Ein EuGH-Urteil von Dezember 2023 stärkt entscheidend die Betroffenen eines Datenlecks oder Hackerangriffs. Die Chancen auf immateriellen DSGVO-Schadensersatz sind mit der Entscheidung der obersten europäischen Richter deutlich gestiegen. Die beiden Kernpunkte:
- Es genügt, dass Betroffene einen Datenmissbrauch nachvollziehbar befürchten, um Schadenersatz zu erhalten.
- Unternehmen, die von einem Hackerangriff betroffen sind, können praktisch nicht auf ihre eigene Unschuld plädieren.
EuGH, Urteil vom 14.12.2023, Az.: Rs. C-340/21
Datenleck durch Hackerangriff
Auslöser der Urteils waren Klagen von Betroffenen gegen eine bulgarische Behörde, die 2019 von Hackern angegriffen worden war. Diese erbeuteten mehrere Millionen personenbezogene Datensätze, die sie im Internet veröffentlichten. Zahlreiche Personen reichten daraufhin gegen die Behörde Klage nach Artikel 82 Absatz 1 DSGVO ein. Sie forderten immateriellen Schadenersatz allein wegen der Befürchtung, dass ihre persönlichen Daten missbraucht werden könnten. Darunter gab es auch Betroffene, deren Daten noch nicht im Internet aufgetaucht waren, die dies aber nach dem Stand der Dinge befürchten mussten. Der Fall ging vor ein bulgarisches Gericht, das ihn dem EuGH vorlegte. Die bulgarischen Richter wollten wissen, unter welchen Umständen immaterieller Schadenersatz nach Hackerangriffen zu leisten ist. Der EuGH entschied, dass schon die Befürchtung eines Missbrauchs für den Anspruch auf immateriellen DSGVO-Schadenersatz genügt.
Zum Schadensersatz nach dem EuGH-Urteil
Das Urteil hat weitreichende Bedeutung. Aus zahllosen Urteilen unter anderem in Deutschland ist abzulesen, dass bislang die Richter zwar durchaus einen entstandenen immateriellen Schaden nach Hacks einräumen, jedoch den Betroffenen oft keinen oder nur einen sehr geringfügigen Schadenersatz zugestehen.
Im Tenor heißt es stets, dass der „immaterielle“ Schaden, nämlich die bloße Angst vor den Folgen des Vorfalls, den Schadenersatz nicht ausreichend begründen könne. Mit diesem Tenor der Rechtsprechung räumt das EuGH-Urteil nun auf. Die Richter stellten klar, dass ein immaterieller Schaden durchaus schon durch die Befürchtung eines Datenmissbrauchs nach einem Hack gegeben ist. Des Weiteren betonten sie in ihrem Urteil die Bedeutung der Sicherheitsvorkehrungen, die Unternehmen und sonstige Organisationen gegen Hacks treffen müssen. Die DSGVO fordert dies in Artikel 32 Absatz 1. Dieser ist unmissverständlich. Niemand kann sich dem Schadenersatz mit Verweis auf die überlegene technische Expertise von Hackern entziehen. Vielmehr haben die Organisationen, die personenbezogene Daten verarbeiten, diese mit „geeigneten technischen und organisatorischen Maßnahmen“ zu schützen. Dies bedeutet auch, mit sich entwickelnder Technik nachzubessern, um den Hackern einen Schritt voraus zu sein. Das EuGH-Urteil folgt damit auch der grundlegenden Intention der DSGVO, die den Schadensbegriff sehr weit fasst, um die Rechte der europäischen Verbraucher zu stärken.
Fazit bei einem Datenleck durch einen Hackerangriff
Die Begründung von abgelehnten Schadenersatzforderungen lautete bislang oft, dass ein realer physischer oder als gesichert anzunehmender emotionaler Schaden (etwa durch massiv verlorene Reputation) entstanden sein müsse, um Schadenersatz zu begründen. Kläger mussten diese unscharf formulierte Differenzierung häufig belegen können. Das EuGH-Urteil dürfte diese Argumentation künftig verdrängen, was ausdrücklich zu begrüßen ist.