Wenn Unglück 2x klingelt – DSGVO-Schadensersatz nach Hackerangriff
12. August 2024
Stellen Sie sich vor, Ihr Unternehmen wird Opfer eines Hackerangriffs. Müssen Sie nach den “Bekämpfungs- und Aufräumarbeiten” auch noch Schadensersatz nach der DSGVO zahlen? Diese und weitere praxisrelevante Fragen beantwortete der EuGH in einem aktuellen Fall. Welche Konsequenzen für verantwortliche Unternehmen aus einem Cyberangriff resultieren und und wie sie sich entlasten können, erfahren Sie in diesem Blogbeitrag.
Lesedauer: 5 Minuten (ca. 950 Wörter)
Es ist der moderne Alptraum eines jeden Geschäftsführers: ein erfolgreicher (und ungeplanter) Hackerangriff auf das eigene Unternehmen. Nicht nur, dass hierbei die IT-Infrastruktur lahmgelegt wird, was häufig Produktions- oder Dienstleistungsausfälle nach sich zieht. Die Angriffe führen auch zu Reputationsschäden, eventuell nervenaufreibenden Verhandlungen mit den Cyberkriminellen und nicht selten zur Notwendigkeit, die infizierte Hardware im Betrieb neu anzuschaffen. Wenn dann Kunden später noch Ansprüche auf Schadensersatz stellen, kommt das Unglück doppelt schlimm.
So oder so ähnlich erging es der Nationalen Agentur für Einnahmen (“NAP“) in Bulgarien, als sie Ziel eines Hackerangriffs wurde. Die NAP speicherte und verarbeitete personenbezogene Daten von Millionen Menschen, um offene Forderungen für den bulgarischen Staat einzuziehen. Im Sommer 2019 drangen Angreifer in das IT-System der NAP ein und erbeuteten die Daten von über 6 Millionen Menschen. Anschließend wurden die Daten öffentlich ins Netz gestellt. Eine betroffene Frau klagte gegen die NAP wegen Verstoßes gegen die DSGVO und verlangte Schadensersatz.
Führt ein erfolgreicher Hackerangriff zwangsläufig zu einem Schadensersatzanspruch nach der DSGVO?
Das folgende Gerichtsverfahren wurde bis zum Europäischen Gerichtshof (“EuGH“, Urteil vom 14. Dezember 2023, Az: C‑340/21) verhandelt, was die Relevanz der zu klärenden Rechtsfragen unterstreicht. Im Mittelpunkt des Verfahrens stand die Frage, ob und, falls ja, wie ein erfolgreicher Hackerangriff, bei dem personenbezogene Daten im Internet veröffentlich werden, Schadensersatzansprüche nach der DSGVO begründet. Neben dieser praxisrelevanten Frage beantwortete der EuGH noch weitere wichtige Aspekte zum DSGVO-Schadensersatz.
Hackerangriff als Zeichen ungeeigneter TOM?
Zunächst prüfte der Gerichtshof, ob ein erfolgreicher Hackerangriff automatisch bedeutet, dass das verantwortliche Unternehmen gegen die DSGVO-Pflichten verstoßen hat, indem es keine geeigneten IT-Sicherheitsvorkehrungen, also technische und organisatorische Maßnahmen (“TOM“) gemäß Artikel 24 und Artikel 32 DSGVO, ergriffen hat. Dieser Schluss liegt nahe, da TOM gerade verhindern sollen, dass unbefugte Dritte Zugang zu personenbezogenen Daten erhalten. Der EuGH hatte hierauf die erwartete klare Antwort.
Der EuGH hob in diesem Zusammenhang hervor, dass es keine 100-prozentige IT-Sicherheit gibt und diese daher realistischerweise auch nicht von der DSGVO gefordert ist. Vielmehr hat die IT-Sicherheit die Aufgabe, die personenbezogenen Daten “so weit wie möglich” zu schützen, so der EuGH. Es geht darum, die potenziellen Risiken für die Integrität und Vertraulichkeit der Daten zu analysieren und unter Beachtung der Kosten und des Stands der Technik geeignete TOM zu ergreifen. Hierbei handelt es sich um einen sog. risikobasierten Ansatz und nicht um die Errichtung einer undurchdringlichen Firewall.
Die Antwort des EuGH lautete also:
Ein erfolgreicher Cyberangriff führt nicht zwangsläufig zu der Annahme, dass die ergriffenen TOM ungeeignet sind bzw. ein DSGVO-Verstoß gegeben ist.
