EuGH erleichtert Schadensersatz bei Datenlecks und Hackerangriffen
Der Europäische Gerichtshof (EuGH) ist seinem Ruf als verbraucherfreundliche oberste Instanz erneut gerecht geworden. Die Rechte von Millionen Verbrauchern hat der EuGH mit seiner Entscheidung vom 14. Dezember 2023 massiv gestärkt.
Wer Opfer eines Datenlecks oder eines Verstoßes gegen die Datenschutzgrundverordnung (DSGVO) geworden ist, für diese stehen die Chancen auf Schadensersatz besser denn je. Die Richter haben klar gemacht: “Allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, kann einen “immateriellen Schaden” darstellen”, heißt es in der Pressemitteilung zum Verfahren C-340/21.
Die Kanzlei Dr. Stoll & Sauer rät generell Verbrauchern, die Opfer eines Datenlecks geworden sind, zur kostenlosen Erstberatung im Online-Check. Die Kanzlei zeigt Verbrauchern Möglichkeiten auf, Schadensersatz zu erstreiten. .
EuGH: Gefahr von Datenlecks liegt für Verbraucher in der Zukunft
Die Zahl der Datenlecks steigt beinahe täglich an. Kriminelle Hacker erbeuten teilweise Millionen von Daten und verhökern sie im Darknet. Mit Hilfe der Daten versuchen andere Hacker wiederum, den Verbrauchern Schaden zuzufügen. Und dabei geht es nicht nur um Spammails, sondern um Attacken auf Bankkonten oder andere sensible Bereiche. Mit Hilfe von Daten, die bei unterschiedlichsten Datenlecks ergaunert wurden, sind Kriminelle in der Lage, Identitäten im Internet nachzustellen und damit Geschäfte zu machen. Die Gefahr liegt in der Regel in der Zukunft. Tatsächlich Opfer einer individuellen Cyberattacke zu werden, steigt mit jedem neu eröffneten Konto im Internet. Verbraucher fühlen sich oft schutzlos diesen Machenschaften ausgeliefert. Der EuGH stärkt mit seinem aktuellen Urteil die Rechte der Verbraucher erheblich. Die Kanzlei Dr. Stoll & Sauer fasst kurz die Entwicklungen am EuGH zusammen:
- Nach dem aktuellen Urteil des Europäischen Gerichtshofs (EuGH) könnten Personen, die von Datenlecks betroffen sind, Anspruch auf Schadensersatz haben.
- Unternehmen sind nun verpflichtet, zu beweisen, dass sie angemessene Maßnahmen gegen Cyberangriffe ergriffen haben.
Die Entscheidung folgt auf einen Vorfall aus dem Juli 2019, bei dem ein Datenleck bei der Nationalen Agentur für Einnahmen (NAP) des bulgarischen Finanzministeriums auftrat. Millionen von personenbezogenen Daten wurden dabei entwendet, woraufhin Betroffene gegen die NAP klagten aus Sorge vor Datenmissbrauch.
Urteil eröffnet Möglichkeit, Schadensersatzansprüche geltend zu machen
Obwohl Gerichte nicht automatisch davon ausgehen können, dass die Schutzmaßnahmen eines Unternehmens unzureichend waren, liegt nach der Entscheidung der Richter die Beweislast bei den Unternehmen. Sollten sie nicht nachweisen können, dass sie ausreichend gegen Cyberkriminalität vorgesorgt haben, könnten Betroffene im Einzelfall Schadensersatz fordern.
Bereits im Mai 2023 hatte der EuGH entschieden, dass nicht jeder unrechtmäßige Umgang mit personenbezogenen Daten automatisch zu Schadensersatzansprüchen führt. Gemäß der Entscheidung vom 4. Mai 2023 ( Az.: C-300/21) sind Schadenersatzansprüche nur bei einem materiellen oder immateriellen Schaden infolge eines Verstoßes gegen die DSGVO möglich. Die Entscheidung damals bezog sich jedoch auf Verstöße gegen die DSGVO und nicht auf unbeabsichtigte Datenlecks oder den Zugriff Dritter auf personenbezogene Daten.
Fazit der Kanzlei Dr. Stoll & Sauer: Das Urteil ist ein Meilenstein in der Datenschutz-Rechtsprechung des EuGH. Unternehmen werden es schwer haben nachzuweisen, dass sie die Daten ihrer Kunden ausreichend vor dem Zugriff Dritter geschützt haben. Wenn es zu einem Datenleck kommt, lässt sich kaum plausibel erklären, dass die Daten ausreichend geschützt gewesen sein sollen. Es ist wichtig, dass Betroffene sich der möglichen Konsequenzen eines Datenlecks und Datendiebstahls bewusst sind und entsprechende Schutzmaßnahmen ergreifen. Kombinierte Informationen aus anderen Datenlecks könnten Cyberkriminellen ermöglichen, zielgerichtete Phishing-Angriffe auf Verbraucher durchzuführen. Tauchen vermehrt Phishing-SMS oder -anrufe auf, deutet das auf ein Datenleck hin. Auch ein plötzlicher Anstieg an Spam-Mails könnte ein Indiz dafür sein, dass die eigenen Daten bei einem Datenleck verkauft und missbraucht wurden.