Groß angelegte Hackerangriffe hatten bislang nur wenig Konsequenzen für die betroffenen Datenverarbeiter. Jetzt aber verspricht der Europäische Gerichtshof (EuGH) den Dateninhabern Schadensersatz, wenn Datenlecks bei Unternehmen oder Behörden entstehen. Ein tatsächlicher Datenmissbrauch muss dabei nicht einmal stattfinden.
Datenleck bei bulgarischer Finanzbehörde
2019 infiltrierten Hacker die IT-Systeme der Natsionalna agentsia za prihodite (NAP), einer bulgarischen Finanzbehörde. Dabei stahlen die Cyberkriminellen Millionen von Daten und veröffentlichten diese anschließend im Internet. Es folgten landesweite Schadensersatzklagen gegen die NAP, weil diese ihrer Verpflichtung zum Schutz der ihr anvertrauten Daten nicht ordnungsgemäß nachgekommen sei.
Das Problem hierbei: Einen nachweisbaren Datenmissbrauch, der auf diesen Angriff zurückzuführen ist, hat es nie gegeben. Deshalb war lange Zeit fraglich, ob den Opfern überhaupt ein Schaden entstanden ist. Nun musste der EuGH entscheiden, ob Schadensersatz bei einem Datenleck zu leisten ist, wenn außer einer Veröffentlichung dieser Informationen nichts passiert.
Schadensersatz im Falle eines Datenlecks?
Der Gerichtshof beantwortet diese Frage mit einem klaren Ja:
“Allein der Umstand, dass eine betroffene Person […] befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, kann einen immateriellen Schaden darstellen.”
Die bloße Möglichkeit eines Datenmissbrauchs reicht also aus, um Unternehmen bzw. Behörden schadensersatzpflichtig zu machen. Auch zur Beweislast äußerten sich die Luxemburger Richter:
“Der Verantwortliche trägt die Beweislast dafür, dass die getroffenen Schutzmaßnahmen geeignet waren.”
Kann ein Unternehmen im Zweifel also nachweisen, dass hinreichende Schutzmaßnahmen bestanden haben, so kann es sich von einer Haftung befreien. Ob die Vorkehrungen allerdings wirklich etwaige Mindeststandards erfüllen, müssen die Fachgerichte im Einzelnen prüfen.
Pflicht zur besseren Vorsorge von Datenlecks
Dass der EuGH auch dann Schadensersatz verspricht, wenn Datenlecks „folgenlos“ bleiben, ist eine neue Entwicklung im europäischen Datenschutzrecht. Gleichzeitig geht damit eine Verschärfung der Schutzpflicht von Unternehmen und Behörden gegenüber fremden Daten einher.
Wer in Zukunft die ihm anvertrauten Daten nicht anständig vor unbefugtem Zugriff sichern kann, riskiert nicht nur eine Klagewelle, sondern muss im Zweifel auch beweisen können, dass er ausreichende Sicherheitsvorkehrungen getroffen hat. Und das dürfte sich als äußerst schwierig erweisen.
Quellen und weiterführende Links
- Pressemitteilung des EuGH vom 14.12.203 (Rechtssache C-340/21)
- Urteil des EuGH vom 14.12.2023 (Rechtssache C-340/21)
(49 Bewertungen, Durchschnitt: 4,08 von 5)
Loading...Über den Autor
Schreibe einen Kommentar