18.12.2023Fachbeitrag

Update Datenschutz Nr. 163

EuGH urteilt zur Haftung und Schadensersatz bei Cyberangriffen

Mit Urteil vom 14. Dezember 2023 (Rs. C-340/21) beantwortete der Europäische Gerichtshof („EuGH“) verschiedene höchst praxisrelevante Fragen hinsichtlich der Geeignetheit von technischen und organisatorischen Maßnahmen im Kontext einer Cyberattacke, zu der Beweislastverteilung bei der Prüfung der Geeignetheit von technischen und organisatorischen Maßnahmen, zu einer möglichen Exkulpation des Verantwortlichen bei Cyberattacken und zur Frage, ob die Befürchtung einer betroffenen Person, dass ihre personenbezogenen Daten missbräuchlich verwendet werden könnten, bereits einen immateriellen Schadensersatzanspruch begründet.

A. Sachverhalt

Im Juli 2019 kam es durch einen Cyberangriff zu einem unbefugten Zugang zum Informationssystem in der bulgarischen Behörde „Natsionalna agentsia za prihodite“ („NAP“), der nationalen Agentur für Einnahmen. Dabei wurden Steuer- und Sozialversicherungsdaten von Millionen von Menschen im Internet veröffentlicht. Eine Vielzahl von Betroffenen, unter anderem auch die Klägerin des Ausgangsverfahrens, erhoben deshalb Klage.

Erstinstanzlich machte die Klägerin geltend, dass die NAP gegen ihre Pflicht verstoßen habe, als Verantwortliche personenbezogene Daten so zu verarbeiten, dass angemessene Sicherheitsstandards gewährleistet seien. Die NAP habe es versäumt, geeignete technische und organisatorische Maßnahmen gemäß der Art. 24 und 32 der Datenschutzgrundverordnung („DSGVO“) umzusetzen. Dadurch sei ihr ein immaterieller Schaden entstanden, der sich in Sorgen und Befürchtungen des künftigen Missbrauchs ihrer personenbezogenen Daten äußere.

Die NAP hielt dem entgegen, dass es am kausalen Zusammenhang zwischen dem unberechtigten Zugriff und dem behaupteten immateriellen Schaden fehle. Sie habe alle Maßnahmen zur Informationssicherheit umgesetzt, die den geltenden internationalen Datenschutzbestimmungen entsprächen.

Das Gericht wies die Klage in der ersten Instanz ab. Die Veröffentlichung der Daten sei nicht der NAP zuzurechnen. Die Beweislast für die Geeignetheit der getroffenen Maßnahmen liege bei der Klägerin und es läge kein immaterieller Schaden vor. Dagegen erhob die Klägerin Kassationsbeschwerde beim Obersten Verwaltungsgericht Bulgariens. Das Oberste Verwaltungsgericht setzte das Verfahren aus und legte dem Europäischen Gerichtshof mehrere Fragen im Rahmen eines Vorabentscheidungsverfahrens zum geltend gemachten Anspruch auf immateriellen Schadensersatz vor, da es in erstinstanzlichen Verfahren zu verschiedenen Ergebnissen bzgl. der Schadensersatzpflicht der NAP gekommen war.

B. Die Entscheidung des EuGH

Der EuGH entschied wie folgt:

