So schnell entsteht ein immaterieller Schaden

Mit einem Gerichtsurteil des Gerichtshofs gewinnt der Schadensersatzanspruch für den Missbrauch von personenbezogene Daten aktuell an Schärfe.

Ausgangssituation:
Die dem bulgarischen Finanzminister unterstellte bulgarische nationale Agentur für Einnahmen (NAP) ist mit der Feststellung, der Sicherung sowie der Einziehung öffentlicher Forderungen beauftragt. Für die Erfüllung dieser Aufgaben ist die Verarbeitung personenbezogener Daten erforderlich. Am 15.07.2019 wurde in den Medien berichtet, dass in das IT-System der NAP eingedrungen wurde.
Infolge des Cyberangriffs wurden personenbezogene Daten, die sich im IT-System der NAP befunden haben, im Internet veröffentlicht. Betroffen von der missbräuchlichen Offenlegung waren mehr als 6 Millionen Menschen, zu denen sowohl bulgarische als auch ausländische Staatsbürger zählten.

Hunderte Personen verklagten darauf hin NAP auf Ersatz des immateriellen Schadens, der ihnen aus der Befürchtung eines möglichen Missbrauchs entstanden sein soll.

Doch ist allein die Befürchtung eines möglichen Missbrauchs personenbezogener Daten ein immaterieller Schaden?

Um diese Frage zu klären, hat das bulgarische oberste Verwaltungsgericht dem Gerichtshof mehrere Fragen zur Auslegung der DS-GVO zur Vorabentscheidung vorgelegt. Das oberste Verwaltungsgericht möchte klären, unter welchen Auflagen eine Person, deren personenbezogenen Daten nach einem Cyberangriff möglicherweise missbräuchlich im Internet veröffentlicht wurden, Ersatz eines immateriellen Schadens verlangen kann.

Der Gerichtshof hat darauf wie folgt geantwortet:

1. Im Falle der unbefugten Offenlegung von bzw. des unbefugten Zugangs zu personenbezogenen Daten können die Gerichte aus diesem Zustand allein nicht ableiten, dass die Schutzmaßnahmen, die der für die Datenverarbeitung veranwortliche Person ergriffen hat, nicht geeignet waren. Die Gerichte müssen die Eignung der Maßnahmen konkret beurteilen.

2. Der Verantwortliche trägt die Beiweislast dafür, dass die getroffenen Schutzmaßnahmen geeignet waren.

3. Im Fall der unbefugten Offenlegung von bzw. des unbefugten Zugangs zu personenbezogenen Daten durch „Dritte“ (wie z.B. Cyberkriminelle) kann der Verantwortliche gegenüber den Personen, denen ein Schaden entstanden ist, schadensersatzpflichtig sein, ausgenommen, er weist nach, dass er nicht für den Schaden verantwortlich ist.

4. Allein der Umstand, dass eine betroffene Person aufgrund eines Verstoßes gegen die DS-GVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, kann einen „immateriellen Schaden“ darstellen.

Was bedeuten diese Aussagen für Unternehmen:

Natürlichen Personen können bereits bei Befürchtung eines möglichen Missbrauchs Klage erheben und unter Umständen einen Ersatz eines immateriellen Schadens erwirken.

Unternehmen müssen genau hinsehen und geeignete technische und organisatorische Maßnahmen ergreifen und dokumentieren. Im Falle einer unbefugten Offenlegung durch unbefugten Dritte, stehen Unternehmen in der Pflicht, nachzuweisen, geeignete technische und organisatorische Maßnahmen für den Schutz natürlicher Personen und deren personenbezogenen Daten ergriffen zu haben.

Mit diesem Urteil wird eine Richtung für zukünftige Gerichtsurteile vorgegeben. Und das bedeutet, Unternehmen müssen ihre Unternehmensprozesse hinsichtlich des Schutzes der personenbezogenen Daten prüfen und entsprechend anpassen. Unternehmen müssen sich darauf vorbereiten, dass allein die Befürchtung eines möglichen Missbrauchs personenbezogener Daten zu einem Ersatz immateriellen Schadens führen kann.

Vor lauter personenbezogener Daten und Komplexität des Datenschutzbereiches gilt es sich immer wieder vor Augen zu führen: Hinter den Daten stehen Menschen. Menschen, die uns ihre Daten und Informationen anvertrauen. Und diese Menschen müssen geschützt werden – vor Missbrauch, vor Reputationsverlust, vor Arbeitsplatzverlust und vor immateriellen Schäden.

Gerne helfen wir Ihnen bei der Überprüfung, Anpassung und Etablierung geeigneter technischer und organisatorischer Maßnahmen in Ihrem Unternehmen.

Hinweis:

Wenn in einem nationalen Gerichtsverfahren unklar ist, ob europäisches Recht zur Anwendung kommt oder wie es auszulegen ist, können diese Fragen dem EuGH zur sogenannten Vorabentscheidung vorgelegt werden. Größtenteils werden diese Vorlagen, die ausschließlich von nationalen Gerichten vorgelegt werden können, durch private Kläger erwirkt. Befasst sich der EuGH mit einer solchen Vorlage, so werden i. d. Regel abstrakte Rechtsfragen in Form eines Gutachtens beantwortet.
Die Beantwortung der Rechtsfragen kommt de facto einer Normenkontrolle gleich, da indirekt geprüft wird, ob nationales Recht mit europäischem Recht vereinbar oder ob eine nationale Regelung verfassungswidrig ist. Der Gerichtshof entscheidet den nationalen Rechtsstreit jedoch nicht. Die Entscheidung des Rechtsstreites obliegt dem nationalen Gericht, welches seine Entscheidung unter Zugrundelegung der Entscheidung des Gerichtshofes treffen muss. Die Entscheidung des Gerichtshofes bindet andere nationale Gerichte in gleicher Weise, wenn diese über eine vergleichbare Frage zu entscheiden haben.

Unternehmen können somit davon ausgehen, dass deutsche Gerichte an der Entscheidung des EuGHs festhalten und dementsprechend vorgehen werden.