EuGH: Risikomanagement ja, Risikofreiheit nein
DP+
Grundsatzentscheidungen
In zwei Entscheidungen hat der EuGH klargestellt, dass den Verantwortlichen die Pflicht zu einem Risikomanagement trifft, aber keine Pflicht zur Risikofreiheit besteht. Auch für den Schadensersatz stellt der EuGH die Weichen. Diese Entscheidungen des EuGH haben damit grundsätzliche Bedeutung für die Umsetzung der DSGVO.
wichtig:
- Im ersten Fall ging es um einen Cyberangriff und den dadurch erfolgten unbefugten Zugang zum IT-System des Verantwortlichen sowie um die Veröffentlichung dadurch erlangter personenbezogener Daten im Internet (EuGH, Urt. v. 14.12.2023, Rs. C-340/21). Konkret ging es im zugrunde liegenden Fall um eine dem bulgarischen Finanzminister unterstellte Behörde, die für die Verarbeitung personenbezogener Daten verantwortlich im Sinne von Art. 4 Nr. 7 DSGVO ist. Im Jahr 2019 berichteten Medien über einen unbefugten Zugang zum IT-System der Behörde. Die Täter veröffentlichten im IT-System enthaltene personenbezogene Daten im Internet. Betroffen waren mehr als sechs Millionen natürliche Personen, von denen einige Hundert – so auch die Klägerin des Ausgangsverfahrens – auf Ersatz des immateriellen Schadens klagten.
- Im zweiten Fall erwarb der Kläger in den Geschäftsräumen eines Elektronikgroßhändlers ein Haushaltsgerät. Im Rahmen des Verkaufs erstellte ein Mitarbeiter einen Kauf- und Kreditvertrag und erfasste dabei personenbezogene Daten (Namen und Vornamen, Anschrift, Wohnort, Namen seines Arbeitgebers, Einkünfte sowie Bankdaten). Der Mitarbeiter des Elektronikmarktes druckte Kauf- und Kreditvertra…