München, 21.12.2023
In seinem Urteil vom 14.12.2023 (RS C‑340/21) beschäftigt sich der EuGH mit Fragen zum Ersatz von immateriellen Schäden nach einem Cyberangriff und der Verteilung der Beweislast hinsichtlich der Geeignetheit implementierter technischer und organisatorischer Maßnahmen zum Datenschutz.
Sachverhalt
Dem Verfahren lag ein gegen eine bulgarische Finanzbehörde gerichteter Hackerangriff zugrunde, im Zuge dessen personenbezogene Daten von mehr als sechs Millionen Betroffenen im Internet veröffentlicht wurden. Die Klägerin des Ausgangsverfahrens begehrte Schadensersatz auf Grundlage von Art. 82 DSGVO wegen der Verletzung von Art. 5 Abs. 1 lit. f DSGVO und Art. 24, 32 DSGVO. Während das Gericht erster Instanz die Klage mit der Begründung abwies, die Datenschutzverletzung beruhe auf einem der Behörde nicht zurechenbaren, da von außen kommenden Hackerangriff und konkrete Verstöße gegen Maßnahmen zum Datenschutz seien von der Klägerin nicht vorgetragen worden, legte das Oberste Verwaltungsgericht das Verfahren dem EuGH zur Entscheidung vor.
Inhalt der Entscheidung
Der EuGH stellt fest, dass allein eine unbefugte Offenlegung bzw. ein unbefugter Zugang zu personenbezogenen Daten nicht ausreichend ist, um einen Schluss auf die Ungeeignetheit von nach Art. 24, 32 DSGVO getroffenen Maßnahmen zuzulassen. Die Beweislast hinsichtlich der Geeignetheit der implementierten Maßnahmen liege allerdings – auch soweit sich die Frage nach einem Schadensersatzanspruch stellt – ausschließlich beim Verantwortlichen, da der Tatbestand des Art. 82 DSGVO als Grundlage von Schadensersatzansprüchen andernfalls in seiner Wirksamkeit in Frage gestellt würde.
Ein Schadensersatzanspruch sei ferner nicht deshalb ausgeschlossen, weil die Verletzung des Schutzes personenbezogener Daten durch „Dritte“, in diesem Fall durch unbekannte Hacker, verursacht wurde. Gerade auch gegen derartige Vorfälle müssten sich Unternehmen entsprechend rüsten.
Exkulpieren kann sich ein Verantwortlicher nur dann, wenn er darlegen und beweisen kann, dass er in „keinerlei Hinsicht für den Umstand, durch den der betreffende Schaden eingetreten ist, verantwortlich ist“. Für Betroffene erfreulich ist die Feststellung, dass es für die Annahme eines Schadens ausreichend ist, wenn die Befürchtung besteht, dass aufgrund eines Datenlecks öffentlich gewordene Daten missbräuchlich verwendet werden können. Damit legt der EuGH im Wege einer weiten Auslegung des Schadensbegriffs den Fokus auf den Verlust der Kontrolle über die eigenen Daten.
Fazit und Ausblick
Der EuGH bestätigt mit seiner Entscheidung die Linie verschiedener deutscher Gerichte im Fällen von Schadensersatzforderungen nach Datenlecks und stärkt damit die Rechte von Betroffenen. Ähnlich hatten bereits das OLG Düsseldorf (Urteil vom 28.10.2021 – 16 U 275/20), das LAG Hamm (Urteil vom 14.12.2021 – 17 Sa 1185/20) und das LG München I (Urteil vom 20.01.2022 – 3 O 17493/20) argumentiert.
Anders sah das LAG Düsseldorf (Urteil vom 28.11.2023 - 3 SA 285/23, siehe dazu unseren Newsletter vom 21.12.2023) die Rechtslage im Fall einer verspätet erteilten Auskunft: Laut dem LAG müsse für das Vorliegen eines Schadens mehr als ein Kontrollverlust über die eigenen Daten vorliegen. Insbesondere vor dem Hintergrund der aktuellen EuGH Entscheidung ist es denkbar, dass das BAG hier eine vom LAG Düsseldorf abweichende Auffassung vertritt.
Es wird einmal mehr klar, welche Bedeutung dem konkreten Risiko angemessene geeignete technische und organisatorische Maßnahmen haben. Unternehmen sollten die Entscheidung zum Anlass nehmen, ihre implementierten Prozesse und Strukturen zur Gewährleistung von Daten- und IT-Sicherheit einer kritischen Prüfung zu unterziehen und bei Bedarf nachzubessern.
