Cyberkriminalität: Befürchtung eines möglichen Missbrauchspersonenbezogener Daten kann für sich genommen einen immateriellen Schaden darstellen

Die bulgarische Nationale Agentur für Einnahmen (NAP) ist dem bulgarischen Finanzminister unterstellt. Sie ist u. a. mit der Feststellung, Sicherung und Einziehung öffentlicher Forderungen betraut. In diesem Rahmen ist sie für die Verarbeitung personenbezogener Daten verantwortlich.

Am 15. Juli 2019 wurde in den Medien darüber berichtet, dass in das IT-System der NAP eingedrungen worden sei und infolge dieses Cyberangriffs in diesem System enthaltene personenbezogene Daten von Millionen von Menschen im Internet veröffentlicht worden seien.

Zahlreiche Personen verklagten die NAP auf Ersatz des immateriellen Schadens, der ihnen aus der Befürchtung eines möglichen Missbrauchs ihrer Daten entstanden sein soll. Das bulgarische Oberste Verwaltungsgericht legt dem Gerichtshof mehrere Fragen zur Auslegung der Datenschutz-Grundverordnung (DSGVO) zur Vorabentscheidung vor. Es möchte klären lassen, unter welchen Bedingungen eine Person, deren personenbezogene Daten, die sich im Besitz einer öffentlichen Agentur befinden, nach einem Angriff von Cyberkriminellen im Internet veröffentlicht wurden, Ersatz des immateriellen Schadens verlangen kann.

Entscheidung des EUGH

In seinem Urteil antwortet der Gerichtshof wie folgt:

  1. Im Fall der unbefugten Offenlegung von bzw. des unbefugten Zugangs zu personenbezogenen Daten können die Gerichte aus diesem Umstand allein nicht ableiten, dass die Schutzmaßnahmen, die der für die Datenverarbeitung Verantwortliche ergriffen hat, nicht geeignet waren. Die Gerichte müssen die Geeignetheit dieser Maßnahmen konkret beurteilen.
  2. Der Verantwortliche trägt die Beweislast dafür, dass die getroffenen Schutzmaßnahmen geeignet waren.
  3. Im Fall der unbefugten Offenlegung von bzw. des unbefugten Zugangs zu personenbezogenen Daten durch „Dritte“ (wie Cyberkriminelle) kann der Verantwortliche gegenüber den Personen, denen ein Schaden entstanden ist, ersatzpflichtig sein, es sei denn, er weist nach, dass er in keinerlei Hinsicht für den Schaden verantwortlich ist.
  4. Allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, kann einen „immateriellen Schaden“ darstellen.

(Quelle bis hierhin: PM des EUGH)


Zum gerichtlichen Beweis

Das vorlegende Gericht wollte wissen, ob nach Art. 32 DSGVO und dem unionsrechtlichen Effektivitätsgrundsatz ein gerichtliches Sachverständigengutachten ein notwendiges und ausreichendes Beweismittel ist, um die Angemessenheit der vom Verantwortlichen ergriffenen Sicherheitsmaßnahmen zu beurteilen.

Hierzu betont der Gerichtshof, dass in Ermangelung spezifischer Unionsvorschriften die nationalen Rechtsordnungen der Mitgliedstaaten die prozessualen Modalitäten der Rechtsmittel festlegen, die zum Schutz der Bürgerrechte dienen. Diese Modalitäten dürfen jedoch nicht ungünstiger sein als jene für gleichartige innerstaatliche Fälle (Äquivalenzgrundsatz) und dürfen die Ausübung der durch das Unionsrecht verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren (Effektivitätsgrundsatz):

Im vorliegenden Fall ist festzustellen, dass die DSGVO keine Regeln über die Zulassung und den Beweiswert eines Beweismittels wie eines gerichtlichen Sachverständigengutachtens enthält, die von den nationalen Gerichten anzuwenden sind, die mit einer auf Art. 82 DSGVO gestützten Schadenersatzklage befasst sind und die Geeignetheit der von dem für die betreffende Verarbeitung Verantwortlichen getroffenen Sicherheitsmaßnahmen im Hinblick auf Art. 32 DSGVO zu beurteilen haben.

Daher ist es nach den Ausführungen in der vorstehenden Randnummer des vorliegenden Urteils und in Ermangelung einschlägiger unionsrechtlicher Vorschriften Aufgabe der innerstaatlichen Rechtsordnung des einzelnen Mitgliedstaats, die Ausgestaltung von Klageverfahren, die den Schutz der dem Einzelnen aus Art. 82 DSGVO erwachsenden Rechte gewährleisten sollen, und insbesondere die Regeln für die Beweismittel, anhand deren die Geeignetheit solcher Maßnahmen in diesem Zusammenhang bewertet werden kann, festzulegen, wobei der Äquivalenz- und der Effektivitätsgrundsatz zu beachten sind (vgl. entsprechend Urteile vom 21. Juni 2022, Ligue des droits humains, C‑817/19, EU:C:2022:491, Rn. 297, und vom 4. Mai 2023, Österreichische Post [Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten], C‑300/21, EU:C:2023:370, Rn. 54).

