Datenschutz ist in Unternehmen ein sensibles Thema. Denn Datenpannen können nicht nur einen erheblichen Imageschaden zur Folge haben, sondern auch immense wirtschaftliche Schäden verursachen – auch jenseits von Bußgeldern und Co. So kann ein finanzieller Schaden auch dadurch entstehen, dass Betroffene von Datenpannen Ersatz eines immateriellen Schadens geltend machen.
Aber reicht für einen solchen DSGVO-Schadensersatz die Angst vor einem Missbrauch der eigenen Daten nach einem Hackerangriff? Damit beschäftigte sich der Europäische Gerichtshof (EuGH C-340/21).
Schadensersatz bei Verletzungen des Datenschutzrechts
Die Datenschutzgrundverordnung (DSGVO) kennt einen eigenen Schadensersatzanspruch: Art. 82 DSGVO ist die rechtliche Grundlage für Schadensersatz betroffener Personen bei Verstößen gegen die DSGVO, z. B. infolge einer Cyberattacke oder sonstiger Datenpannen. Art. 82 DSGVO formuliert recht klar und deutlich die Anforderungen für Haftung auf Schadensersatz:
Absatz 1: Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
Absatz 2: Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde.
…
Vor allem die Pflicht, Daten gegen unberechtigten Zugriff zu schützen und dafür technisch-organisatorische Maßnahmen (sog. TOM, vgl. Art. 32 DSGVO) zu ergreifen, spielt hier eine Rolle. Wer sich nicht um adäquate TOM kümmert, riskiert Schadensersatzforderungen, wenn es z. B. zu einem Hackerangriff kommt und Daten „geklaut“ werden.
Cyberattacke und Datenleck in Bulgarien – Schadensersatzansprüche?
Im Fall vor dem EuGH ging es um eine erfolgreiche Cyberattacke auf Datenbanken der bulgarischen Finanzbehörden, bei der persönliche Daten von Millionen Menschen „geklaut“ und im Internet veröffentlicht wurden. In der Folge klagten Personen, die von diesem Datenleck bzw. den Folgen der Cyberattacke betroffen waren, gegen die Finanzbehörde, auch wenn nicht ersichtlich war, dass der Datenklau konkrete Folgen hatte (Spam-Mails, Kontenzugriffe etc.).
Grundlage der Klage war Art. 82 DSGVO, der einen Anspruch auf Ersatz von materiellen Schäden oder immateriellen Schäden gibt, wenn es zu Datenschutzverstößen kommt. Verletzt sahen die Betroffenen ihre personenbezogenen Daten (Art. 4 Nr. 12 DSGVO) und zwar durch eine unzureichende Sicherheit der Daten (Art. 32 DSGVO). Die Verantwortung dafür (Art. 24 DSGVO) sahen sie bei der Finanzbehörde.
Bagatellgrenze für Anspruch auf Schadensersatz nach Art. 82. DSGVO?
In diesem Fall stellte sich allerdings die Frage, ob allein die Angst vor Kontrollverlust über die Daten bzw. die Angst vor Datenmissbrauch bereits ausreichend für einen immateriellen Schaden nach Art. 82 DSGVO ist oder ob diese Angst unter einer Art Erheblichkeitsschwelle liegt.
Der Europäische Gerichtshof (EuGH) kam in seinem Urteil zu dem Ergebnis: Auch die Angst vor Datenmissbrauch nach einem Hackerangriff kann ein immaterieller Schaden sein, der einen Schadensersatzanspruch auslöst.
Allein der Verstoß der verantwortlichen Behörde ist noch kein Schaden. Aber Angst vor Missbrauch der gehackten Daten ist ein immaterieller Schaden nach Art. 82 DSGVO, wenn die Angst entsprechend dargelegt wird.
Dabei stellte das Gericht auch klar, dass der Schaden auch dem Datenverantwortlichen zuzurechnen ist, und zwar auch, wenn die Gefahr des Datenmissbrauchs an sich von den Cyberdieben als Dritten i. S. d. Art. 4 Abs. 10 DSGVO ausgeht. Die Datenverantwortlichen könnten sich in einem solchen Fall von der Haftung nur entschulden, wenn sie nachweisen könnten, dass sie ihrerseits das „Erforderliche“ getan hätten – vor allem im Sinne technisch-organisatorischer Maßnahmen –, um eine Cyberattacke und Datenklau zu verhindern. Kurz gesagt bedeutet das: Unternehmen haften auch für Hacker-Angriffe, wenn sie nicht das Notwendige getan haben, um dieses Szenario zu verhindern.
Dabei stellte das Gericht auch klar: Allein die Tatsache, dass die Datenpanne passiert ist, ist kein Beweis dafür, dass technisch-organisatorische Maßnahmen nicht ausreichend waren. Ob die TOM ausreichend waren, müssten jedoch nationale Gerichte im Einzelfall entscheiden. Hier müsse es dann auch in jedem einzelnen Fall darum gehen, was für ein Unternehmen oder eine Behörde – je nach konkreter Risikolage – erforderlich gewesen wäre, was nicht. Im Zweifel müsse das mit einem Sachverständigengutachten geklärt werden.
Fazit
Das Urteil des EuGH bestätigt die bisherige Rechtsprechung in einigen Punkten. Neu ist die Aussage des Gerichts dazu, dass es quasi keine konkreten Minimalanforderungen für einen Ersatzanspruch wegen eines immateriellen Schadens nach Art. 82 DSGVO gibt. Auch die geltend gemachte Angst vor Datenmissbrauch reicht also für einen Schadensersatzanspruch aus.
Das ist eine deutliche Stärkung der Betroffenenrechte und sorgt für ein deutlich höheres Haftungsrisiko bei Unternehmen im Falle von Datenlecks und Hackerangriffen. Umso wichtiger wird es in Zukunft sein, sich regelmäßig und angemessen für individuelle Risiken um effektiven Datenschutz und entsprechende TOM zu kümmern. Dazu wird es gehören, regelmäßig Datenschutzvorgaben und Verfahren unter die Lupe zu nehmen und ggf. anzupassen, um immensen Haftungsrisiken bei massenhaften Datenschutzverletzungen begegnen zu können.
Beitragsbild: [James Thew]/stock.adobe.com