• Home
  • News
  • Befürchteter Datenmissbrauch kann immateriellen Schaden darstellen
Europäischer Gerichtshof (EuGH)

Befürchteter Datenmissbrauch kann immateriellen Schaden darstellen

281668-flexible-1900
Mit seiner Entscheidung zu einem Fall aus Bulgarien stärkt der Europäische Gerichtshof die Rechte von Verbrauchern in der EU enorm, sind sich Experten einig. nmann77
mg
Recht
Kommt es zum Cyberangriff, reicht bereits die Befürchtung eines Datenmissbrauchs aus, damit Betroffene Schadensersatz fordern können. Datenverarbeiter müssen zudem nachweisen, dass sie keine Schuld trifft.

Im zugrundeliegenden Fall ging es um einen Cyberangriff im Jahr 2019, bei dem Kriminelle die bulgarische Nationale Agentur für Einnahmen (NAP) angriffen, die dem bulgarischen Finanzminister unterstellt ist. Sie ist unter anderem mit der Feststellung, Sicherung und Einziehung öffentlicher Forderungen betraut. In diesem Rahmen verarbeitet sie personenbezogene Daten.

Am 15. Juli 2019 wurde in den Medien darüber berichtet, dass in das IT-System der NAP eingedrungen und infolge dieses Cyberangriffs in diesem System enthaltene personenbezogene Daten von Millionen von Menschen im Internet veröffentlicht worden waren. Zahlreiche Personen verklagten die NAP daraufhin auf Ersatz des immateriellen Schadens, der ihnen aus der Befürchtung eines möglichen Missbrauchs ihrer Daten entstanden sein soll.

Das bulgarische Oberste Verwaltungsgericht verwies den Fall an den EuGH und legte mehrere Fragen zur Auslegung der Datenschutz-Grundverordnung (DSGVO) zur Vorabentscheidung vor. Es wollte klären lassen, unter welchen Bedingungen eine Person, deren personenbezogene Daten, die sich im Besitz einer öffentlichen Agentur befinden, nach einem Angriff von Cyberkriminellen im Internet veröffentlicht wurden, Ersatz des immateriellen Schadens verlangen kann.

In seinem Urteil antwortet der Gerichtshof wie folgt:

  1. Im Fall der unbefugten Offenlegung von beziehungsweise des unbefugten Zugangs zu personenbezogenen Daten können die Gerichte aus diesem Umstand allein nicht ableiten, dass die Schutzmaßnahmen, die der für die Datenverarbeitung Verantwortliche ergriffen hat, nicht geeignet waren. Die Gerichte müssen die Geeignetheit dieser Maßnahmen konkret beurteilen.

  2. Der Verantwortliche trägt die Beweislast dafür, dass die getroffenen Schutzmaßnahmen geeignet waren.

  3. Im Fall der unbefugten Offenlegung von beziehungsweise des unbefugten Zugangs zu personenbezogenen Daten durch „Dritte“ (wie Cyberkriminelle) kann der Verantwortliche gegenüber den Personen, denen ein Schaden entstanden ist, ersatzpflichtig sein, es sei denn, er weist nach, dass er in keinerlei Hinsicht für den Schaden verantwortlich ist.

  4. Allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, kann einen „immateriellen Schaden“ darstellen.

Nach Einschätzung verschiedener Rechtsexperten werden mit dem Urteil die Rechte von Verbrauchern in der EU enorm gestärkt. Für Datenverarbeiter wird es im Fall eines Hackerangriffs deutlich schwieriger nachzuweisen, dass ihre Schutzmaßnahmen geeignet waren und sie in keinerlei Hinsicht für den Schaden verantwortlich sind.

Europäischer Gerichtshof
Rechtssache C-340/21
Entscheidung vom 14.12.23

Verwandte Nachrichten

Empfohlene Beiträge

Melden Sie sich hier zum zm Online-Newsletter an

Die aktuellen Nachrichten direkt in Ihren Posteingang

zm Online-Newsletter


Sie interessieren sich für einen unserer anderen Newsletter?
Hier geht zu den Anmeldungen zm starter-Newsletter und zm Heft-Newsletter.