Befürchtung von Datenmissbrauch kann DSGVO-Schaden darstellen

Der Europäische Gerichtshof (EuGH) hat in einem aktuellen Urteil die Voraussetzungen des immateriellen Schadensersatzes nach Art. 82 Abs. 1 Datenschutzgrundverordnung (DSGVO) geschärft und dessen Geltendmachung erleichtert. Entgegen der Annahme des Generalanwalts und auch einiger deutscher Gerichte könne allein die „Befürchtung“, dass die eigenen Daten infolge eines Cyberangriffs missbraucht werden, einen immateriellen Schaden darstellen. Zudem stellt der EuGH eine Beweislastumkehr auf: Im Fall von Datenlecks müsse der Verantwortliche nachweisen, dass die getroffenen Schutzmaßnahmen geeignet waren im Sinne von Art. 24 und 32 DSGVO (betreffend technische und organisatorische Maßnahmen, TOM). Wurden personenbezogene Daten infolge eines Hackerangriffs offengelegt und ist Betroffenen dadurch ein Schaden entstanden, müsse der Verantwortliche sogar nachweisen, dass er „in keinerlei Hinsicht“ für den Schaden verantwortlich ist (Urt. v. 14.12.2023, Rs. C-340/21).

Im konkreten Fall war eine bulgarische Behörde Nationale Agentur für Einnahmen (NAP) 2019 Opfer eines Cyberangriffs geworden. Dadurch waren personenbezogene Daten von Millionen von Menschen im Internet veröffentlicht worden. Zahlreiche Personen hatten die Behörde auf Ersatz des immateriellen Schadens verklagt, der ihnen aus der Befürchtung eines möglichen Missbrauchs ihrer Daten entstanden sein soll. Das bulgarische Oberste Verwaltungsgericht hatte daraufhin den Gerichtshof angerufen.

Die Reichweite des immateriellen Schadensersatzes im Gesamtkontext

Mit seinem lange erwarteten Urteil schließt der EuGH eine Lücke im Verständnis des immateriellen Schadensersatzes nach Art. 82 Abs. 1 DSGVO. Bereits im Mai 2023 hatte der EuGH die Voraussetzungen dafür näher präzisiert (Urt. v. 04.05.2023, Rs. C-300/21). Im Gesamtkontext ergibt sich nun folgendes Bild:

Seit Mai steht fest, dass es einen tatsächlichen Schaden braucht, um DSGVO-Schadensersatz geltend machen zu können. Mit dem neuen Urteil wird jedoch deutlich, dass bereits die „Befürchtung“ künftiger materieller Schäden wie z.B. Phishing-Versuche oder Spam für sich genommen bereits eine immaterielle Schadensposition sein kann. Schließlich müsse der Begriff des Schadens gem. Erwägungsgrund 146 DSGVO weit verstanden werden – die DSGVO gewährleiste schließlich ein hohes Schutzniveau für natürliche Personen. Hierzu betont der EuGH außerdem unter Bezugnahme auf Erwägungsgrund 85 S. 1 DSGVO, dass der zentrale Anknüpfungspunkt für die Befürchtungen der Kontrollverlust über die Daten ist.

Ebenfalls noch einmal wiederholt und bestärkt hat der EuGH die Aussage von Mai, dass der Schadenersatzanspruch nicht auf immaterielle Schäden beschränkt sei, die eine „gewisse Erheblichkeit“ erreichen. Schließlich habe der Gesetzgeber den Begriff „Schaden“ weit verstanden. Aktuell heißt es, der immaterielle Schaden dürfe nicht davon abhängen, dass der entstandene Schaden einen bestimmten „Grad der Schwere“ erreicht hat. Auch durch die Verwendung des Wortes „Befürchtung“, obwohl in der Vorlagefrage daneben auch von „Angst“ und „Sorge“ die Rede war, wird klar: Der EuGH verlangt nicht, dass der Grad an subjektiver Beeinträchtigung besonders schwer sein muss. Hier war vorher teilweise vertreten worden, eine solche Einschränkung sei notwendig – wohl, um massenhafte Klageverfahren wie in Sachen Facebook-Datenleck einzudämmen.

Allerdings betont der EuGH unter Bezugnahme auf das Urteil von Mai, dass Betroffene nachweisen müssen, dass die negativen Folgen einen immateriellen Schaden darstellen. Ebenfalls bereits im Mai hatte der EuGH entschieden, dass ein Kausalzusammenhang zwischen Schaden und DSGVO-Verstoß bestehen müsse. Hier haben Betroffene nach dem aktuellen Urteil ebenfalls die Beweislast dafür, dass ein DSGVO-Verstoß vorgelegen hat und dass dieser kausal für ihre Befürchtungen vor Missbrauch war. In diesem Fall müsse laut EuGH „das angerufene nationale Gericht prüfen, ob diese Befürchtung unter den spezifischen Umständen, um die es geht, und im Hinblick auf die betroffene Person als begründet angesehen werden kann.“ Wie genau die nationalen Gerichte dies nun umsetzen werden, wird sich noch zeigen.

Ebenfalls offen bleibt, welche konkreten Kriterien die Gerichte anwenden werden, um den Umfang des Schadensersatzes zu bemessen. Im Mai hatte der EuGH dies den nationalen Gerichten überlassen. Damals hatte der EuGH nur betont, dass die DSGVO eine „Ausgleichsfunktion“ hat und „vollständigen und wirksamen Schadenersatz für den erlittenen Schaden sicherstellen soll.“ Bis zu einer höchstrichterlichen Entscheidung ist hier also weiterhin mit unterschiedlichen Maßstäben der Instanzgerichte zu rechnen.

Beweislastumkehr für Verantwortliche nach Hackerangriffen und Datenlecks

Der zweite wichtige Aspekt des Urteils betrifft die Beweisfragen der von Hackerangriffen und Datenlecks Betroffenen, also meist Unternehmen oder Behörden. Hierzu entschied der EuGH im Wesentlichen:

1. Wurden personenbezogene Daten offengelegt (Datenleck), könnten Gerichte allein aus diesem Umstand nicht ableiten, dass die Schutzmaßnahmen des Betroffenen nicht geeignet waren, um solche Datenlecks abzuwehren. Die Gerichte müssten die Geeignetheit dieser Maßnahmen konkret beurteilen.
2. Doch der Verantwortliche trage die Beweislast dafür, dass die getroffenen Schutzmaßnahmen geeignet im Sinne von Art. 24 und 32 DSGVO waren.
3. Im Fall eines Cyberangriffs könne der Verantwortliche gegenüber den Personen, denen ein Schaden entstanden ist, ersatzpflichtig sein. Allein die Tatsache, dass Dritte den Schaden verursacht hätten, entlastete ihn nicht – im Gegenteil: Der vom Hackerangriff betroffene Verantwortliche müsse nachweisen, dass er in keinerlei Hinsicht für den Schaden verantwortlich sei, sonst hafte er für Schäden.

Gerade der letzte Satz wird es Unternehmen und Behörden künftig noch schwerer machen, sich von der Haftung infolge eines Cyberangriffs, bei dem Daten abhandengekommen sind, zu exkulpieren. Bereits jetzt ist dies in der Praxis für Unternehmen schwierig. Dennoch gewinnt mit diesem Urteil die Notwendigkeit ausreichender Vorsorge vor Hackerangriffen und Datenlecks eine noch größere Bedeutung. Schließlich drohen bei zahlreichen Betroffenen von Datenlecks nun erst recht unzählige Klageverfahren auf DSGVO-Schadensersatz.