Jedes Jahr werden Millionen von Menschen Opfer von Datendiebstahl, indem personenbezogene Daten von Privatpersonen, die Unternehmen oder Behörden über diese gespeichert haben, von Unbefugten abgegriffen werden. Ursachen für die Datenlecks sind oftmals Hacking, aber auch immer häufiger nicht bezahlte Ransomware-Erpressungen. Weiterhin spielen unzureichende technisch-organisatorische Maßnahmen, fehlende Systemupdates, die zu Sicherheitslücken führen, oder technische Unfähigkeit bei den Datenhaltern eine Rolle.
Der EuGH kam in seinem Urteil im Fall der bulgarischen Steuerbehörde zum Ergebnis, dass bereits ein immaterieller Schaden für einen Betroffenen ausreicht, um Schadensersatz zu fordern. Ein immaterieller Schaden besteht nach Auffassung des Gerichts bereits dann, wenn ein Betroffener befürchten muss, dass seine personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten. Meldet sich ein Betroffener aufgrund eines solchen Vorfalls bei der zuständigen Datenschutzbehörde oder einem Gericht, muss zunächst geprüft werden, ob der jeweilige Datenhalter geeignete Schutzmaßnahmen für die Daten ergriffen hatte. Die Beweislast, dass die Daten hinreichend geschützt waren, obliegt dabei den jeweils verantwortlichen Stellen. Und das kann teuer werden, denn auch dann, wenn sich Dritte unbefugt und mit krimineller Energie den Zugang zu den Daten beschafft haben, bleibt das Unternehmen schadensersatzpflichtig, insofern die getroffenen Maßnahmen keine Teilschuld ausschließen können.
Max Schrems und andere Datenschutzorganisationen begrüßen das Urteil: „Bei Databreaches ist eben genau die Unklarheit und Angst, dass die Daten missbraucht werden der immaterielle Schaden, der geradezu typisch ist. Materiellen Schaden kann man oft nur sehr schwer nachweisen“, so Schrems. Deswegen sei wichtig, dass auch immaterielle Schäden zu Schadensersatz führen könnten, damit „so etwas überhaupt jemals eine Konsequenz habe.“ Weiterhin sagt Schrems: „Gleichzeitig ist wichtig, dass der EuGH betont, dass es eben auch keine perfekte Sicherheit gibt. Unternehmen müssen aber nach dem Stand der Technik alle angemessenen Dinge unternommen haben um ihre Systeme sicher zu halten. Insgesamt ist das eine sehr sinnvolle Herangehensweise“.
Auch wenn dieses Urteil in Hinblick auf die Privatpersonen sicherlich ein sinnvoller Schritt in Richtung „weitere Stärkung der Betroffenenrechte“ ist, ist es für Unternehmen nicht zu unterschätzen. Daher möchten wir an dieser Stelle nochmal dafür sensibilisieren ausreichende technisch-organisatorische Maßnahmen zu treffen, um die Integrität Ihres Datenbestands möglichst sicherzustellen. Kommen Sie bei Fragen immer gern auf uns zu!
Quellenangaben:
– EuGH, PRESSEMITTEILUNG Nr. 191/23: „Cyberkriminalität: Die Befürchtung eines möglichen Missbrauchs personenbezogener Daten kann für sich genommen einen immateriellen Schaden darstellen“, abgerufen am 28.12.2023 unter: https://curia.europa.eu/jcms/upload/docs/application/pdf/2023-12/cp230191de.pdf– Artikel „Betroffene von Datenlecks können Schadensersatz bekommen“, abgerufen am 28.12.2023 unter: https://netzpolitik.org/2023/eugh-urteil-betroffene-von-datenlecks-koennen-schadensersatz-bekommen/?via=nl