Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat ChatGPT Checklisten EuGH HinSchG Homeoffice KI KRITIS Microsoft 365 Rechenschaftspflicht Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 11/24

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat ChatGPT Checklisten EuGH HinSchG Homeoffice KI KRITIS Microsoft 365 Rechenschaftspflicht Urteil Vorlagen
09. Januar 2024

Hackerangriff: Ist das Opfer zum Schadensersatz verpflichtet?

Die Schwelle für einen erlittenen Schaden setzte der EuGH denkbar niedrig an
Bild: iStock.com / AndreyPopov
4,40 (5)
drucken
Inhalte in diesem Beitrag
EuGH zum immateriellen Schadensersatz
Kriminelle hacken das EDV-System einer Finanzbehörde. Der Betrieb liegt tagelang völlig still. Danach ist er wochenlang beeinträchtigt. Und jetzt verlangen einige, deren Daten betroffen waren, wegen des Vorfalls Schadensersatz. Können sie damit Erfolg haben? Lesen Sie, was der EuGH dazu sagt.

➧ Hackerangriff traf eine bulgarische Finanzbehörde

Mal trifft es Privatunternehmen, mal Behörden. In diesem Fall war eine bulgarische Finanzbehörde das Opfer. Cyberkriminelle verschafften sich Zugang zum IT-System dieser Behörde. Daten von sechs Millionen Personen standen ihnen offen. Doch damit nicht genug. Sie machten diese Daten für eine gewisse Zeit auch noch im Internet öffentlich zugänglich.

➧ Hunderte Betroffene behaupten einen immateriellen Schaden

Einige hundert Betroffene verklagten die Behörde auf Schadensersatz. Einen Schaden, der unmittelbar in Geld zu messen wäre, können sie nicht darlegen. Sie haben jedoch die Befürchtung, dass ihre Daten künftig missbraucht werden könnten. Manche fürchten sogar, sie könnten mithilfe der Daten erpresst oder sogar entführt werden. In dieser Gefahr sehen sie einen „immateriellen Schaden“, also einen Schaden, den man nicht unmittelbar in Geld messen kann. Als Ausgleich für ihre Ängste verlangen sie so etwas wie ein Schmerzensgeld. Der Kläger im konkreten Verfahren fordert 1.000 bulgarische Lew als Ersatz, was gut 500 € entspricht.

➧ Die Finanzbehörde sieht sich als argloses Opfer

Die Finanzbehörde verweigert jede Art von Schadensersatz. Ihr Hauptargument: Sie sei selbst Opfer einer kriminellen Handlung geworden. Für die Folgen von kriminellen Handlungen anderer Personen könne man sie von vornherein nicht verantwortlich machen. Zudem habe sie im Vorfeld alle erforderlichen Schutzmaßnahmen ergriffen. Sie könne nichts dafür, dass die Täter diese Schutzmaßnahmen überwinden konnten. Denn an sich seien die Maßnahmen völlig ausreichend gewesen.

➧ Der EuGH prüft ausführlich drei Voraussetzungen

Damit verwendet die Finanzbehörde ein Argumentationsmuster, das in solchen Fällen üblich ist. So leicht macht es ihr der Europäische Gerichtshof (EuGH) jedoch nicht. Er holt vielmehr weit aus und analysiert zunächst den Wortlaut der Schadensersatzregelung des Art. 82 Abs. 1 Datenschutz-Grundverordnung (DSGVO). Diese Vorschrift stellt nach Auffassung des EuGH drei Voraussetzungen dafür auf, dass betroffene Personen einen Anspruch auf Schadensersatz haben:

  • Erstens muss feststehen, dass überhaupt ein Schaden entstanden ist. Ohne einen Schaden kann es auch keinen Anspruch auf Schadensersatz geben.
  • Zweitens muss ein Verstoß gegen die DSGVO vorliegen, etwa durch unzureichende Sicherheitsmaßnahmen.
  • Drittens muss dieser Verstoß gegen die DSGVO die Ursache dafür gewesen sein, dass der Schaden entstanden ist. Um es in der juristischen Fachsprache auszudrücken: Es muss ein Kausalzusammenhang zwischen dem Verstoß und dem Schaden bestehen.

