EuGH zu Haftung und Schadensersatz nach DSGVO nach Cyberangriff
In einem wegweisenden Urteil (Urteil vom 14.12.2023, Az. C 340/21) hat der EuGH wichtige Fragen zur Auslegung der DSGVO, insbesondere zu den Art. 24 und 32 DSGVO, die die Verantwortlichkeit der Datenverarbeiter betreffen, geklärt.
Hierauf aufbauend wird es in Zukunft vermehrt Schadensersatzansprüche gegen Verantwortliche (Datenverarbeiter) geben.
Hintergrund des Urteils
Der Fall betraf eine Klage gegen die Nationale Agentur für Einnahmen, eine Behörde in Bulgarien, nachdem personenbezogene Daten infolge eines Cyberangriffs offengelegt wurden. Der Kläger machte geltend, immateriellen Schaden erlitten zu haben und forderte Schadensersatz gemäß Artikel 82 DSGVO. Der immaterielle Schaden der Klägerin bestehe in der Befürchtung, dass ihre personenbezogenen Daten, die ohne ihre Einwilligung veröffentlicht worden seien, künftig missbräuchlich verwendet würden oder dass sie selbst erpresst, angegriffen oder sogar entführt werde.
Kernaussagen des Gerichts
Der EuGH stellte klar, dass eine unbefugte Offenlegung oder ein unbefugter Zugang zu personenbezogenen Daten durch Dritte allein nicht ausreiche, um die Annahme zu rechtfertigen, dass die ergriffenen Sicherheitsmaßnahmen unzureichend waren. Es muss vielmehr eine umfassende Betrachtung der Umstände erfolgen, um die Angemessenheit der Maßnahmen zu beurteilen.
Der EuGH legt Art. 24 DSGVO in Verbindung mit der Rechenschaftspflicht des Verantwortlichen so aus, dass im Rahmen einer Schadenersatzklage nach Art. 82 DSGVO der Verantwortliche die Beweislast trägt, dass die von ihm getroffenen Sicherheitsmaßnahmen angemessen waren.
Dies unterstreicht die Bedeutung der Rechenschaftspflicht und der Notwendigkeit, präventive Maßnahmen nachweisbar zu dokumentieren.
Die Beurteilung der Geeignetheit der TOMs nach Art. 32 DSGVO solle in zwei Schritten erfolgen.
- Zum einen, so der EuGH, sind die von der betreffenden Verarbeitung ausgehenden Risiken einer Verletzung des Schutzes personenbezogener Daten und ihre möglichen Folgen für die Rechte und Freiheiten natürlicher Personen zu ermitteln. Diese Beurteilung muss konkret unter Berücksichtigung der Eintrittswahrscheinlichkeit und Schwere der ermittelten Risiken erfolgen.
- Zum anderen ist zu prüfen, ob die vom Verantwortlichen getroffenen Maßnahmen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke dieser Verarbeitung diesen Risiken angemessen sind.
Der Datenverarbeiter hat hierbei also einen gewissen Spielraum.
Der EuGH bestätigte weiter, dass die Befürchtung einer zukünftigen missbräuchlichen Verwendung offengelegter Daten einen immateriellen Schaden darstellen kann, für den Schadenersatz beansprucht werden kann.
Dies erweitert den Rahmen für potenzielle Schadenersatzklagen im Kontext der DSGVO.
Jedoch ist es Aufgabe nationaler Gerichte, die Angemessenheit dieser Maßnahmen zu überprüfen. Diese Überprüfung darf sich nicht allein auf die Absichten des Verantwortlichen beschränken, sondern muss eine umfassende materielle Prüfung beinhalten. Dabei sollen alle relevanten Kriterien und die spezifischen Umstände des Einzelfalls betrachtet werden. Das Gericht muss konkret untersuchen, wie die Maßnahmen implementiert wurden und inwiefern sie tatsächlich dazu beitragen, das erforderliche Sicherheitsniveau zu gewährleisten.
Auswirkungen des Urteils
Das Urteil hat wesentliche praktische Auswirkungen für die datenschutzrechtliche Praxis. Unternehmen und öffentliche Stellen müssen sicherstellen, dass ihre Datenschutzmaßnahmen nicht nur auf dem Papier existieren, sondern effektiv implementiert und regelmäßig überprüft werden. Die Entscheidung macht deutlich, dass eine sorgfältige Risikobewertung und die Dokumentation von Sicherheitsmaßnahmen entscheidend sind, um die Compliance mit der DSGVO nachzuweisen.
Fazit
Das Urteil des EuGH verdeutlicht die hohen Anforderungen der DSGVO an die Verantwortlichen für die Verarbeitung personenbezogener Daten. Es betont die Notwendigkeit einer proaktiven Herangehensweise im Datenschutzmanagement und einer soliden Rechtfertigung für die getroffenen Maßnahmen.
