Ein bahnbrechendes Urteil des Europäischen Gerichtshofs (EuGH) vom 14. Dezember 2023 (Rechtssache C-340/21) hat neue Maßstäbe im Datenschutzrecht gesetzt. In diesem wegweisenden Fall wurde entschieden, dass die Angst vor einem möglichen Datenmissbrauch an sich einen immateriellen Schaden darstellen kann. Dieses Urteil könnte weitreichende Folgen für Datenschutzverletzungen in der gesamten Europäischen Union haben.
Hintergrund des Falles: Die Entscheidung des EuGH wurde durch ein Vorabentscheidungsverfahren ausgelöst, das seinen Ursprung in einer Klage vor dem bulgarischen Obersten Verwaltungsgericht hatte. Hier ging es um eine Klage nach einem Cyberangriff auf eine bulgarische Steuerbehörde, bei dem persönliche Daten von über sechs Millionen Menschen offengelegt wurden. Die zentrale Frage dabei war, ob der Schadenersatzanspruch aus Artikel 82 der Datenschutz-Grundverordnung (DSGVO) auch immateriellen Schaden umfasst, der aus der Befürchtung eines möglichen Missbrauchs der Daten entsteht.
Wesentliche Punkte des EuGH-Urteils:
- Unbefugte Offenlegung persönlicher Daten: Ein Cyberangriff, der zu einer unbefugten Offenlegung oder einem unbefugten Zugang zu personenbezogenen Daten führt, bedeutet nicht automatisch, dass die getroffenen Sicherheitsmaßnahmen unzureichend waren.
- Beweislast und Angemessenheit der Maßnahmen: Die Verantwortlichen für die Datenverarbeitung müssen nachweisen, dass ihre Sicherheitsmaßnahmen angemessen waren. Dies beinhaltet eine individuelle Risikobeurteilung durch nationale Gerichte.
- Immaterieller Schadenersatz: Die bloße Befürchtung eines Datenmissbrauchs kann einen Anspruch auf immateriellen Schadenersatz rechtfertigen. Dies bedeutet, dass auch ohne einen nachweisbaren materiellen Schaden, Opfer von Datenschutzverletzungen Ansprüche geltend machen können.
- Haftung bei Cyberangriffen: Die Verantwortlichen sind nicht automatisch von der Schadenersatzpflicht befreit, selbst wenn der Schaden durch einen Cyberangriff Dritter verursacht wurde. Sie müssen beweisen, dass sie in keiner Weise für den Vorfall verantwortlich sind.
Auswirkungen auf Datenschutz und Unternehmen: Diese Entscheidung unterstreicht die Bedeutung geeigneter Datenschutzmaßnahmen und die Notwendigkeit für Unternehmen, ihre Compliance-Maßnahmen ständig zu überprüfen und zu aktualisieren. Es betont auch die Relevanz des immateriellen Schadens im Datenschutzrecht, ein Aspekt, der bisher oft übersehen wurde.
Fazit: Das Urteil des EuGH markiert einen Wendepunkt im Verständnis des Datenschutzes. Es stellt klar, dass die Angst vor einem Datenmissbrauch ernst zu nehmen ist und dass Unternehmen eine erhebliche Verantwortung tragen, die Daten ihrer Nutzer zu schützen. Für Verbraucher bedeutet dies eine Stärkung ihrer Rechte im Falle einer Datenschutzverletzung.
Stefan Lutz, LL.M.
Rechtsanwalt und Fachanwalt für IT-Recht
externer Datenschutzbeauftragter
Lehrbeauftragter für IT-Recht an der RWU
Rechtsanwalt und Fachanwalt für IT-Recht Stefan Lutz, LL.M. berät Firmen und private Mandanten in den Rechtsgebieten des IT-Rechts, wozu unter anderem das Datenschutzrecht (BDSG, DSGVO, TDDDG...), Urheberrecht, Wettbewerbsrecht, Markenrecht, E-Commerce-Recht, Social Media Recht und das Recht der Künstlichen Intelligenz gehören.
Telefon: 0751 / 27 088 530