News

EuGH: Datenschutz – immaterieller Schaden nach Cyberangriff

Bearbeiter: Sabine Kriwanek / Bearbeiter: Barbara Tuma

DSGVO: Art 4, Art 5, Art 24, Art 32, Art 82

1. Eine unbefugte Offenlegung von bzw ein unbefugter Zugang zu personenbezogenen Daten durch „Dritte“ iSv Art 4 Nr 10 DSGVO reicht allein nicht aus, um anzunehmen, dass die technischen und organisatorischen Sicherheitsmaßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht „geeignet“ iSd Art 24 und 32 DSGVO waren.

Die Geeignetheit der getroffenen technischen und organisatorischen Maßnahmen nach Art 32 DSGVO ist von den nationalen Gerichten konkret zu beurteilen, wobei die mit der betreffenden Verarbeitung verbundenen Risiken zu berücksichtigen sind und zu beurteilen ist, ob Art, Inhalt und Umsetzung dieser Maßnahmen diesen Risiken angemessen sind.

Der Grundsatz der Rechenschaftspflicht des Verantwortlichen (Art 5 Abs 2 und Art 24 DSGVO) ist dahin auszulegen, dass der Verantwortliche im Rahmen einer Schadenersatzklage nach Art 82 DSGVO die Beweislast dafür trägt, dass die von ihm getroffenen Sicherheitsmaßnahmen iSv Art 32 DSGVO geeignet waren.

Für die Beurteilung der Geeignetheit der Sicherheitsmaßnahmen, die der Verantwortliche nach Art 32 DSGVO getroffen hat, kann ein gerichtliches Sachverständigengutachten kein generell notwendiges Beweismittel sein.

2. Der Verantwortliche kann von seiner Pflicht zum Schadenersatz gem Art 82 Abs 1 und 2 DSGVO nicht allein deshalb befreit werden, weil der Schaden die Folge einer unbefugten Offenlegung von bzw eines unbefugten Zugangs zu personenbezogenen Daten durch „Dritte“ iSv Art 4 Nr 10 DSGVO ist. Der Verantwortliche kann sich jedoch von seiner Haftung befreien, indem er nachweist, dass es keinen Kausalzusammenhang zwischen der etwaigen Verletzung der Verpflichtung zum Datenschutz durch ihn und dem Schaden der natürlichen Person gibt.

3. Allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, kann einen „immateriellen Schaden“ iSd Art 82 Abs 1 DSGVO darstellen. Allerdings muss die Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie negative Folgen gehabt hat, nachweisen, dass diese Folgen einen immateriellen Schaden iSv Art 82 DSGVO darstellen. Das nationale Gericht, das mit der Schadenersatzforderung befasst ist, hat zu prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann.

EuGH 14. 12. 2023, C-340/21, Natsionalna agentsia za prihodite

Zu einem bulgarischen Vorabentscheidungsersuchen.

Artikel-Nr.
Rechtsnews Nr. 34856 vom 18.12.2023