DSGVO-Schadensersatz wegen Kontrollverlust bei Datenpanne?

Datenschutz ist in Unternehmen ein sensibles Thema. Denn Datenpannen können nicht nur einen erheblichen Imageschaden zur Folge haben, sondern auch immense wirtschaftliche Schäden verursachen – auch jenseits von Bußgeldern und Co. So kann ein finanzieller Schaden auch dadurch entstehen, dass Betroffene von Datenpannen Ersatz eines immateriellen Schadens geltend machen.

Aber reicht für einen solchen DSGVO-Schadensersatz die Angst vor einem Missbrauch der eigenen Daten nach einem Hackerangriff? Damit beschäftigte sich der Europäische Gerichtshof (EuGH C-340/21).

Schadensersatz bei Verletzungen des Datenschutzrechts

Die Datenschutzgrundverordnung (DSGVO) kennt einen eigenen Schadensersatzanspruch: Art. 82 DSGVO ist die rechtliche Grundlage für Schadensersatz betroffener Personen bei Verstößen gegen die DSGVO, z. B. infolge einer Cyberattacke oder sonstiger Datenpannen. Art. 82 DSGVO formuliert recht klar und deutlich die Anforderungen für Haftung auf Schadensersatz:

Absatz 1: Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Absatz 2: Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde.

Vor allem die Pflicht, Daten gegen unberechtigten Zugriff zu schützen und dafür technisch-organisatorische Maßnahmen (sog. TOM, vgl. Art. 32 DSGVO) zu ergreifen, spielt hier eine Rolle. Wer sich nicht um adäquate TOM kümmert, riskiert Schadensersatzforderungen, wenn es z. B. zu einem Hackerangriff kommt und Daten „geklaut“ werden.

Cyberattacke und Datenleck in Bulgarien – Schadensersatzansprüche?

Im Fall vor dem EuGH ging es um eine erfolgreiche Cyberattacke auf Datenbanken der bulgarischen Finanzbehörden, bei der persönliche Daten von Millionen Menschen „geklaut“ und im Internet veröffentlicht wurden. In der Folge klagten Personen, die von diesem Datenleck bzw. den Folgen der Cyberattacke betroffen waren, gegen die Finanzbehörde, auch wenn nicht ersichtlich war, dass der Datenklau konkrete Folgen hatte (Spam-Mails, Kontenzugriffe etc.).

Grundlage der Klage war Art. 82 DSGVO, der einen Anspruch auf Ersatz von materiellen Schäden oder immateriellen Schäden gibt, wenn es zu Datenschutzverstößen kommt. Verletzt sahen die Betroffenen ihre personenbezogenen Daten (Art. 4 Nr. 12 DSGVO) und zwar durch eine unzureichende Sicherheit der Daten (Art. 32 DSGVO). Die Verantwortung dafür (Art. 24 DSGVO) sahen sie bei der Finanzbehörde.

Bagatellgrenze für Anspruch auf Schadensersatz nach Art. 82. DSGVO?

In diesem Fall stellte sich allerdings die Frage, ob allein die Angst vor Kontrollverlust über die Daten bzw. die Angst vor Datenmissbrauch bereits ausreichend für einen immateriellen Schaden nach Art. 82 DSGVO ist oder ob diese Angst unter einer Art Erheblichkeitsschwelle liegt.

Der Europäische Gerichtshof (EuGH) kam in seinem Urteil zu dem Ergebnis: Auch die Angst vor Datenmissbrauch nach einem Hackerangriff kann ein immaterieller Schaden sein, der einen Schadensersatzanspruch auslöst.

Allein der Verstoß der verantwortlichen Behörde ist noch kein Schaden. Aber Angst vor Missbrauch der gehackten Daten ist ein immaterieller Schaden nach Art. 82 DSGVO, wenn die Angst entsprechend dargelegt wird.

