Ersatz immaterieller Schäden nach Hacker-Angriff (EuGH, Urteil vom 14.12.2023; C 340/21): EuGH stärkt Rechte Betroffener und schafft Klarheit – aber wie klar ist es wirklich?
von RA Johannes Zimmermann, Fachanwalt für IT-Recht
Worum geht es?
Dem Europäischen Gerichtshof wurde ein Fall aus Bulgarien zur Entscheidung vorgelegt, in dem die dortige Klägerin Schadensersatz für immateriellen Schaden von einer Behörde möchte, die Ziel eines erfolgreichen Hackerangriffs wurde. In der Folge wurden die personenbezogenen Daten von mehr als sechs Millionen Menschen im Internet veröffentlicht. Ihren immateriellen Schaden erblickt die Klägerin in der Befürchtung, dass ihre personenbezogenen Daten künftig missbraucht würden, oder dass sie erpresst, angegriffen oder gar entführt werden könne. Die Behörde hält entgegen, dass sie die erforderlichen Maßnahmen zur Vermeidung eines solchen Datenabflusses im Vorfeld und zur Begrenzung der Auswirkungen im Nachgang zum Hackerangriff ergriffen habe.
Was sagt der EuGH?
Für Betroffene wartet der EuGH mit einer guten Nachricht auf. Bisher war unklar, ob allein die Befürchtung, die unrechtmäßig offengelegten Daten könnten von Dritten für erhebliche kriminelle Machenschaften missbraucht werden, einen immateriellen Schaden darstellen kann. Dies war im Vorfeld zwischen den Gerichten durchaus umstritten, und nach einem verbreiteten Missverständnis der Ausführungen des EuGH in der noch gar nicht so alten Entscheidung Österreichische Post vom 04.05.2023 – C-300/21 setzte sich immer mehr die Auffassung durch, eine bloße Befürchtung stelle noch keinen immateriellen Schaden dar. Dem schob der EuGH nun einen Riegel vor und stellte klar: schon die Befürchtung eines Missbrauchs kann einen immateriellen Schaden darstellen.
Aber auch für Verantwortliche Stellen hält der EuGH wichtige Hinweise bereit, die in der ganzen Euphorie über die Ausweitung der Schadensersatzmöglichkeiten (hierzu weiter unten) nicht untergehen sollten. Der EuGH führt nämlich aus, dass ein Datenleck bzw. erfolgreicher Hackerangriff allein noch nicht unwiderlegbar darauf schließen lässt, dass die von dem verarbeitenden Unternehmen bzw. der verarbeitenden Behörde ergriffenen Maßnahmen nicht ausreichend waren. Eine Vermutung für nicht ausreichende Maßnahmen folge hieraus aber schon, mit der Konsequenz, dass die verarbeitende Stelle die Eignung der von ihr ergriffenen Maßnahmen darlegen und beweisen muss, um der Haftung zu entgehen.
„Meine Daten wurden gestohlen! Was bringt mir das EuGH-Urteil?“
Derjenige, dessen Daten bei einem Hackerangriff oder über ein anderes Datenleck abgeflossen oder gar in die Hände Krimineller gelangt sind, haben es nun leichter, Schadensersatz wegen immateriellen Schadens zu bekommen. Die vorher von Gerichten oft vorausgesetzte Darlegung konkreter Gefahren oder Nachteile als Voraussetzung für Schadensersatz stellte eine erhebliche Hürde dar, die nunmehr abgebaut wurde.
Zum Selbstläufer wird ein Schadensersatzanspruch aber trotzdem nicht. Wer meint, nun mit der bloßen Behauptung, er befürchte den Missbrauch seiner Daten, Schadensersatz verlangt, kann rasch wieder auf dem Boden der Tatsachen landen. Denn auch die Befürchtung des Datenmissbrauchs muss dargelegt und ggf. bewiesen werden. Dabei hat der EuGH angedeutet, dass die bloße Behauptung nicht ausreicht, sondern dass es eine begründete Befürchtung sein muss. Es versteht sich von selbst, dass die Anforderungen beim Bekanntwerden einer isolierten E-Mail-Adresse andere sind als beim Diebstahl digitaler Patientenakten oder Bankingdaten.
Zudem bleibt dem Verantwortlichen der Nachweis, dass er eben doch die erforderlichen Maßnahmen ergriffen hatte. Wer aus der Entscheidung den Schluss zieht, dass sich die verantwortlichen Stellen praktisch nicht mehr entlasten können, dem kann ein böses Erwachen drohen, denn die Macher der DSGVO, der EuGH und die nationalen Gerichte haben sicherlich eines nicht im Sinn: die hiesigen Unternehmen und Behörden mit Anforderungen zu konfrontieren, die sie schlicht nicht erfüllen können. So können sehr schnell technische Details in den Fokus rücken, die den Betroffenen überraschen und überfordern. Dies soll den Einzelnen nicht davon abhalten, sein Recht geltend zu machen; mit Textbausteinen in Massenverfahren, wie dies bisher häufig versucht wurde, wird es aber nach wie vor nicht gehen.
„Ich verarbeite personenbezogene Daten – wie kann ich mich vor Schadensersatz schützen?“
Der EuGH hat nicht nur festgestellt, dass sich verarbeitende Stellen entlasten können – er hat auch deutlich gemacht, wo dies erfolgen muss: vor den nationalen Gerichten unter Anwendung des nationalen Prozessrechts. Da mit Datenlecks und Hackerangriffen jederzeit zu rechnen ist, ist es wichtig, dass die geeigneten Gegenmaßnahmen bereits im Vorfeld getroffen werden – was die DSGVO ohnehin fordert. Damit hat es aber noch nicht sein Bewenden. Die nach der DSGVO geforderten Dokumentationen sollten so ausgedehnt werden, dass sich die ergriffenen Maßnahmen im Nachgang schnell und mit wenig Aufwand darlegen lassen. Zudem sollte sie sich auch auf die Verfügung stehenden Beweismittel erstrecken, denn eine Dokumentation, die man im Bedarfsfall nicht mehr selbst nachvollziehen kann, ist wertlos.