Keine der drei Voraussetzungen ist entbehrlich. Nur wenn sie alle drei zusammen vorliegen, besteht ein Anspruch auf Schadensersatz. Um es auch hier in der juristischen Fachsprache zu sagen: Es handelt sich um drei Voraussetzungen, die kumulativ erfüllt sein müssen.

➧ Der Begriff des Schadens reicht sehr weit

Den Begriff des Schadens legt der EuGH bewusst weit aus. Dazu fühlte er sich verpflichtet, weil Erwägungsgrund 146 zur DSGVO ausdrücklich eine solche weite Auslegung fordert. Dabei hebt der EuGH folgende Aspekte hervor:

  • Die Befürchtung, dass ihre Daten in Zukunft missbräuchlich verwendet werden könnten, kann einen Schaden darstellen. Dafür spricht schon Erwägungsgrund 85 zur DSGVO. Demnach kann der „Verlust der Kontrolle über Ihre personenbezogenen Daten“ für die betroffene Person einen Schaden darstellen.
  • Ein solcher Schaden kann auch schon dann vorliegen, wenn die Beeinträchtigung nicht besonders erheblich ist. So etwas wie eine „Bagatellschwelle“ kennt die DSGVO nicht.
  • Allerdings muss die Befürchtung eines künftigen Datenmissbrauch nach den konkreten Umständen als begründet anzusehen sein. Diffuse Ängste ohne jeden Bezug zur Realität reichen dafür nicht aus.
  • Die Beweislast liegt bei der betroffenen Person. Sie muss also darlegen und beweisen, dass ihre Befürchtungen nachvollziehbar sind.

Ob das alles im konkreten Fall gegeben ist, hatte der EuGH nicht nachzuprüfen und nicht zu entscheiden. Das ist Sache des nationalen Gerichts, bei dem der Schadensersatz-Prozess anhängig ist. Wie der Fall dort ausgehen wird, lässt sich nicht vorhersagen.

➧ Erwägungsgrund 85 gibt betroffenen Personen gute Tipps

Allerdings gibt Erwägungsgrund 85 zur DSGVO regelrecht eine Anleitung dafür, wie eine betroffene Person begründen kann, dass sie einen Schaden erlitten hat. Er nennt außer dem schon erwähnten Verlust der Kontrolle über die Daten noch folgende konkrete Beispiele für denkbare immaterielle Schäden:

Datenschutz-Management kompakt online

Datenschutz-Management kompakt ist die umfassende Lösung für die effiziente und rechtssichere Umsetzung der gesetzlichen Datenschutz-Vorgaben.

Profitieren Sie von den Erläuterungen und Umsetzungstipps zahlreicher erfahrener Datenschutzbeauftragter und Fachanwälten zum Datenschutzrecht.

 

➜ Jetzt professionell Datenschutz managen!

➧ Trotz guter Schutzmaßnahmen bleiben Risiken

Zum zweiten Kriterium des Art. 82 Abs.1 DSGVO, also zu der Frage, ob der Behörde ein Verstoß gegen die DSGVO unterlaufen ist, weist der EuGH auf Folgendes hin:

  • Die DSGVO geht nicht davon aus, dass sich jegliches Risiko für den Schutz personenbezogener Daten ausschließen lässt.
  • Sie verlangt – einerseits nur, andererseits immerhin -, dass „ein dem Risiko angemessenes Schutzniveau“ geschaffen wird (Art. 32 Abs. 1 DSGVO).
  • Ob die erforderlichen Maßnahmen getroffen wurden, um ein solches Schutzniveau herzustellen, muss das nationale Gericht konkret nachprüfen. Dazu gehört nötigenfalls auch die Einschaltung von Sachverständigen.
  • Die bloße Tatsache, dass es zu einem unbefugten Zugriff auf personenbezogene Daten gekommen ist, sagt über die Eignung der getroffenen Maßnahmen noch nichts aus.
  • Auch wenn an sich geeignete Maßnahmen getroffen waren, kann es trotzdem zu einem unbefugten Zugriff kommen. Die DSGVO verlangt eben nicht, dass technische und organisatorische Maßnahmen jedes denkbare Risiko ausschließen müssen.

