Befürchteter Datenmissbrauch kann immateriellen Schaden darstellen
Im zugrundeliegenden Fall ging es um einen Cyberangriff im Jahr 2019, bei dem Kriminelle die bulgarische Nationale Agentur für Einnahmen (NAP) angriffen, die dem bulgarischen Finanzminister unterstellt ist. Sie ist unter anderem mit der Feststellung, Sicherung und Einziehung öffentlicher Forderungen betraut. In diesem Rahmen verarbeitet sie personenbezogene Daten.
Am 15. Juli 2019 wurde in den Medien darüber berichtet, dass in das IT-System der NAP eingedrungen und infolge dieses Cyberangriffs in diesem System enthaltene personenbezogene Daten von Millionen von Menschen im Internet veröffentlicht worden waren. Zahlreiche Personen verklagten die NAP daraufhin auf Ersatz des immateriellen Schadens, der ihnen aus der Befürchtung eines möglichen Missbrauchs ihrer Daten entstanden sein soll.
Das bulgarische Oberste Verwaltungsgericht verwies den Fall an den EuGH und legte mehrere Fragen zur Auslegung der Datenschutz-Grundverordnung (DSGVO) zur Vorabentscheidung vor. Es wollte klären lassen, unter welchen Bedingungen eine Person, deren personenbezogene Daten, die sich im Besitz einer öffentlichen Agentur befinden, nach einem Angriff von Cyberkriminellen im Internet veröffentlicht wurden, Ersatz des immateriellen Schadens verlangen kann.
In seinem Urteil antwortet der Gerichtshof wie folgt:
Im Fall der unbefugten Offenlegung von beziehungsweise des unbefugten Zugangs zu personenbezogenen Daten können die Gerichte aus diesem Umstand allein nicht ableiten, dass die Schutzmaßnahmen, die der für die Datenverarbeitung Verantwortliche ergriffen hat, nicht geeignet waren. Die Gerichte müssen die Geeignetheit dieser Maßnahmen konkret beurteilen.
Der Verantwortliche trägt die Beweislast dafür, dass die getroffenen Schutzmaßnahmen geeignet waren.
Im Fall der unbefugten Offenlegung von beziehungsweise des unbefugten Zugangs zu personenbezogenen Daten durch „Dritte“ (wie Cyberkriminelle) kann der Verantwortliche gegenüber den Personen, denen ein Schaden entstanden ist, ersatzpflichtig sein, es sei denn, er weist nach, dass er in keinerlei Hinsicht für den Schaden verantwortlich ist.
Allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, kann einen „immateriellen Schaden“ darstellen.
Nach Einschätzung verschiedener Rechtsexperten werden mit dem Urteil die Rechte von Verbrauchern in der EU enorm gestärkt. Für Datenverarbeiter wird es im Fall eines Hackerangriffs deutlich schwieriger nachzuweisen, dass ihre Schutzmaßnahmen geeignet waren und sie in keinerlei Hinsicht für den Schaden verantwortlich sind.
Europäischer Gerichtshof
Rechtssache C-340/21
Entscheidung vom 14.12.23