Dabei stellte das Gericht auch klar, dass der Schaden auch dem Datenverantwortlichen zuzurechnen ist, und zwar auch, wenn die Gefahr des Datenmissbrauchs an sich von den Cyberdieben als Dritten i. S. d. Art. 4 Abs. 10 DSGVO ausgeht. Die Datenverantwortlichen könnten sich in einem solchen Fall von der Haftung nur entschulden, wenn sie nachweisen könnten, dass sie ihrerseits das „Erforderliche“ getan hätten – vor allem im Sinne technisch-organisatorischer Maßnahmen –, um eine Cyberattacke und Datenklau zu verhindern. Kurz gesagt bedeutet das: Unternehmen haften auch für Hacker-Angriffe, wenn sie nicht das Notwendige getan haben, um dieses Szenario zu verhindern.

Dabei stellte das Gericht auch klar: Allein die Tatsache, dass die Datenpanne passiert ist, ist kein Beweis dafür, dass technisch-organisatorische Maßnahmen nicht ausreichend waren. Ob die TOM ausreichend waren, müssten jedoch nationale Gerichte im Einzelfall entscheiden. Hier müsse es dann auch in jedem einzelnen Fall darum gehen, was für ein Unternehmen oder eine Behörde – je nach konkreter Risikolage – erforderlich gewesen wäre, was nicht. Im Zweifel müsse das mit einem Sachverständigengutachten geklärt werden.

Fazit

Das Urteil des EuGH bestätigt die bisherige Rechtsprechung in einigen Punkten. Neu ist die Aussage des Gerichts dazu, dass es quasi keine konkreten Minimalanforderungen für einen Ersatzanspruch wegen eines immateriellen Schadens nach Art. 82 DSGVO gibt. Auch die geltend gemachte Angst vor Datenmissbrauch reicht also für einen Schadensersatzanspruch aus.

Das ist eine deutliche Stärkung der Betroffenenrechte und sorgt für ein deutlich höheres Haftungsrisiko bei Unternehmen im Falle von Datenlecks und Hackerangriffen. Umso wichtiger wird es in Zukunft sein, sich regelmäßig und angemessen für individuelle Risiken um effektiven Datenschutz und entsprechende TOM zu kümmern. Dazu wird es gehören, regelmäßig Datenschutzvorgaben und Verfahren unter die Lupe zu nehmen und ggf. anzupassen, um immensen Haftungsrisiken bei massenhaften Datenschutzverletzungen begegnen zu können.

 

Beitragsbild: [James Thew]/stock.adobe.com

Weitere Beiträge

Allgemein | IP | Markenrecht

Batman: Logo ist und bleibt eine Marke

Nicht nur Comic-Fans kennen das Batman-Logo: eine schwarze, stilisierte Fledermaus mit spitzen Ohren vor einem querliegenden, ovalen Hintergrund in leuchtendem Gelb. Allein die textliche Beschreibung reicht, um es vor dem inneren Auge sehen zu können. Und auch ohne gelben Hintergrund erkennt man die spezielle Fledermaus als ikonische Batman-Fledermaus. Aber hat das Logo die notwendige Unterscheidungskraft […]

weiterlesen
Allgemein | IP | Wettbewerbsrecht

Werbung für „Focus-Kapseln“ ist wettbewerbswidrig

Der Erfolg eines Produktes hängt nicht unwesentlich von einem passenden Produktnamen und der richtigen Bewerbung ab. Aber gerade bei Produktnamen und in der Werbung gilt es durchaus Rechtliches zu beachten – auch und gerade, wenn es um Nahrungsergänzungsmittel geht. Im Falle eines Nahrungsergänzungsmittels in Kapsel-Form, das die Konzentration verbessern sollte, musste nun das LG Berlin […]

weiterlesen
Allgemein | IP | Markenrecht

Der Kölner Dom: keine Marke, sagt der BGH

Nichts steht so sehr für die Stadt Köln wie der Kölner Dom. Zuletzt konnte man bei der Handball-WM Anfang 2024 in Deutschland sogar sehen, dass die besten Spieler eines Spiels am Spielort Köln einen roten Plüsch-Dom geschenkt bekamen. Aber taugt der Kölner Dom zur Marke im Sinne des Markenrechts? Darüber urteilte Ende 2023 der Bundesgerichtshof […]

weiterlesen