Wie die Schutzmaßnahmen im konkreten Fall zu bewerten sind, hatte der EuGH nicht zu entscheiden. Auch das ist Sache des nationalen Gerichts, bei dem der Schadensersatz-Prozess anhängig ist.

➧ Entscheidend ist, wer was beweisen muss

Falls die Schutzmaßnahmen im konkreten Fall nicht ausreichend waren, liegt es nahe, dass dies den Schaden verursacht hat. Völlig sicher ist dies allerdings nicht. Dann stellt sich die Frage, wer beweisen muss, dass der Schaden gerade wegen mangelhafter Schutzmaßnahmen eingetreten ist. Juristisch ausgedrückt: Wer hat die Beweislast hinsichtlich der Kausalität (Ursächlichkeit)? Das führt zur dritten und letzten Voraussetzung des Art. 82 Abs.1 DSGVO.

➧ Hier trägt der Verantwortliche die Beweislast

Hier verweist der EuGH schlicht auf den Wortlaut der DSGVO. Art. 82 Abs. 3 DSGVO befreit den Verantwortlichen von der Haftung, „wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.“. Im Klartext: Im Normalfall ist davon auszugehen, dass nachgewiesene Versäumnisse bei den Schutzmaßnahmen einen ebenfalls nachgewiesenen Schaden verursacht haben. Diese Schlussfolgerung ist aber nicht zwingend. Der Verantwortliche bekommt die Chance, das Gegenteil nachzuweisen.

➧ Aktivitäten von Kriminellen ändern daran nichts

Das zuständige nationale Gericht muss deshalb folgende Frage klären: Hat der Verantwortliche es kriminellen Dritten durch unzureichende Schutzmaßnahmen erst ermöglicht, den Schaden anzurichten? Dass Kriminelle aktiv waren, schließt eine Schadensersatzpflicht des Verantwortlichen für sich allein noch nicht aus.

Auch das muss das nationale Gericht klären, bei dem der Schadensersatz-Prozess anhängig ist.

➧ Der EuGH entscheidet den Fall nicht abschließend

Spätestens hier werden unsere Leserinnen und Leser fragen: Ja, was heißt das alles denn jetzt eigentlich im Ergebnis? Bekommt der Kläger im vorliegenden Fall jetzt die 500 € Schadensersatz, die er fordert, oder nicht? Die auf den ersten Blick etwas enttäuschende Antwort lautet: Das lässt sich jetzt noch nicht sagen. Dies muss das zuständige nationale Gericht entscheiden.

➧ Der EuGH klärt jedoch einige wichtige Rechtsfragen

Der EuGH ist nicht dazu da, konkrete Streitfälle abschließend zu entscheiden. Er klärt lediglich Rechtsfragen, die im Rahmen von konkreten Streitfällen auftreten. Andererseits lässt sich schon jetzt so viel sagen:

  • Ziemlich sicher wird es zumindest einigen Klägern, wenn nicht sogar den meisten Klägern gegen die bulgarische Finanzbehörde gelingen, einen Schaden nachzuweisen. Denn die Schwelle dafür setzte der EuGH denkbar niedrig an. Es reichen schon nachvollziehbare Befürchtungen der Kläger, dass ihre Daten irgendwann missbraucht werden könnten.
  • Ob die Finanzbehörde als Verantwortlicher ausreichende Schutzmaßnahmen getroffen hat oder nicht, ist noch offen. Allerdings liegt es an ihr, den entsprechenden Nachweis zu führen. Ob ihr das gelingt, hängt vor allem von einer guten Dokumentation der getroffenen Maßnahmen ab. Alle Praktiker wissen, wie oft es an einer solchen guten Dokumentation fehlt. Aber vielleicht war die Behörde hier ungewöhnlich gründlich. Das wird sich noch zeigen.
  • Falls die Schutzmaßnahmen unzureichend gewesen sein sollten, wird es für die Finanzbehörde schwierig. Dem Kläger ist es dann wahrscheinlich ein Leichtes, einen Zusammenhang zwischen den Mängeln der Schutzmaßnahmen und einem erlittenen Schaden in nachvollziehbarer Weise darzulegen. Mehr muss er nicht tun. Die Finanzbehörde als Verantwortlicher müsste dann das Gegenteil nachweisen.