I. Datenverstoß heißt nicht automatisch, dass die Maßnahmen ungeeignet waren

Der EuGH entschied, dass im Fall einer unbefugten Offenlegung von bzw. einem unbefugten Zugang zu Daten allein der Umstand, dass es zu diesem Vorfall gekommen sei, nicht ausreiche, um festzustellen, dass die Maßnahmen zum Schutz der Daten ungeeignet waren. Vielmehr müsse die Geeignetheit der technischen und organisatorischen Maßnahmen im konkreten Fall beurteilt werden. Schon die Bezugnahme in Art. 32 DSGVO auf ein „dem Risiko angemessenes Schutzniveau“ demonstriere, dass das Regelungsregime der DSGVO ein Risikomanagementsystem anstrebe und nicht verlange, das Risiko von Verletzungen des Schutzes personenbezogener Daten sei gänzlich zu beseitigen. Dies werde von systematischen und teleologischen Gesichtspunkten bei der Auslegung von Art. 24 und Art. 32 DSGVO gestützt. Die Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO erfordere vom Verantwortlichen, dass dieser nachweisen könne, dass die getroffenen technischen und organisatorischen Maßnahmen zur Erfüllung der Pflichten aus Art. 24 und Art. 32 DSGVO geeignet sind. Diese Verpflichtung mache aber keinen Sinn, wenn der Verantwortliche ohnehin verpflichtet wäre, jede Beeinträchtigung von Daten zu verhindern. Dafür spreche auch der 83. Erwägungsgrund der DSGVO. Dieser besage, dass „der Verantwortliche […] die mit der Verarbeitung verbundenen Risiken ermitteln und Maßnahmen zu ihrer Eindämmung […] treffen“ solle. Dies zeige, dass die Risiken zwar eingedämmt werden sollen, sie aber nicht letztlich vollumfänglich beseitigt werden könnten.

Insoweit folgt der EuGH den Schlussanträgen des Generalanwaltes. Dieser hatte auf das dem Verantwortlichen zustehende Ermessen hinsichtlich der zu treffenden Maßnahmen hingewiesen. Die Maßnahmen müssten zwar stets dem „Stand der Technik“ entsprechen, sie könnten aber zu einem bestimmten Zeitpunkt geeignet sein und trotzdem von Cyberkriminellen überwunden werden. Daher sei es unlogisch, dem Verantwortlichen die Verpflichtung aufzuerlegen, jede mögliche Verletzung der Daten zu verhindern. Art. 32 Abs. 1 DSGVO nehme auch die Implementierungskosten in die Bewertung auf, welche Maßnahmen zu ergreifen seien. Das zeige schon, dass nicht jede erdenklich mögliche Maßnahme getroffen werden müsse. Vielmehr sei eine Abwägung zwischen dem technisch und wirtschaftlich möglichen einerseits und dem Interesse der betroffenen Personen an höchstmöglichem Schutz andererseits vorzunehmen.

II. Umfang der gerichtlichen Rechtmäßigkeitskontrolle bei technisch-organisatorischen Maßnahmen

Des Weiteren wollte das vorlegende Gericht wissen, welchen Gegenstand und Umfang die gerichtliche Rechtmäßigkeitskontrolle bei der Prüfung haben sollte, ob die vom Verantwortlichen getroffenen Maßnahmen geeignet waren.

Der Generalanwalt hatte hierzu die Ansicht vertreten, dass das angerufene Gericht eine Überprüfung vornehmen müsse, die sich auf eine konkrete Analyse sowohl des Inhalts der Maßnahmen als auch der Art und Weise ihrer Durchführung und ihrer praktischen Auswirkung erstrecke.

Auch der EuGH kommt vorliegend zu diesem Schluss. Ein Gericht müsse bei der Kontrolle der Geeignetheit der nach Art. 32 DSGVO getroffenen Maßnahmen eine materielle Prüfung anhand aller in dem Artikel genannten Kriterien sowie der Umstände des Einzelfalls und der dem Gericht zur Verfügung stehenden Beweismittel vornehmen. Die bloße Feststellung, in welcher weise ein Verantwortlicher seinen Verpflichtungen nachkomme, sei nicht ausreichend. Die Prüfung müsse alle konkret getroffenen Maßnahmen beleuchten, die Art und Weise ihrer Anwendung und ihre Auswirkungen auf das Sicherheitsniveau.

