Schadensersatz bei Cyberangriff – EuGH konkretisiert die Regeln zu immateriellen Schäden

Cybercrime ist in der Mitte der Gesellschaft angekommen. Für Fachkräfte im Bereich Datenschutz und Informationssicherheit ist nicht unüblich in Kontakt mit Cyberangriffen gekommen zu sein. Neben allen Unternehmensrisiken, die durch Cyberangriffe realisiert werden, besteht immer das Risiko eines Schadens der betroffenen Personen (z.B. Kunden, Mitarbeiter, Geschäftspartner, etc.).

Neben materiellen Schäden besteht bei Datenschutzverletzung auch die Möglichkeit für betroffene Personen immaterielle Schäden gegenüber den verantwortlichen Unternehmen geltend zu machen (vgl. Art. 82 Abs. 1 DSGVO). Der Verlust von Daten bzw. die unbefugte Offenlegung gegenüber Dritten durch einen Cyberangriff kann durchaus Unruhe, ja sogar Angst, bei betroffenen Personen auslösen. Haften Unternehmen auch für solche Schäden?

Was sagt der EuGH dazu?
Mit dieser Frage beschäftigte sich der Europäische Gerichtshof (EuGH, höchste gerichtliche Instanz in Europa). Hintergrund war ein Cyberangriff auf eine bulgarische Finanzbehörde, die sogenannte „Bulgarien National Revenue Agency“ (kurz: NAP). Durch einen Angriff auf ein IT-System der NAP wurden Datensätze zu Millionen Personen entwendet und im Internet veröffentlicht.

Daraufhin leiteten viele Personen rechtliche Schritte gegen den NAP ein, um Schadensersatz zu verlangen. Insbesondere stand der Ersatz des immateriellen Schadens im Vordergrund, der durch die Befürchtung verursacht wurde, dass Daten missbraucht werden könnten.

Der EuGH kam zu folgender Einschätzung:

• Die Tatsache, dass Daten Unbefugten unrechtmäßig offengelegt, bzw. Unbefugte unrechtmäßig Zugang zu personenbezogenen Daten erlangt haben (vgl. Art. 4 Nr. 12 DSGVO), ist für sich nicht ausreichend, um zum Urteil zu kommen, dass die getroffenen Maßnahmen zum Schutz der Daten nicht angemessen (vgl. Art. 32 DSGVO) waren. Die Bewertung der „Angemessenheit“ erfordert eine Beurteilung der konkreten Umstände.
• Die Beweispflicht, dass die getroffenen Maßnahmen „angemessen“ waren, liegt beim Verantwortlichen.
• Für den Fall, dass die unbefugte Offenlegung bzw. der unbefugte Zugriff von einem „Dritten“ (vgl. Art. 4 Nr. 10 DSGVO), z.B. Cyberkriminellen, kann der Verantwortliche verpflichtet sein, betroffenen Personen entstandene Schäden zu ersetzen, es sei denn, er kann nachweisen, dass er in keiner Weise für den Schaden verantwortlich ist.
• Die Befürchtung einer betroffenen Person hinsichtlich eines möglichen Missbrauchs ihrer personenbezogenen Daten durch Dritten infolge eines Verstoßes gegen die Datenschutz-Grundverordnung kann an sich einen „immateriellen Schaden“ darstellen.

Was Sie unbedingt mitnehmen sollten
Im Ergebnis sind Unternehmen auch für Schäden, die durch Dritte angerichtet werden, datenschutzrechtlich verantwortlich. Es ist die Pflicht des Verantwortlichen, ein angemessenes Sicherheitsniveau zu gewährleisten (vgl. Art. 5 Abs. 1 lit. f, Art. 32 Abs. 1 DSGVO). Kann nachgewiesen werden, dass ein angemessenes Sicherheitsniveau gewährleistet wurde, und betroffenen Personen trotzdem Schäden durch einen Cyberangriff entstehen, kann die Haftung für solche Schäden ausgeschlossen werden.

Diese Entscheidung des EuGH ist ein weiterer Grund für Unternehmen, die Risiken von Cyberangriffen ernst zu nehmen und sich ausreichend davor zu schützen. Bei Schäden besteht, neben Unternehmensrisiken und dem Risiko eines Bußgeldes durch die Datenschutzbehörde, ergänzend das Risiko des Schadensersatzes gegenüber betroffenen Personen. Und dies umfasst auch immaterielle Schäden, z.B. auch schon die Befürchtung eines Datenmissbrauchs.

Für Cyberangriffe ist hinzufügen, dass oftmals tausende oder Millionen Datensätze betroffen sind. Das Risiko einer Sammelklage gegenüber dem verantwortlichen Unternehmen ist damit groß. Somit steigt die Wahrscheinlichkeit, dass betroffene Personen gemeinsam rechtlich gegen Unternehmen vorgehen, die keine ausreichende Sicherheit ihrer Daten gewährleisten.