, müssen sie nicht nur bei einem tatsächlichen Datenmissbrauch Schadensersatz zahlen. Auch die Angst der Opfer vor den Folgen begründet einen Anspruch.

 

eRecht24 Praxis Guide
Rechtssichere Webseiten:
Alles, was Sie wissen müssen
In unserem Guide erklären wir Ihnen in 12 Schritten, wie Sie eine Website rechtssicher erstellen - von der Wahl des Domainnamens über Impressum und Datenschutzerklärung bis hin zu E-Mail- und Newslettermarketing.
Guide jetzt kostenfrei herunterladen!

Name: Bitte Name angeben.

E-Mail-Adresse: Bitte korrekte E-Mail-Adresse angeben.

Ja, bitte senden Sie mir den kostenfreien Guide zu. Ich bin damit einverstanden, dass eRecht24 mir regelmäßig aktuelle Rechts-Updates, Praxistipps und Angebote aus den Bereichen Datenschutz und Internetrecht per E-Mail zusendet. Ich kann jederzeit form- und kostenlos widersprechen. Näheres entnehmen Sie unserer Datenschutzerklärung.
Vielen Dank!
Wir nehmen es mit dem Schutz Ihrer Daten genau und halten uns an die rechtlichen Vorgaben des Double-Opt-In. Bitte bestätigen Sie zuerst Ihre E-Mail-Adresse. Dann stellen wir Ihnen den Guide kostenfrei zur Verfügung.
Tipp: In unseren Premium-Paketen stehen Ihnen mehr als 10 praktische Guides mit Handlungsempfehlungen und passenden Generatoren und Tools zu verschiedenen Themen (Datenschutz, Urheberrecht, Marketing & Co.) kostenfrei zur Verfügung. Die Premium Praxis Guides werden sie regelmäßig aktualisiert, damit Sie stets auf dem neuesten Stand sind.
Anke Evers
Journalistin und Texterin, freiberuflich

Anke Evers absolvierte ihr Studium in Sozial- und Kommunikationswissenschaft und hat als Redakteurin für verschiedene Radio- und Fernsehsender gearbeitet. Seit mehr als zwei Jahrzehnten arbeitet Anke Evers als freiberufliche Journalistin im Online-Bereich. Ihre umfassende Fachkenntnis bringt sie seit 2015 in das Redaktionsteam von eRecht24 ein, wo sie insbesondere für die Erstellung von News-Beiträgen verantwortlich ist.

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details