EuGH-Urteil: Schadensersatzansprüche nach Hackerangriff
Es droht eine Sammelklage-Welle nach Cyberattacke wegen immaterieller Schadensersatzansprüche
Neues Urteil des Europäischen Gerichtshof (EuGH) vom 14.12.2023: Allein die Sorge, dass persönliche Daten nach einem Hackerangriff auf ein Unternehmen missbraucht wurden, kann Schadensersatz begründen
Das neueste Urteil des EuGH (AZ: C-340/21) lässt Spekulationen für eine neue Sammelklage-Welle zu und nimmt Unternehmen und Behörden bezüglich Ihrer IT-Sicherheit in die Pflicht. Denn: Bereits die Befürchtung, dass Datenschutzverstöße durch einen Cyberangriff begangen wurden, macht Schadensersatzansprüche gegenüber dem betroffenen Unternehmen oder der Behörde zulässig. Hierbei muss durch den Geschädigten nicht nachgewiesen werden, dass ein Schaden tatsächlich entstanden oder die Daten missbräuchlich verwendet wurden. Lediglich der Nachweis, dass die Sorgen und Ängste tatsächlich erlitten wurden, reicht aus, um eine Klage auf Ersatz des immateriellen Schadens zu begründen.
Hintergrund dieser rechtlichen Entscheidung war ein Hackerangriff auf das bulgarische Finanzamt, bei der personenbezogene Daten von Millionen von Menschen veröffentlicht wurden. Ein möglicher Schadensersatzanspruch bei Datenschutzverstößen wurde für die Betroffenen nunmehr anerkannt.
Was bedeutet das für Unternehmen und Behörden? Grundsätzlich sollte ein starkes IT-Sicherheitsniveau vorhanden sein, um die Gefahr eines Cyberangriffs von vornherein zu minimieren.
Sollte es dennoch zu einem Datenleck kommen, können Schadensersatzansprüche abgewendet werden, sofern der Nachweis geführt wird, dass geeignete Schutzmaßnahmen gegen Cyberangriffe getroffen wurden. Firmen und Behörden, die Opfer von Cyberkriminalität geworden sind, sind daher in der Beweislast, dass angemessene Sicherheitsmaßnahmen erfolgt sind.
Dieses Urteil zeigt einmal mehr, wie wichtig die Umsetzung eines IT-Sicherheitskonzeptes ist, um Reputationsschäden, Betriebsunterbrechungen und nun auch Schadensersatzansprüche abzuwehren. Lassen Sie sich von uns beraten, welche Sicherheitsstrategien für Ihr Unternehmen geeignet sind und beugen Sie Angriffsmöglichkeiten vor.
Auszug aus dem Urteil des EuGH vom 14.12.2023 AZ: C-340/21)
1. Die Art. 24 und 32 der . Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind dahin auszulegen, dass eine unbefugte Offenlegung von bzw. ein unbefugter Zugang zu personenbezogenen Daten durch „Dritte“ im Sinne von Art. 4 Nr. 10 dieser Verordnung allein nicht ausreicht, um anzunehmen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht „geeignet“ im Sinne der Art. 24 und 32 dieser Verordnung waren.
2. Art. 32 der Verordnung 2016/679 ist dahin auszulegen, dass die Geeignetheit der vom Verantwortlichen nach diesem Artikel getroffenen technischen und organisatorischen Maßnahmen von den nationalen Gerichten konkret zu beurteilen ist, wobei die mit der betreffenden Verarbeitung verbundenen Risiken zu berücksichtigen sind und zu beurteilen ist, ob Art, Inhalt und Umsetzung dieser Maßnahmen diesen Risiken angemessen sind.
3. Der in Art. 5 Abs. 2 der Verordnung 2016/679 formulierte und in Art. 24 dieser Verordnung konkretisierte Grundsatz der Rechenschaftspflicht des Verantwortlichen ist dahin auszulegen, dass im Rahmen einer auf Art. 82 der Verordnung gestützten Schadenersatzklage der für die betreffende Verarbeitung Verantwortliche die Beweislast dafür trägt, dass die von ihm getroffenen Sicherheitsmaßnahmen im Sinne von Art. 32 dieser Verordnung geeignet waren.
4. Art. 32 der Verordnung 2016/679 und der unionsrechtliche Effektivitätsgrundsatz sind dahin auszulegen, dass für die Beurteilung der Geeignetheit der Sicherheitsmaßnahmen, die der Verantwortliche nach diesem Artikel getroffen hat, ein gerichtliches Sachverständigengutachten kein generell notwendiges und ausreichendes Beweismittel sein kann.
5. Art. 82 Abs. 3 der Verordnung 2016/679 ist dahin auszulegen, dass der Verantwortliche von seiner nach Art. 82 Abs. 1 und 2 dieser Verordnung bestehenden Pflicht zum Ersatz des einer Person entstandenen Schadens nicht allein deshalb befreit werden kann, weil dieser Schaden die Folge einer unbefugten Offenlegung von bzw. eines unbefugten Zugangs zu personenbezogenen Daten durch „Dritte“ im Sinne von Art. 4 Nr. 10 dieser Verordnung ist, wobei der Verantwortliche dann nachweisen muss, dass er in keinerlei Hinsicht für den Umstand, durch den der betreffende Schaden eingetreten ist, verantwortlich ist.
6. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen diese Verordnung befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, einen „immateriellen Schaden“ im Sinne dieser Bestimmung darstellen kann.