III.  Beweislast des Verantwortlichen für Geeignetheit der getroffenen Schutzmaßnahmen

Der EuGH entschied weiter, dass der Verantwortliche hinsichtlich der Geeignetheit der von ihm vorgehaltenen technischen und organisatorischen Maßnahmen im Rahmen einer Schadensersatzklage nach Art. 82 DSGVO beweisbelastet sei. Dies ergebe sich aus einer Betrachtung der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO, wonach der Verantwortliche für die Einhaltung der Verarbeitungsgrundsätze aus Art. 5 Abs. 1 DSGVO verantwortlich ist und deren Einhaltung nachweisen können muss. Dabei müsse der Verantwortliche insbesondere den Grundsatz der Integrität und Vertraulichkeit aus Art. 5 Abs. 1 lit. f DSGVO beachten. Dieser verpflichte Verantwortliche, Daten so zu verarbeiten, dass eine angemessene Sicherheit der Daten durch technische und organisatorische Maßnahmen gewährleistet ist. Das solle vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung der Daten schützen. Im Einklang mit den Zielen der DSGVO folge aus einer Gesamtbetrachtung der Art. 5 Abs. 2, 24 Abs. 1 und 32 Abs. 1 DSGVO der allgemeine Grundsatz, dass der Verantwortliche die Beweislast dafür trage, dass die Datenverarbeitung eine angemessene Sicherheit aufweise. Das von der DSGVO angestrebte Schutzniveau hänge von den vom Verantwortlichen zu treffenden Maßnahmen ab. Außerdem würde dem Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO ein erheblicher Teil seiner praktischen Wirksamkeit genommen, würde man dem Betroffenen die Beweislast auferlegen.

IV. Führt ein Cyberangriff zu einer Haftungsbefreiung nach Art. 82 Abs. 3 DSGVO?

Zurückgewiesen hat der EuGH eine pauschale Haftungsbefreiung des Verantwortlichen gemäß Art. 82 Abs. 3 DSGVO bei einem Cyberangriff. Art. 82 Abs. 3 DSGVO besagt, dass ein Verantwortlicher von der Schadensersatzhaftung befreit wird, wenn er sich exkulpieren kann. Dazu muss er nachweisen, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.

Dies sei, so der EuGH, bei einem Cyberangriff nicht grundsätzlich der Fall. Allein der Umstand, dass ein Dritter den Verstoß gegen die DSGVO maßgeblich initiiert habe, reicht nach Ansicht des EuGH nicht zur Exkulpation aus. Der Verantwortliche müsse konkret nachweisen, dass er für den Verstoß in keinerlei Hinsicht verantwortlich sei. Das zeige sich schon daran, dass eben diese Formulierung „in keinerlei Hinsicht“ im Laufe des Gesetzgebungsverfahrens ausdrücklich hinzugefügt worden sei. Basiere die Verletzung der personenbezogenen Daten auf einem Angriff von Cyberkriminellen und damit Dritten i.S.v. Art. 4 Nr. 10 DSGVO, könne die Verletzung dem Verantwortlichen zugerechnet werden, wenn dieser die Verletzung durch eine Missachtung seiner Verpflichtungen aus der DSGVO ermöglicht hat. Nur wenn der Verantwortliche nachweisen könne, dass es keinen erdenklichen Kausalzusammenhang zwischen der Verletzung der Verpflichtung und dem der natürlichen Person entstandenen Schaden gibt, greife die Haftungsbefreiung aus Art. 82 Abs. 3 DSGVO ein.

V. Befürchtung von Datenmissbrauch durch Dritte nach einem Verstoß gegen die DSGVO kann immateriellen Schaden begründen

Wichtige Ausführungen machte der EuGH zum immateriellen Schadensersatz bei Verstößen gegen die DSGVO. Bereits der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden, kann nach Ansicht des EuGH einen immateriellen Schaden begründen.

Hier erinnert der EuGH zunächst an seine bisherige Rechtsprechung zu Art. 82 Abs. 1 DSGVO. Danach sei das kumulative Vorliegen eines Schadens, eines DSGVO-Verstoßes und eines Kausalzusammenhangs zwischen Schaden und Verstoß Voraussetzung für den Schadensersatzanspruch. Unter Bezugnahme auf seine jüngere Rechtsprechung bekräftigt er, dass ein immaterieller Schaden nicht an einen bestimmten Grad an Erheblichkeit geknüpft sei. Weiterhin lasse der Wortlaut des Art. 82 Abs. 1 DSGVO offen, ob ein geltend gemachter immaterieller Schaden an eine zum Zeitpunkt der Geltendmachung des Schadensersatzanspruchs bereits erfolgte missbräuchliche Verwendung der Daten durch Dritte oder an die Besorgnis anknüpft, dass eine solche Verwendung in Zukunft erfolgen könnte. Deshalb könne grundsätzlich ein immaterieller Schaden in der Befürchtung einer betroffenen Person liegen, dass ihre Daten wegen des Verstoßes zukünftig von Dritten missbraucht werden. Dafür sprächen auch die Erwägungsgründe der DSGVO: Zum einen spreche der 146. Erwägungsgrund davon, dass der Begriff des Schadens weit ausgelegt werden müsse. Zum anderen zeige Erwägungsgrund 85, dass der Gesetzgeber unter den Schadensbegriff auch den bloßen Verlust der Kontrolle über die eigenen Daten wegen eines Verstoßes gegen die DSGVO fassen wollte.

