EUGH: DSGVO-SCHADENSERSATZ BEI HACKERANGRIFFEN UND DATENLEAKS IST VERBRAUCHERFREUNDLICH WEIT ZU HANDHABEN.

Der EuGH musste sich im Rahmen eines Vorabentscheidungsverfahren u.a. mit der Frage befassen, wann ein immaterieller Schaden i.S.v. Art. 82 DSGVO anzunehmen ist. Nach Ansicht des EuGH ist das Tatbestandsmerkmal des immateriellen Schadens dabei grundsätzlich verbraucherfreundlich weit auszulegen. Hierbei soll nach Ansicht des Gerichts grundsätzlich auch die bloße Befürchtung eines etwaigen immateriellen Schadens ausreichen, um einen DSGVO-Schadensersatz zu begründen.

Der EuGH musste sich im Rahmen eines Vorabentscheidungsverfahren u.a. mit der Frage befassen, wann ein immaterieller Schaden i.S.v. Art. 82 DSGVO anzunehmen ist. Nach Ansicht des EuGH ist das Tatbestandsmerkmal des immateriellen Schadens dabei grundsätzlich verbraucherfreundlich weit auszulegen. Hierbei soll nach Ansicht des Gerichts grundsätzlich auch die bloße Befürchtung eines etwaigen immateriellen Schadens ausreichen, um einen DSGVO-Schadensersatz zu begründen.

Dem Vorabentscheidungsverfahren des EuGH lag folgender Sachverhalt zugrunde: 2019 wurde eine dem bulgarischen Finanzministerium unterstellte Behörde von einem Hackerangriff betroffen, wobei die im betroffenen System gespeicherten personenbezogenen Daten im Internet veröffentlicht wurden. Konkret waren hierbei mehr als sechs Millionen Personen betroffen. Einige Hunderte, darunter die Klägerin des Ausgangsverfahrens, verklagten die einschlägige bulgarische Behörde auf Schadensersatz nach Art. 82 DSGVO (DSGVO-Schadensersatz). Nachdem die Klage in erster Instanz abgewiesen wurde, legte die Klägerin entsprechende Rechtsmittel ein. Das oberste Verwaltungsgericht Bulgariens ersuchte daraufhin den EuGH im Rahmen eines Vorabentscheidungsverfahrens.

Der EuGH hatte in diesem Kontext u.a. zu klären, ob die bloße Angst vor einem Missbrauch von personenbezogenen Daten einen immateriellen Schaden nach Art. 82 DSGVO darstellen kann. Der EuGH hatte diesbezüglich zunächst nach dem klaren Wortlaut des Art. 82 DSGVO festgestellt, dass ein immaterieller Schaden i.S.d. Norm kausal auf einem Verstoß gegen die DSGVO beruhen muss. Des Weiteren hat der EuGH die Norm nach ihrem Sinn und Zweck und ihrer Systematik dahingehend ausgelegt, dass der eingetretene immaterielle Schaden gerade keinen gesteigerten Grad an Erheblichkeit erreichen muss. Auch die Erwägungsgründe zur DSGVO bestätigen nach Ansicht des EuGH einen derartigen weiten Auslegungskontext. Mit anderen Worten ist demnach auch die bloße Befürchtung, dass personenbezogene Daten missbräuchlich verwendet werden könnten, grundsätzlich geeignet, einen immateriellen Schaden i.S.v. Art. 82 DSGVO zu begründen. Hinzu kommt, dass das von einem Hackerangriff betroffene Unternehmen bzw. die betroffene Behörde die Beweislast dafür trägt, dass die getroffenen Schutzmaßnahmen gegen derartigen Cyberangriffe geeignet waren und somit keinerlei Verantwortlichkeit für den Angriff besteht.

Quelle: EuGH, Urteil vom 14.12.2023, Rs.: C-340/21

Zurück