TeleTrusT
Zusammenfassung des Berichts: “Beweisanforderungen an immateriellen Schaden im Sinne der DSGVO und die Geeignetheit von technischen und organisatorischen Maßnahmen (TOM)”
Einleitung
Beweisanforderungen an immateriellen Schaden im Sinne der DSGVO
Der Bericht befasst sich mit der zunehmenden Bedeutung von Cyberangriffen auf Behörden und Unternehmen und deren rechtlichen Konsequenzen, insbesondere im Hinblick auf Schadensersatzansprüche nach der Datenschutz-Grundverordnung (DSGVO). Dabei stehen die Beweisanforderungen für immaterielle Schäden und die Angemessenheit der technischen und organisatorischen Maßnahmen (TOM) im Mittelpunkt, die zum Schutz personenbezogener Daten getroffen werden.
Kernaussagen des Europäischen Gerichtshofs (EuGH)
Der EuGH hat im Dezember 2023 in einem Urteil (C-340/21) wesentliche Klarstellungen zur Haftung bei Datenschutzverletzungen infolge von Cyberangriffen getroffen. Er betont, dass eine absolute Cybersicherheit nicht möglich ist, und es daher für Verantwortliche nur die Pflicht gibt, Datenschutzverletzungen einzudämmen. Ein Verantwortlicher haftet jedoch, wenn infolge eines Cyberangriffs personenbezogene Daten missbräuchlich genutzt werden, es sei denn, er kann nachweisen, dass die von ihm getroffenen TOM angemessen waren.
Sachverhalt
Das Urteil des EuGH bezieht sich auf einen Cyberangriff auf die bulgarische Finanzbehörde, bei dem Betroffene Schadensersatz wegen der Befürchtung einer missbräuchlichen Nutzung ihrer entwendeten Daten geltend machten. Der EuGH entschied, dass ein erfolgreicher Cyberangriff nicht automatisch den Beweis der Ungeeignetheit der TOM liefert.
Geeignetheit der TOM und Risikobasierter Ansatz
Der EuGH stellt klar, dass die Geeignetheit der TOM nach der jeweiligen Verarbeitungsaktivität und dem damit verbundenen Risiko beurteilt werden muss. Je höher das Risiko und je sensibler die verarbeiteten Daten, desto strenger sind die Anforderungen an die TOM. Der EuGH schlägt eine zweistufige Prüfung vor: Zunächst sollen die konkreten Risiken der Verarbeitungstätigkeit bestimmt und anschließend angemessene TOM festgelegt werden. Dabei sind Faktoren wie der Stand der Technik, die Implementierungskosten und die Art der Verarbeitung zu berücksichtigen.
Beweislastumkehr bei Schadensersatzforderungen
Der EuGH legt fest, dass der Verantwortliche die Beweislast für die Geeignetheit der TOM trägt. Das bedeutet, dass bei Schadensersatzforderungen der Verantwortliche nachweisen muss, dass die getroffenen Maßnahmen geeignet waren, um die personenbezogenen Daten zu schützen. Dies ergibt sich aus der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO.
Haftung für Offenlegung durch Dritte und immaterieller Schaden
Der EuGH bestätigt, dass auch die Offenlegung von Daten durch Dritte (z.B. Hacker) nicht von der Haftung befreit, wenn der Verantwortliche die Datenschutzverletzung durch unzureichende Maßnahmen ermöglicht hat. Bezüglich des immateriellen Schadens bleibt das Urteil vage, der EuGH hält aber fest, dass bereits die Befürchtung einer zukünftigen missbräuchlichen Nutzung der Daten einen immateriellen Schaden darstellen kann.
Praktische Konsequenzen des Urteils
Das Urteil hat weitreichende Konsequenzen für die Praxis. Verantwortliche müssen ihre TOM individuell an den spezifischen Risiken der Verarbeitungstätigkeiten ausrichten. Eine Zertifizierung nach anerkannten Standards, wie dem ISO-Standard 27001:2022, kann dabei helfen, die Angemessenheit der TOM nachzuweisen. Regelmäßige Cyber-Sicherheit-Checks und Datenschutz-Audits durch unabhängige Dritte sind ebenfalls empfehlenswert, um mögliche Lücken in den TOM aufzudecken und rechtlichen Risiken vorzubeugen.
Auswirkungen auf die deutsche Rechtsprechung
Obwohl das EuGH-Urteil viele Fragen klärt, bleiben insbesondere bezüglich der Geltendmachung immaterieller Schadensersatzansprüche Unklarheiten, die von nationalen Gerichten definiert werden müssen. Es ist abzusehen, dass in Deutschland konkrete Angaben zu den individuellen Auswirkungen eines Datenschutzverstoßes erforderlich sein werden.
Fazit
Der Bericht unterstreicht die Bedeutung einer sorgfältigen Auswahl und Implementierung von TOM, die auf die spezifischen Risiken der Datenverarbeitung abgestimmt sind. Für Verantwortliche ist es entscheidend, regelmäßig ihre Maßnahmen zu überprüfen und gegebenenfalls zu optimieren, um im Falle eines Cyberangriffs rechtlich abgesichert zu sein.