Gefühle als DSGVO-Schaden
Eine besonders bemerkenswerte Rechtsfrage des Verfahrens betraf den Rechtsgrund der Klägerin hinsichtlich ihres Schadens: Aufgrund der unbefugten Veröffentlichung ihrer Daten hatte die Frau lediglich die Befürchtung, dass ihre Daten künftig missbräuchlich verwendet werden könnten. Einen tatsächlichen Missbrauch konnte sie nämlich nicht belegen. Der EuGH musste daher klären, ob die subjektive Befürchtung einer betroffenen Person ein Schaden nach der DSGVO gelten kann.
Hinter dieser Frage steckten zwei widerstreitende Interessenspositionen: Sollte einerseits die bloße Befürchtung des Datenmissbrauchs ausreichend sein, könnte dies eine ungehemmte Klagewelle auslösen, der sich verantwortliche Unternehmen ausgesetzt sehen. Denn schließlich wären die Voraussetzungen an den Schadensersatz dadurch geringer. Sollte – andererseits – die Befürchtung allein nicht ausreichend sein, würden die Betroffenenrechte hierdurch ggf. zu sehr eingeschränkt werden, weil den Betroffenen der Nachweis des Missbrauchs aufgrund einer DSGVO-Datenpanne nur selten gelingen dürfte.
Nach dem EuGH
stellt bereits die alleinige Befürchtung einen Schaden nach der DSGVO dar, die Daten könnten missbräuchlich verwendet werden.
Gibt es Entlastungsmöglichkeiten?
Liegen die Voraussetzungen des Schadensersatzes demnach vor, besteht für verantwortliche Unternehmen noch ein letzter Ausweg, um der Haftung zu entgehen: die Entlastungsmöglichkeit gemäß Artikel 82 Abs. 3 DSGVO. Können die Unternehmen demnach nachweisen, dass sie für die Schadensursache “in keinerlei Hinsicht” verantwortlich sind, entfällt die Pflicht zum Schadensersatz. Auch wenn also ein Verstoß gegen die DSGVO-Pflichten vorliegt und ein Schaden eingetreten ist, können Unternehmen der Zahlungspflicht entgehen.
Allerdings, stellt der EuGH klar, ist die Tatsache, dass die Schadensursache ein von Unbekannten verübter Hackerangriff ist, keine Entlastungsmöglichkeit dar. Nur wenn weitere Umstände hinzutreten, könnte die Entlastung gelingen. Mit seiner Antwort machte der EuGH den verantwortlichen Unternehmen zwar Mut, ließ sie dann aber im Unklaren, weil der Gerichtshof nicht ausführte, welche weiteren Umstände gemeint sein könnten.
Fazit zum DSGVO-Schadensersatz nach Hackerangriff
Der Europäische Gerichtshof verneinte als Ergebnis zu Recht die zentrale Frage, ob ein erfolgreicher Hackerangriff zwangsläufig zu einer Schadensersatzpflicht des verantwortlichen Unternehmens führt. Denn ein solcher Angriff bedeutet nicht automatisch einen Verstoß gegen die DSGVO-Pflichten, insbesondere bezüglich der Ergreifung geeigneter TOM. Ein Unternehmen kann alle verhältnismäßigen IT-Sicherheitsmaßnahmen ergreifen und dennoch Ziel eines erfolgreichen Angriffs werden.
Neu in der Eindeutigkeit war die Feststellung des EuGH, auch die subjektive Befürchtung eines Datenmissbrauchs infolge eines Cyberangriffs kann einen Schaden nach der DSGVO darstellen. Dies weitet die Schadensersatzpflicht der verantwortlichen Unternehmen enorm aus. Wahrscheinlich deshalb ruderte der Gerichtshof sogleich wieder zurück und fügte hinzu, dass die betroffene Person trotzdem beweisen muss, ihr sei ein Schaden entstanden. dass ihr ein Schaden gegeben sei. Wie dieser Beweis gelingen soll, ließ der Gerichtshof wiederum offen.
Sie kommen aus Kiel oder Schleswig-Holstein und haben Fragen zu Schadensersatz gemäß der DSGVO nach einem Hackerangriff? Oder Sie kommen aus dem übrigen Bundesgebiet und möchten sich über die Verantwortung und Haftung von Unternehmen nach dem Datenschutz informieren? Dann nehmen Sie gerne unter info@anwalt-daum.de Kontakt zu mir auf.
Dr. Oliver Daum
Fachanwalt für IT-Recht
Datenschutzbeauftragter (IHK)
IT-Sicherheitsbeauftragter (IHK)
Auch interessant: Holding-Haftung: Der EuGH präzisiert Verantwortung bei DSGVO-Verstößen
- 12.08.2024
- 10:00