Sie befinden sich hier:

Bereits die Befürchtung eines Datenmissbrauchs kann einen immateriellen Schaden darstellen

Mit Urteil vom 14. Dezember 2023 hat der EuGH entschieden, dass bereits die Befürchtung eines möglichen Datenmissbrauchs für sich genommen einen immateriellen Schaden begründen kann.

Das bulgarischen Oberste Verwaltungsgericht hatte über eine Schadensersatzklage nach einem Cyberangriff auf eine bulgarische Steuerbehörde zu entscheiden, bei dem die personenbezogenen Daten von mehr als sechs Millionen Betroffenen offengelegt worden waren. Das bulgarische Gericht wollte vom EuGH insbesondere wissen, ob der Schadenersatzanspruch aus Art. 82 DSGVO auch einen immateriellen Schaden umfasst, der Betroffenen aus der Befürchtung eines möglichen Missbrauchs ihrer Daten entstanden ist.

In seinem Urteil stellt der EuGH fest:

  1. Kommt es durch einen Cyberangriff zu einer unbefugten Offenlegung von bzw. einem unbefugten Zugang zu personenbezogenen Daten, bedeutet dies nicht zwangsläufig, dass die getroffenen Sicherheitsmaßnahmen nicht „geeignet“ im Sinne von Art. 24 und 32 DSGVO waren. Die Beweislast für die Angemessenheit der Maßnahmen trägt der Verantwortliche.
  2. Ob die getroffenen Maßnahmen tatsächlich ausreichend waren, ist von den nationalen Gerichten unter Berücksichtigung der individuellen Risiken der Verarbeitung zu beurteilen. Ein Sachverständigengutachten ist hierfür nicht in jedem Fall erforderlich.
  3. Die bloße Befürchtung eines Datenmissbrauchs reicht aus, um einen Anspruch auf immateriellen Schadenersatz zu begründen.
  4. Der Verantwortliche ist nicht automatisch von seiner Schadenersatzpflicht befreit, wenn der Schaden auf einen Cyberangriff durch Dritte zurückzuführen ist. Er muss auch in diesem Fall nachweisen, dass er für den Umstand, der den Schaden verursacht hat, in keiner Weise verantwortlich ist.

Mit seiner Entscheidung betont der EuGH, dass Verantwortliche nicht nur geeignete technische und organisatorische Maßnahmen ergreifen, sondern auch deren Angemessenheit nachweisen müssen. Dies gilt auch bei Cyberangriffen durch Dritte.

Zudem stellt der EuGH klar, dass ein immaterieller Schaden bereits in einer „Befürchtung“ liegen kann. Auch bei dieser für die Betroffenen günstigen Sichtweise müssen die Kläger nachweisen, dass ein Verstoß gegen die DSGVO für sie negative Folgen hatte und diese Folgen einen immateriellen Schaden darstellen.

Fundstellen: Urteil des EuGH vom 14. Dezember 2023 (Rs. C-340/21) – abrufbar im Internet unter https://curia.europa.eu/juris/document/document.jsf?text=&docid=280623&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1 und

Pressemitteilung zum Urteil vom 14. Dezember 2023 – abrufbar im Internet unter https://curia.europa.eu/jcms/jcms/p1_4220393/de/ 

nach oben