Datenschutzrechtliche Konsequenzen eines Hackerangriffs: Einblicke aus der EUGH-Entscheidung C-340/21

Das Urteil des Europäischen Gerichtshofs (EUGH) vom 14. Dezember 2023 in der Rechtssache C-340/21 hat wichtige Klarstellungen zur Verantwortlichkeit und Haftung von Unternehmen im Falle eines Hackerangriffs getroffen.

Der EUGH entschied, dass allein die Befürchtung eines möglichen Missbrauchs persönlicher Daten als immaterieller Schaden anerkannt werden kann. In diesem Blog-Beitrag beleuchten wir die datenschutzrechtlichen Konsequenzen eines Hackerangriffs für betroffene Unternehmen und erörtern, welche Maßnahmen diese ergreifen müssen, um den Anforderungen der -Grundverordnung () zu entsprechen.

Sachverhalt der Entscheidung

Im vorliegenden Fall hatten Cyberkriminelle unbefugt auf das IT-System der bulgarischen Nationalen Agentur für Einnahmen (NAP) zugegriffen und von über sechs Millionen Personen veröffentlicht. Die Klägerin, deren Daten betroffen waren, verlangte immateriellen Schadensersatz. Sie argumentierte, dass die Offenlegung ihrer Daten zu Sorgen, Ängsten und der Befürchtung eines zukünftigen Missbrauchs geführt habe.

Rechtliche Analyse

Haftung und Rechenschaftspflicht nach der DSGVO

Der EUGH stellte fest, dass Unternehmen gemäß Art. 24 und 32 DSGVO verpflichtet sind, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten. Dabei müssen die Maßnahmen den Risiken angemessen sein, die mit der Datenverarbeitung verbunden sind. Der Verantwortliche muss nachweisen können, dass die ergriffenen Maßnahmen wirksam sind und den Anforderungen der DSGVO entsprechen.

Immaterieller Schaden durch Kontrollverlust

Der Gerichtshof bestätigte, dass allein die Befürchtung eines möglichen zukünftigen Missbrauchs personenbezogener Daten einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen kann. Es ist nicht erforderlich, dass der Missbrauch bereits stattgefunden hat. Diese Entscheidung unterstreicht die weite Auslegung des Schadensbegriffs in der DSGVO, der auch den Verlust der Kontrolle über personenbezogene Daten einschließt.

Beweislast und gerichtliche Kontrolle

Im Rahmen einer Schadensersatzklage trägt der Verantwortliche die dafür, dass die getroffenen Sicherheitsmaßnahmen geeignet waren. Nationale Gerichte müssen die Geeignetheit dieser Maßnahmen konkret prüfen und dabei die mit der Verarbeitung verbundenen Risiken berücksichtigen. Ein gerichtliches Sachverständigengutachten kann dabei als Beweismittel dienen, ist jedoch weder generell notwendig noch ausreichend.

Konsequenzen für betroffene Unternehmen

Technische und organisatorische Maßnahmen

Unternehmen müssen sicherstellen, dass sie angemessene Sicherheitsmaßnahmen implementieren, um Datenpannen zu vermeiden. Dazu gehören die Verschlüsselung personenbezogener Daten, die regelmäßige Überprüfung und Aktualisierung der Sicherheitsmaßnahmen sowie die Schulung von Mitarbeitern im Bereich Datenschutz und IT-Sicherheit.

Dokumentation und Nachweisführung

Es ist entscheidend, dass Unternehmen die ergriffenen Maßnahmen dokumentieren und jederzeit nachweisen können, dass diese den Anforderungen der DSGVO entsprechen. Dies umfasst die Erstellung detaillierter Berichte über die Sicherheitsmaßnahmen und deren Wirksamkeit.

Reaktion auf Datenpannen

Im Falle einer Datenpanne müssen Unternehmen unverzüglich die zuständige Datenschutzbehörde und die betroffenen Personen informieren. Diese Meldung muss alle relevanten Informationen zur Art der Datenpanne, den betroffenen Datenkategorien und den ergriffenen Maßnahmen zur Behebung der Panne enthalten.

Schadensersatzansprüche

Unternehmen sollten sich der Tatsache bewusst sein, dass betroffene Personen Anspruch auf immateriellen Schadensersatz haben können, selbst wenn der Schaden lediglich in der Befürchtung eines möglichen Missbrauchs ihrer Daten besteht. Dies erfordert eine sorgfältige Prüfung und gegebenenfalls Anpassung der internen Prozesse und Richtlinien zur Schadensersatzregelung.


