EuGH: Angst vor Datenmissbrauch nach Cyberangriff kann Schadenersatz begründen
Nach einer Cyberattacke auf Unternehmen oder Behörden kann laut dem EuGH schon die Sorge, dass persönliche Daten missbraucht wurden, einen Schaden darstellen.
(Bild: fizkes/Shutterstock.com)
Der Europäische Gerichtshof (EuGH) hat am Donnerstag ein weitreichendes Urteil zum Ausgleich von Schäden auf Basis der Datenschutz-Grundverordnung (DSGVO) gefällt. Demnach kann allein der Umstand, dass nach einem Cyberangriff auf Unternehmen oder Behörden eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, einen "immateriellen Schaden" darstellen. Damit wäre die gehackte Institution auch schadenersatzpflichtig.
Breite Ansprüche möglich
Bereits im Mai bestätigte der EuGH, dass die DSGVO keine Erheblichkeitsschwelle für Schadenersatz vorgibt und breite Ansprüche möglich sind. Auf jeden Fall kommt laut den Luxemburger Richtern eine Ausgleichszahlung infrage, wenn Cyberkriminelle nach dem unbefugten Zugang persönliche Informationen etwa im Darknet veröffentlichen. Aus dem Schneider ist die betroffene Einrichtung in einem solchen Fall nur, wenn sie nachweisen kann, dass sie in keinerlei Hinsicht für den Schaden verantwortlich ist. Sie trägt dabei die Beweislast dafür, dass die getroffenen Schutzmaßnahmen geeignet waren. Gerichte können dabei nicht allein aus dem Umstand, dass auf persönliche Daten unbefugt zugegriffen oder diese offengelegt wurden, ableiten, dass die IT-Sicherheitsvorkehrungen nicht ausreichend waren. Sie müssen also genau prüfen, wie diese eingesetzt wurden und wirkten oder versagten.
In der behandelten Rechtssache C-340/21 geht es um einen Cyberangriff auf das IT-System der bulgarischen Steuerbehörde, der Nationalen Agentur für Einnahmen (NAP). Medienberichten aus dem Juli 2019 zufolge wurden infolge der Attacke personenbezogene Daten von Millionen von Menschen im Internet veröffentlicht. Zahlreiche steuerpflichtige Bürger verklagten daraufhin die NAP auf Ersatz des immateriellen Schadens, der ihnen schon aus der reinen Sorge über einen möglichen Missbrauch ihrer Daten entstanden sein soll. Das bulgarische Oberste Verwaltungsgericht legte dazu dem EuGH mehrere Fragen zur DSGVO-Auslegung vor, die die Luxemburger Richter nun entsprechend beantworteten.
Über die Auswirkungen der Entscheidung insbesondere auf die hiesige Rechtsprechung, die beim Anerkennen von Schadenersatz bei Datenschutzverstößen bislang zurückhaltend ist, debattieren Experten nun. Rechtsanwalt Peter Hense von der Leipziger Kanzlei Spirit Legal schrieb auf X (vormals Twitter), dass mit dem Urteil "Berge deutscher Datenschutzrechtsdurchsetzungsverhinderungsrechtsprechung und -literatur" auf den Müll könnten. Sein Berliner Kollege Franz Burchert liest in die Leitsätze dagegen hinein, "dass es im Einzelfall darauf ankommt, wo welche Daten in welchem Umfang abgeflossen sind".
Schaden muss genau dargelegt werden
Nach der Cyberattacke auf das bulgarische Finanzamt dürften sicher viele Betroffene "massiven Kummer haben". Ob dieser immaterielle Schaden nun immer gleich ersetzt werden müsse, sei individuell zu prüfen. Der Beschluss sei "von erheblicher Tragweite, da Ängste, Sorgen und Befürchtungen in der Regel die erste Beeinträchtigung darstellen", die eine Person nach einem Cyberangriff erleide, erklärte Pascal Schumacher von der Kanzlei Noerr in Berlin gegenüber heise online. Dies sei unabhängig davon, "ob die Daten später tatsächlich missbraucht werden". Das Urteil bestärkt daher zunächst die Rechtsposition vieler darauf abstellender Kläger. Allerdings weise der EuGH auch darauf hin, "dass der Betroffene diese Sorgen und Ängste tatsächlich erlitten haben und dies auch nachweisen können muss". Gerade auf Massenverfahren spezialisierte Anwaltskanzleien verwendeten oft nur Textbausteine, "um die Emotionen der Menschen zu beschreiben". Das reiche wohl nicht aus, "um einen Schaden substantiiert darzulegen".
(kbe)