Verantwortlichkeit

Das vorlegende Gericht fragte weiter an, ob eine unbefugte Offenlegung oder ein unbefugter Zugang zu personenbezogenen Daten durch „Dritte“ gemäß Art. 4 Nr. 10 DSGVO ausreicht, um die Ungeeignetheit der vom Verantwortlichen nach Art. 24 und 32 DSGVO getroffenen technischen und organisatorischen Maßnahmen zu belegen. Art. 24 DSGVO verpflichtet den Verantwortlichen zur Implementierung geeigneter Maßnahmen, um die Einhaltung der DSGVO zu gewährleisten, während Art. 32 DSGVO spezifische Pflichten zur Sicherheit der Datenverarbeitung festlegt. Beide Artikel verlangen, dass der Verantwortliche den Nachweis erbringen kann, dass die getroffenen Maßnahmen mit der DSGVO übereinstimmen.

Die Beurteilung der Geeignetheit dieser Maßnahmen erfolgt anhand verschiedener Kriterien, darunter Art, Umfang, Umstände und Zwecke der Verarbeitung sowie die Wahrscheinlichkeit und Schwere der Risiken. Art. 32 Abs. 1 und 2 DSGVO verweisen auf ein „dem Risiko angemessenes Schutzniveau“, was darauf hindeutet, dass die DSGVO ein Risikomanagementsystem einführt, ohne zu behaupten, dass das Risiko von Datenverletzungen vollständig eliminiert wird.

Eine unbefugte Offenlegung oder ein unbefugter Zugang zu Daten durch Dritte allein reicht daher nicht aus, um zu schlussfolgern, dass die Maßnahmen des Verantwortlichen ungeeignet waren, ohne diesem die Möglichkeit zu geben, Gegenbeweise zu erbringen. Diese Interpretation wird durch systematische und teleologische Überlegungen bestätigt, wobei insbesondere der Verantwortliche in der Lage sein muss, die Angemessenheit der Maßnahmen zu belegen, und die Art. 24 und 32 DSGVO eine Haftung des Verantwortlichen nur dann vorsehen, wenn er nicht nachweisen kann, dass er keinerlei Verantwortung für den Schaden trägt.

Immaterieller Schaden

Abschliessend wollte das vorlegende Gericht klären, ob gemäß Art. 82 Abs. 1 DSGVO die bloße Befürchtung einer betroffenen Person, dass ihre personenbezogenen Daten infolge eines DSGVO-Verstoßes durch Dritte missbraucht werden könnten, als „immaterieller Schaden“ angesehen werden kann. Art. 82 Abs. 1 DSGVO besagt, dass jede Person, die durch einen Verstoß gegen die Verordnung Schaden erleidet, Anspruch auf Schadenersatz hat. Der Gerichtshof stellt fest, dass für einen Schadenersatzanspruch das Vorliegen eines Schadens, eines Verstoßes gegen die DSGVO und ein Kausalzusammenhang zwischen beiden erforderlich sind.

Eine nationale Regelung oder Praxis, die den Ersatz eines immateriellen Schadens davon abhängig macht, dass dieser einen bestimmten Grad an Erheblichkeit erreicht, widerspricht Art. 82 Abs. 1 DSGVO. Art. 82 Abs. 1 unterscheidet nicht zwischen einem bereits erfolgten Missbrauch und der Befürchtung zukünftigen Missbrauchs. Daher kann die Angst vor zukünftigem Missbrauch personenbezogener Daten als immaterieller Schaden unter Art. 82 Abs. 1 fallen.

Diese Auslegung wird durch den 146. Erwägungsgrund der DSGVO bestärkt, der eine weite Auslegung des Schadensbegriffs fordert. Der 85. Erwägungsgrund deutet darauf hin, dass auch der bloße „Verlust der Kontrolle“ über Daten als Schaden betrachtet werden kann. Die Auslegung wird auch durch die Ziele der DSGVO gestützt, die ein hohes Schutzniveau für personenbezogene Daten verlangen. Allerdings muss das betroffene Individuum nachweisen, dass der Schaden im Sinne von Art. 82 Abs. 1 DSGVO vorliegt. Das nationale Gericht muss prüfen, ob die Befürchtung einer zukünftigen missbräuchlichen Verwendung der Daten unter den gegebenen Umständen als begründet angesehen werden kann.

Was bedeutet das?

Die Entscheidung ist eine Konturierung, keine abschliessende Klärung: Ein Dataleak kann zu einem Schadensersatz führen, der Betroffene hat (weiterhin) die Beweislast dafür dass ein immaterieller Schaden eingetreten ist, der Verarbeiter muss die Angemessenheit seiner TOM beweisen können. Gute, gerichtsfeste Dokumentation ist also das A&O. Die Entscheidung ist wohl so zu verstehen, dass ein Datenleck alleine noch keinen Schadensersatz für sich eröffnet, sondern zumindest ein Missbrauch naheliegen muss oder auf Grund der Besonderheit der Daten im Raum stehen muss.

Fachanwalt für IT-Recht Jens Ferner