➧ Die Summe „kleiner“ Ansprüche kann enorm sein

Die allgemeine Erkenntnis aus diesem Fall lautet: Betroffene Personen können Schadensersatzansprüche unter Geltung der DSGVO relativ leicht durchsetzen. Das finanzielle Risiko für Verantwortliche ist dabei im Ergebnis enorm. In aller Regel sind von einer Verletzung des Datenschutzes zahlreiche Personen betroffen. Jede einzelne von ihnen kann dann Schadensersatz fordern.

Hierzu eine einfache Beispielrechnung: Angenommen, 1.000 Personen machen erfolgreich jeweils 500 € Schadensersatz geltend. Die Gesamtsumme des Schadensersatzes beträgt dann 500.000 €. Hinzu kommen Kosten für Rechtsanwälte, Gutachter und dergleichen.

➧ So finden Sie die Entscheidung des EuGH

Die Entscheidung des EuGH vom 14. Dezember 2023 trägt das Aktenzeichen C-340/21. Durch Eingabe des Aktenzeichens ist sie mit jeder gängigen Suchmaschine leicht zu finden.

Dr. Eugen Ehmann

Dr. Eugen Ehmann
zu den Kommentaren
Wie nützlich war dieser Beitrag für Sie?
Jetzt teilen:
Cybersicherheit Rechenschaftspflicht Urteil
drucken
Verfasst von
Dr. Eugen Ehmann
Dr. Eugen Ehmann
Dr. Eugen Ehmann ist ausgewiesener Fachmann auf dem Gebiet des Datenschutzes in Unternehmen & Behörden. Er ist Herausgeber eines renommierten DSGVO-Kommentars und Autor zahlreicher Beiträge in der Datenschutz PRAXIS sowie in vielen weiteren Datenschutz-Veröffentlichungen. Außerdem moderiert er seit 2003 die IDACON , den renommierten Datenschutz-Kongress.
Verwandte Beiträge
20. November 2024
DP+
Es besteht die reale Gefahr, dass Angreifer KI-Algorithmen und Trainingsdaten manipulieren, so die EU-Agentur für Cybersicherheit
Bild: iStock.com/FotografieLink

KI als doppeltes Datenrisiko

Ratgeber
Cybersicherheit KI
11. November 2024
DP+
Der Europäische Gerichtshof (EuGH) hat zwei wichtige Entscheidungen getroffen. Ein Fall beschreibt das Versagen von technischen, der andere das Versagen von organisatorischen Maßnahmen.
Bild: iStock.com/Flashvector

EuGH: Risikomanagement ja, Risikofreiheit nein

Urteil
EuGH Urteil
08. November 2024
Kontaktdaten eines Datenschutzbeauftragten - hier symbolisiert durch ein @-Zeichen, einen Briefumschlag und ein Telefonhörer
Bild: peterschreiber.media/iStock/Getty Images Plus

„Kontaktdaten“ eines DSB

Urteil
Urteil
07. November 2024
DP+
Daten aus Visitenkarten für die Direktwerbung? Die Rechtsgrundsätze, um die es in diesem Urteil geht, gelten im Kern auch in Deutschland.
Bild: iStock.com/shapecharge

Daten aus Visitenkarten für die Direktwerbung

Urteil
Urteil
05. November 2024
DP+
Die DSGVO definiert den Begriff des Schadens weit und macht den Anspruch auf Schadensersatz von keiner bestimmten Schwelle abhängig. Sie beschränkt den Anspruch nicht auf Schäden von einer gewissen Erheblichkeit.
Bild: iStock.com/bymuratdeniz

Massenklagen auf Schadensersatz nach DSGVO

Urteil
EuGH Urteil
weitere Beiträge laden
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.