Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

11. November 2024

EuGH: Risikomanagement ja, Risikofreiheit nein

DP+
Der Europäische Gerichtshof (EuGH) hat zwei wichtige Entscheidungen getroffen. Ein Fall beschreibt das Versagen von technischen, der andere das Versagen von organisatorischen Maßnahmen.
Bild: iStock.com/Flashvector
0,00 (0)
Grundsatzentscheidungen
In zwei Entscheidungen hat der EuGH klargestellt, dass den Verantwortlichen die Pflicht zu einem Risikomanagement trifft, aber keine Pflicht zur Risikofreiheit besteht. Auch für den Schadensersatz stellt der EuGH die Weichen. Diese Entscheidungen des EuGH haben damit grundsätzliche Bedeutung für die Umsetzung der DSGVO.
Grundlegend hat sich der EuGH in seinen Entscheidungen vom 14.12.2023 (Rs. C-340/21) und vom 25.01.2024 (Rs. C-687/21) mit der Pflicht zur Risikobeherrschung nach der Datenschutz-Grundverordnung (DSGVO) und deren Auswirkungen auf Schadensersatzansprüche befasst. Die Ausgangssach-verhalte sind für das Verständnis der Entscheidungen
wichtig:

  • Im ersten Fall ging es um einen Cyberangriff und den dadurch erfolgten unbefugten Zugang zum IT-System des Verantwortlichen sowie um die Veröffentlichung dadurch erlangter personenbezogener Daten im Internet (EuGH, Urt. v. 14.12.2023, Rs. C-340/21). Konkret ging es im zugrunde liegenden Fall um eine dem bulgarischen Finanzminister unterstellte Behörde, die für die Verarbeitung personenbezogener Daten verantwortlich im Sinne von Art. 4 Nr. 7 DSGVO ist. Im Jahr 2019 berichteten Medien über einen unbefugten Zugang zum IT-System der Behörde. Die Täter veröffentlichten im IT-System enthaltene personenbezogene Daten im Internet. Betroffen waren mehr als sechs Millionen natürliche Personen, von denen einige Hundert – so auch die Klägerin des Ausgangsverfahrens – auf Ersatz des immateriellen Schadens klagten.
  • Im zweiten Fall erwarb der Kläger in den Geschäftsräumen eines Elektronikgroßhändlers ein Haushaltsgerät. Im Rahmen des Verkaufs erstellte ein Mitarbeiter einen Kauf- und Kreditvertrag und erfasste dabei personenbezogene Daten (Namen und Vornamen, Anschrift, Wohnort, Namen seines Arbeitgebers, Einkünfte sowie Bankdaten). Der Mitarbeiter des Elektronikmarktes druckte Kauf- und Kreditvertra…
Dr. Jens Eckhardt
+

Weiterlesen mit DP+

Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?

Weiterlesen mit DP+
Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Kein Stress mit Juristen- und Admin-Deutsch
Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.
Sparen Sie sich langes Suchen
Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.
Verfasst von
Jens Eckhardt
Dr. Jens Eckhardt
Dr. Jens Eckhardt ist Rechtsanwalt sowie Fachanwalt für IT-Recht, Datenschutz-Auditor (TÜV) und IT-Compliance Manager (TÜV) bei Eckhardt Rechtsanwälte Partnerschaft mbB.
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.