Pflicht zum Ersatz des einer Person entstandenen Schadens bei böswilligem Handeln eines Dritten

Der Europäische Gerichtshof (EUGH) hat in seinem Urteil zugleich wichtige Klarstellungen zur Haftung von Unternehmen für Schäden getroffen, die durch das Handeln Dritter verursacht wurden, insbesondere im Kontext von Hackerangriffen. Diese Klarstellungen sind für die datenschutzrechtliche Praxis von großer Bedeutung.

Rechtsrahmen und Kernaussagen des Urteils

Der EUGH hat in seiner Entscheidung die Pflichten von Verantwortlichen im Umgang mit personenbezogenen Daten sowie die Haftungsfragen, die sich bei einem Datenverstoß durch Dritte stellen, präzisiert. Dabei hat der Gerichtshof insbesondere die Artikel 24, 32 und 82 der Datenschutz-Grundverordnung (DSGVO) herangezogen.

Haftung und Haftungsbefreiung nach Art. 82 DSGVO

Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Art. 82 Abs. 2 DSGVO präzisiert, dass jeder an einer Verarbeitung beteiligte Verantwortliche für den Schaden haftet, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde.

Haftungsbefreiung: Art. 82 Abs. 3 DSGVO ermöglicht dem Verantwortlichen oder dem Auftragsverarbeiter eine Befreiung von der Haftung, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.

Urteilsausführungen zur Haftung bei Handeln Dritter

Der EUGH hat klargestellt, dass der bloße Umstand, dass ein Schaden durch die unbefugte Offenlegung personenbezogener Daten oder den unbefugten Zugang zu diesen Daten durch Dritte entstanden ist, nicht ausreicht, um den Verantwortlichen von der Haftung zu befreien. Der Verantwortliche muss nachweisen, dass er in keinerlei Hinsicht für den Schaden verantwortlich ist.

Das bedeutet, dass der Verantwortliche beweisen muss, dass:

  1. Alle erforderlichen Sicherheitsmaßnahmen gemäß Art. 32 DSGVO getroffen wurden, um die Daten zu schützen.
  2. Keine Pflichtverletzung seinerseits vorliegt, die den Schaden ermöglicht oder begünstigt hat.

Konkrete Anforderungen an den Nachweis: Der Verantwortliche muss nachweisen, dass die von ihm ergriffenen technischen und organisatorischen Maßnahmen den Anforderungen der DSGVO entsprochen haben und dass diese Maßnahmen geeignet waren, die Risiken für die betroffenen personenbezogenen Daten angemessen zu mindern. Dieser Nachweis kann nicht allein durch den Hinweis auf das Handeln Dritter erbracht werden; es muss eine konkrete und umfassende Bewertung der Sicherheitsmaßnahmen erfolgen.

Systematische und teleologische Auslegung

Der EUGH betont, dass die Haftungsbefreiung nur in engen Grenzen und unter strikter Beachtung der Nachweispflichten des Verantwortlichen greift. Diese strikte Auslegung soll sicherstellen, dass ein hohes Schutzniveau für die Verarbeitung personenbezogener Daten gewahrt bleibt und Verantwortliche sich nicht leichtfertig von ihrer Haftung befreien können.


Gesamteindruck

Die Entscheidung des EUGH in der Rechtssache C-340/21 stellt klar, dass Unternehmen umfassende Verantwortung für den Schutz personenbezogener Daten tragen und bereits die Befürchtung eines zukünftigen Missbrauchs dieser Daten als immaterieller Schaden anerkannt werden kann. Betroffene Unternehmen müssen daher sicherstellen, dass sie den Anforderungen der DSGVO vollständig entsprechen, um potenzielle Haftungsrisiken zu minimieren. Dies umfasst die Implementierung und regelmäßige Überprüfung angemessener Sicherheitsmaßnahmen, die Dokumentation dieser Maßnahmen und die Vorbereitung auf eine schnelle und effektive Reaktion im Falle einer Datenpanne.

Die Entscheidung des EUGH verdeutlicht dabei, dass Unternehmen auch dann haftbar bleiben können, wenn ein Schaden durch das Handeln Dritter, wie etwa durch Hackerangriffe, verursacht wurde. Entscheidend ist, dass der Verantwortliche nachweist, dass er alle erforderlichen und angemessenen Sicherheitsmaßnahmen getroffen hat, um die personenbezogenen Daten zu schützen. Diese strenge Haftungsregelung unterstreicht die Notwendigkeit für Unternehmen, ihre Sicherheitsvorkehrungen kontinuierlich zu überprüfen und zu verbessern, um den hohen Anforderungen der DSGVO gerecht zu werden.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht / Technologierecht - ergänzt um Arbeitsrecht.