Der Europäische Gerichtshof (EuGH) beschäftigte sich in seinem Urteil vom 14.12.2023 – C-340/21 mit einem Cyber-Angriff auf eine bulgarische Behörde aus dem Jahr 2019, von welchem mehr als sechs Millionen natürliche Personen (sowohl bulgarische als auch ausländische Staatsbürger) betroffen waren.
Knackpunkte der Entscheidung waren insbesondere die Fragen, ob durch einen erfolgreichen Hackerangriff gleichzeitig anzunehmen ist, dass die ergriffenen Sicherheitsmaßnahmen des Verantwortlichen ungenügend waren und ob die bloße Befürchtung eines potentiellen Schadens der Betroffenen ausreicht.
Streithergang
Hunderte Betroffene erhoben wegen der Veröffentlichung ihrer Daten Klage auf Schadensersatz. Den immateriellen Schaden stützten sie dabei auf die Befürchtung, dass ihre personenbezogenen Daten, die ohne ihre Einwilligung (oder aufgrund eines anderen Erlaubnistatbestandes des Art. 6 Abs. 1 S. 1 DSGVO) veröffentlicht worden seien, künftig missbräuchlich verwendet würden oder gar, dass sie selbst erpresst, angegriffen oder letztlich entführt werden könnten.
Die Behörde selbst trug vor, alle erforderlichen Maßnahmen ergriffen zu haben, um im Vorfeld die Verletzung des Schutzes der in ihrem IT‑System enthaltenen personenbezogenen Daten zu verhindern, ebenso wie im Nachhinein die Auswirkungen dieser Verletzung zu begrenzen.
Zunächst wies das erstinstanzliche Verwaltungsgericht die Klage(n) ab. Die Kläger legten hiergegen jedoch Kassationsbeschwerde ein. Das für die Revision zuständige Gericht wandte sich sodann mit diversen Vorlagefragen an den EuGH, über welche dieser nun entschied:
-
Impliziert ein Datenschutzverstoß die Ungeeignetheit der TOMs?
Antwort: Nein
Das vorlegende Gericht warf die Überlegung in den Raum, dass bereits die Feststellung einer Verletzung des Schutzes personenbezogener Daten die Schlussfolgerung zulassen könnte, dass die vom für die Verarbeitung dieser Daten Verantwortlichen getroffenen technischen und organisatorischen Maßnahmen (TOMs) nicht geeignet gewesen seien im Sinne der Art. 24 und 32 DSGVO.
Dieser Annahme erteilte der EuGH jedoch eine Absage.
Aus der DSGVO ergibt sich an diversen Stellen, dass der Verantwortliche nachweisen können muss, dass er die Grundsätze für die Verarbeitung personenbezogener Daten eingehalten hat.
„Eine solche Auslegung ist umso mehr geboten, als Art. 24 DSGVO ausdrücklich vorsieht, dass der Verantwortliche den Nachweis dafür erbringen können muss, dass die von ihm umgesetzten Maßnahmen im Einklang mit der DSGVO stehen; diese Möglichkeit bliebe ihm verwehrt, wenn eine unwiderlegbare Vermutung angenommen würde.“
Eine Nachweispflicht wäre demnach überflüssig, würde eine Verletzung der personenbezogenen Daten sofort zur Ungeeignetheit der getroffenen Maßnahmen führen.
Außerdem soll mit der DSGVO lediglich ein angemessenes Schutzniveau erreicht werden, wozu TOMs als eine Art Risikomanagementsystem eingeführt wurden. Der Verantwortliche muss lediglich geeignete TOMs einführen die darauf gerichtet sind, jede Verletzung des Schutzes personenbezogener Daten so weit wie möglich zu verhindern. Das Risiko einer Verletzung muss dadurch jedoch nicht gänzlich beseitigt, sondern nur weitestgehend eingedämmt werden.
„Diese Verpflichtung wird in Art. 24 Abs. 1 und 3 sowie in Art. 32 Abs. 3 DSGVO hinsichtlich der Verpflichtung, technische und organisatorische Maßnahmen zum Schutz solcher Daten bei der Verarbeitung durch den Verantwortlichen zu treffen, aufgegriffen und präzisiert. Eine solche Verpflichtung, die Geeignetheit der Maßnahmen nachzuweisen, hätte indes keinen Sinn, wenn der Verantwortliche verpflichtet wäre, jede Beeinträchtigung dieser Daten zu verhindern.“
Die Geeignetheit solcher Maßnahmen ist dann wiederum Einzelfallabhängig zu bewerten, indem die Maßnahmen zur Eindämmung mit den mit der konkreten Verarbeitung verbundenen Risiken abgewogen werden.
-
Wer trägt die Beweislast für die Geeignetheit der TOMs?
Antwort: Der Verantwortliche
Auf die Frage, wer für die Geeignetheit der vorgenommenen Sicherheitsmaßnahmen die Beweislast trage antwortete der EuGH, dass aus dem Wortlaut der Art. 5 Abs. 2, Art. 24 Abs. 1 und Art. 32 Abs. 1 DSGVO eindeutig hervorgehe, dass die Beweislast dafür, dass personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit dieser Daten gewährleistet, dem für die betreffende Verarbeitung Verantwortlichen obliege.