Gleichwohl muss die betroffene Person nach Ansicht des EuGH nachweisen, dass die erlittenen Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO begründen. Dabei müsse ein angerufenes Gericht insbesondere genau prüfen, ob die Befürchtung der künftigen missbräuchlichen Verwendung der Daten der betroffenen Person unter den konkreten Umständen und im Hinblick auf die Person als begründet angesehen werden kann.

C. Fazit

Mit der Entscheidung hat der EuGH nicht nur die Frage der Geeignetheit von technischen und organisatorischen Maßnahmen beantwortet, sondern auch wichtige Aussagen hinsichtlich der Reichweite immaterieller Schäden und deren Beweislast getroffen.

Zu begrüßen ist die Klarstellung des EuGH, dass allein der Umstand, dass es zu einem Datenleck gekommen ist, nicht automatisch bedeutet, dass die vom Verantwortlichen getroffenen technischen und organisatorischen Maßnahmen zur Datensicherheit ungeeignet waren. Dies ist insb. mit Blick auf die nach Art. 32 DSGVO zu berücksichtigenden Implementierungskosten bei Maßnahmenumsetzung nicht nur logische Konsequenz, sondern auch gleichermaßen sinnvoll. In Zeiten sich zunehmend häufender hochprofessioneller Cyberattacken auf IT-Infrastrukturen ist es wirtschaftlich und tatsächlich unmöglich, jedweden Angriff von vornherein zu unterbinden.

Beachtenswert sind die Ausführungen des EuGH zur Beweislast bei Schadensersatzverfahren nach Art. 82 DSGVO und einer möglichen Entlastung nach Art. 82 Abs. 3 DSGVO. Der EuGH hat ausdrücklich klargestellt, dass die Beweislast für die Geeignetheit von technischen und organisatorischen Maßnahmen beim Verantwortlichen liegt. Auch können sich Verantwortliche nicht allein mit dem Argument von der Haftung exkulpieren, dass der Verstoß durch Cyberangriffe von Dritten verursacht wurde.

Gleichwohl liegt die Darlegungs- und Beweislast eines immateriellen Schadens bei der betroffenen Person. Unter Bezugnahme auf die Rs. C-300/21 bekräftigt der EuGH das Erfordernis eines Nachweises eines immateriellen Schadens und nimmt Gerichte in die Pflicht, zu prüfen, ob derartige Befürchtung im jeweiligen Fall gegeben sein können. Dies lässt Verantwortlichen daher den nötigen Raum zur Verteidigung gegen (gänzlich) unsubstantiierte Schadensersatzforderungen, denen es an der konkreten Darlegung eines Schadens fehlt.

Das Urteil dürfte abermals erhebliche Auswirkungen auf die Rechtspraxis entfalten. Verbraucher- und Arbeitnehmeranwälte werden die Ausführungen zum immateriellen Schaden zur Durchsetzung von Ansprüchen heranziehen. Unternehmen ist es insofern erneut anzuraten, noch mehr darauf zu achten, sich um eine robuste und dem Stand der Technik entsprechende IT-Sicherheitsstruktur und ein angemessenes Datenschutz- und IT-Sicherheitsmanagement zu bemühen, damit es auf die Frage des Schadens nicht ankommt und die Beweisführung vereinfacht wird.

Als PDF herunterladen

Ansprechpartner

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.