Keine pauschale Haftungsbefreiung für DSGVO-Verstöße bei Cyberangriff

Der EuGH hat am 14.12.2023 (Rs. C-340/21) meh­rere Fra­gen zu Scha­dens­er­satz­an­sprüchen nach ei­ner Cy­ber­at­ta­cke be­ant­wor­tet. Hin­ter­grund war ein Cy­ber­an­griff auf eine bul­ga­ri­sche Behörde, bei der Mil­lio­nen von per­so­nen­be­zo­ge­nen Da­ten im In­ter­net veröff­ent­licht wur­den.

Grundsätz­lich ist der Ver­ant­wort­li­che nach Art. 32 DS­GVO ver­pflich­tet ein „dem Ri­siko an­ge­mes­se­nes Schutz­ni­veau“ durch ge­eig­nete tech­ni­sche und or­ga­ni­sa­to­ri­sche Schutzmaßnah­men si­cher­zu­stel­len. Der EuGH hat ent­schie­den, dass al­lein der Um­stand, dass es zu einem un­be­rech­tig­ten Zu­griff ge­kom­men ist, nicht be­deu­tet, dass die vom Ver­ant­wort­li­chen ge­trof­fe­nen Maßnah­men zum Schutz der Da­ten grundsätz­lich un­ge­eig­net wa­ren. Viel­mehr muss die Ge­eig­netheit der Maßnah­men im Ein­zel­fall be­ur­teilt wer­den, un­ter Berück­sich­ti­gung des Ri­si­kos, des Stan­des der Tech­nik und der Im­ple­men­tie­rungs­kos­ten.

Der EuGH schließt sich in sei­ner Ent­schei­dung den Ausführun­gen des Ge­ne­ral­an­walts an und ur­teilt, dass die Ge­richte die ge­trof­fe­nen Maßnah­men an­hand die­ser Kri­te­rien und den Umständen des Ein­zel­falls be­wer­ten müssen. Eine ein­fa­che Fest­stel­lung, dass der Ver­ant­wort­li­che sei­ner Pflicht nicht nach­ge­kom­men ist, rei­che nicht aus. In die­sem Zu­sam­men­hang hat der EuGH klar­ge­stellt, dass den Ver­ant­wort­li­chen hierfür die Be­weis­last trifft und er nach­wei­sen muss, dass er in kei­ner­lei Hin­sicht für den Scha­den ver­ant­wort­lich ist, um sich von der Haf­tung zu be­freien. Dies ent­spre­che dem Wort­laut von Art. 82 Abs. 3 DS­GVO, dass der Ver­ant­wort­li­che „in kei­ner­lei Hin­sicht“ für den Haf­tungs­um­stand ver­ant­wort­lich sein darf und dies auch nach­wei­sen muss. Eine pau­schale Haf­tungs­be­frei­ung bei einem Cy­ber­an­griff ist nicht möglich.

Mit dem Ur­teil ver­schärft der EuGH auch die An­for­de­run­gen an eine Haf­tung auf Scha­dens­er­satz. Der EuGH er­kennt an, dass be­reits die Befürch­tung ei­ner be­trof­fe­nen Per­son, ihre Da­ten würden zukünf­tig missbräuch­lich ver­wen­det, aus­reicht, um einen im­ma­te­ri­el­len Scha­den zu begründen. Die be­trof­fene Per­son muss aber nach­wei­sen, dass die Befürch­tung un­ter den kon­kre­ten Umständen begründet ist.

Hin­weis: Im Falle von Cy­ber­an­grif­fen ist da­her wich­tig, dass der Ver­ant­wort­li­che die ge­trof­fe­nen Schutzmaßnah­men do­ku­men­tiert, um diese zu sei­ner Ent­las­tung im Falle ei­ner In­an­spruch­nahme nach Art. 82 DS­GVO ge­richt­lich gel­tend zu ma­chen. Nur wenn der Nach­weis geführt wer­den kann, dass ein Un­ter­neh­men im kon­kre­ten Fall in kei­ner­lei Hin­sicht ver­ant­wort­lich für den Da­ten­schutz­ver­stoß war, kann es sich auf die Haf­tungs­be­frei­ung be­ru­fen.