Dies stelle eine allgemeine Regel dar, die auch auf Schadenersatzklagen anzuwenden sei.
„Diese drei Artikel formulieren somit eine allgemein anwendbare Regel, die mangels gegenteiliger Anhaltspunkte in der DSGVO auch im Rahmen einer auf Art. 82 DSGVO gestützten Schadenersatzklage anzuwenden ist“
Dies sei bereits aus der Überlegung heraus geboten, dass eine umgekehrte Beweislast eine Einschränkung der Betroffenenrechte zur Folge hätte.
„Läge zum anderen die Beweislast für die Geeignetheit dieser Maßnahmen bei den betroffenen Personen im Sinne von Art. 4 Nr. 1 DSGVO, folgte daraus, dass dem in Art. 82 Abs. 1 DSGVO vorgesehenen Schadenersatzanspruch ein erheblicher Teil seiner praktischen Wirksamkeit genommen würde, obwohl der Unionsgesetzgeber, wie aus dem elften Erwägungsgrund der DSGVO hervorgeht, im Vergleich zu den vor Erlass der DSGVO geltenden Bestimmungen sowohl die Rechte dieser Personen stärken als auch die Verpflichtungen der Verantwortlichen verschärfen wollte.“
Im Falle einer Datenschutzverletzung durch einen Cyber-Angriff müsse der Verantwortliche dementsprechend dafür einstehen, wenn die Verletzung auf Grund der Nichtbeachtung der obenstehenden Vorschriften ermöglicht wurde. Eine Haftungsbefreiung könnte aber dadurch erreicht werden, wenn der Verantwortliche nachweisen kann, dass er in keinerlei Hinsicht selbst für den Schaden verantwortlich ist, mithin kein Kausalzusammenhang zwischen der etwaigen Pflichtverletzung und dem Schaden besteht.
„Wenn, wie im vorliegenden Fall, eine Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DSGVO von Cyberkriminellen und damit von „Dritten“ im Sinne von Art. 4 Nr. 10 DSGVO begangen wurde, kann diese Verletzung dem Verantwortlichen nur dann zugerechnet werden, wenn dieser die Verletzung unter Missachtung einer Verpflichtung aus der DSGVO, insbesondere der Verpflichtung zum Datenschutz, die ihm nach Art. 5 Abs. 1 Buchst. f, Art. 24 und Art. 32 DSGVO obliegt, ermöglicht hat.
Somit kann sich der Verantwortliche bei einer Verletzung des Schutzes personenbezogener Daten durch einen Dritten auf der Grundlage von Art. 82 Abs. 3 DSGVO von seiner Haftung befreien, indem er nachweist, dass es keinen Kausalzusammenhang zwischen der etwaigen Verletzung der Verpflichtung zum Datenschutz durch ihn und dem der natürlichen Person entstandenen Schaden gibt.“
-
Kann die bloße Befürchtung einen immateriellen Schadenersatzanspruch begründen?
Antwort: Nicht ohne Weiteres
Das vorlegende Gericht wollte unter anderem auch wissen, ob allein die Befürchtung einer Person, dass ihre personenbezogenen Daten nach einem unbefugten Zugang zu ihnen und ihrer Offenlegung durch Cyberkriminelle, in Zukunft missbräuchlich verwendet werden könnten, einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO darstellen könne.
Der EuGH hielt die Befürchtung einer Person, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnte, für ausreichend. Auch der bloße Kontrollverlust über Daten kann einen Schaden darstellen. Das jeweilige nationale Gericht muss allerdings in solchen Fällen prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann.
Diese Aussage konkretisierte und ergänzte die aktuellere EuGH Entscheidung vom 25.01.2024 – Rs. C‑687/21:
„Der Gerichtshof hat hinzugefügt, dass eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie nachteilige Folgen hatte, jedoch den Nachweis erbringen muss, dass diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen, da der bloße Verstoß gegen die Bestimmungen dieser Verordnung nicht ausreicht, um einen Schadensersatzanspruch zu begründen.“
Die Person, die Schadensersatz verlangt, muss demnach nachweisen, dass ihr dadurch ein materieller oder immaterieller Schaden entstanden ist, gleich wie geringfügig dieser auch sein mag.
Was folgt daraus?
Achten Sie einmal Mehr auf eine möglichst umfangreiche und exakte Dokumentation der ergriffenen TOMs.
Hierzu können neben den datenschutzrechtlich vorgeschrieben Maßnahmen zur verbesserten IT-Sicherheit auch interne Schulungen dienen, ebenso wie der Erlass von Guidelines und Verschwiegenheitsverpflichtungen für den Umgang mit personenbezogenen Daten.
Umso umfassender Sie im Vorfeld auf eine umfassende Dokumentation sämtlicher ergriffener Sicherheitsmaßnahmen achten, umso eher gelingt Ihnen der Entlastungsnachweis.