#019 Neue EuGH-Entscheidung: Potenzieller Datenmissbrauch kann als immaterieller Schaden anerkannt werden
Neue EuGH-Entscheidung: Potenzieller Datenmissbrauch kann als immaterieller Schaden anerkannt werden
Am 14. Dezember 2023 veröffentlichte der Europäische Gerichtshof (EuGH) ein richtungweisendes Urteil (Fall Nr. C-340/21), in dem festgestellt wurde, dass die Angst vor möglichem Datenmissbrauch einen immateriellen Schaden darstellen kann. Dieses Urteil erging im Rahmen eines Vorabentscheidungsverfahrens, das seinen Ursprung in einem Fall des bulgarischen Obersten Verwaltungsgerichts hatte. Dabei ging es um eine Klage auf Schadensersatz nach einem Cyberangriff auf eine bulgarische Steuerbehörde, durch den persönliche Daten von über sechs Millionen Personen öffentlich wurden. Das bulgarische Gericht erbat vom EuGH eine Klarstellung, ob nach Art. 82 der Datenschutz-Grundverordnung (DSGVO) auch immaterielle Schäden durch die Sorge um Datenmissbrauch geltend gemacht werden können.
Das EuGH-Urteil hebt hervor:
- Eine unbefugte Offenlegung oder der unbefugte Zugang zu personenbezogenen Daten infolge eines Cyberangriffs bedeutet nicht zwangsläufig, dass die ergriffenen Sicherheitsmaßnahmen unzureichend waren. Die Verantwortlichen müssen die Eignung dieser Maßnahmen nachweisen.
- Ob diese Maßnahmen ausreichend waren, müssen nationale Gerichte unter Berücksichtigung des individuellen Risikos der Datenverarbeitung bewerten. Ein Sachverständigengutachten ist dafür nicht immer notwendig.
- Die bloße Angst vor Datenmissbrauch kann einen Anspruch auf immateriellen Schadenersatz begründen.
- Verantwortliche können sich nicht automatisch von der Haftung befreien, wenn der Schaden durch einen Cyberangriff Dritter verursacht wurde. Sie müssen nachweisen, dass sie für den schadensverursachenden Umstand in keiner Weise verantwortlich sind.
Diese Entscheidung des EuGH unterstreicht die Notwendigkeit für Verantwortliche, geeignete Sicherheitsmaßnahmen zu treffen und deren Angemessenheit zu beweisen – auch im Falle von Cyberangriffen Dritter. Darüber hinaus verdeutlicht das Gericht, dass ein immaterieller Schaden auch in der bloßen “Befürchtung” eines Missbrauchs liegen kann. Kläger müssen allerdings beweisen, dass ein Verstoß gegen die DSGVO negative Auswirkungen für sie hatte und diese Auswirkungen einen immateriellen Schaden darstellen.