Am 14. Dezember 2023 hat der Europäische Gerichtshof (EuGH) entschieden, dass es nicht automatisch zu Schadensersatzansprüchen führt, wenn technische-organisatorische Maßnahmen (TOMs) nicht ausreichend sind, um einen Cyberangriff zu verhindern, bei dem persönliche Daten von Hackern abgerufen und veröffentlicht werden können.
Der Verantwortliche muss nachweisen, dass seine Sicherheitsmaßnahmen (TOMs) ausreichend waren, um einen Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) zu vermeiden. Wenn er das nicht kann, liegt ein Verstoß vor.
Auch wenn Dritte den Cyberangriff verübt haben, bleibt der Verantwortliche für den Schadensersatz verantwortlich. Er muss nachweisen, dass er keinerlei Verantwortung für den Schaden trägt, der durch den Vorfall entstanden ist.
Die Befürchtung eines Missbrauchs von Personendaten durch Dritte infolge des Cyberangriffs kann für den Betroffenen bereits einen so genannten „immateriellen“ ersatzpflichtigen Schaden darstellen. Bei der Feststellung einer solchen Befürchtung muss es sich allerdings um ein individuelles Erlebnis handeln, das mit einer seelischen Beeinträchtigung einhergeht. Dies wäre demnach im Einzelfall durch das den Schadensersatzanspruch prüfende Gericht zu entscheiden. Kollektive Abhilfeklagen von Verbraucherverbänden wären bei Ansetzung dieses EuGH-Maßstabs folglich ausgeschlossen, da Ansprüche aus Art. 82 DSGVO nicht, wie jedoch für die Sammelklage erforderlich, „im Wesentlichen gleichartig sind“.
Die bloße abstrakte Sorge um die Folgen des Kontrollverlusts oder ein unspezifisches „Daten-Unwohlsein“, bei dem die betroffene Person mit missbräuchlichen Verwendungen ihrer Daten rechnet, genügt demnach nicht. Vielmehr bedarf es hinreichend spezifizierter Annahmen, die wiederum ihrerseits nicht vage und substanzlos sein dürfen. In eingriffsintensiven Fällen, wo es infolge einer großangelegten Angriffswelle bereits zu unbefugten Veröffentlichungen von personenbezogenen Daten im Internet gekommen ist (WannaCry, EMOTET, GandCrab etc.), dürfte eine solche Befürchtung plausibel und hinreichend begründbar sein. Hier dürften Betroffene mit einigem Erfolg Schadensersatzklagen anbringen können. Die Höhe wiederum variiert je nach dem Grad der Beeinträchtigung. Die traditionell bei Schadensersatz eher zurückhaltende bundesdeutsche Rechtsprechung wird die erste Klagewelle aller Erfahrung nach mit „Preisschildern“ zwischen 500 und 3000 EUR eindämmen wollen – bis der EuGH auch insofern wieder einschreitet und mit dem Präventiv- und Abschreckungsgedanken des Art. 82 DSGVO „kontert“. Auf mittlere Sicht halten wir EU-weit eine Vereinheitlichung der Gerichtspraxis in einem wesentlich größeren Entschädigungsrahmen von 5 – 20 TEUR für wahrscheinlich.
Der Erfolg eines Cyberangriffs durch Dritte allein lässt nicht automatisch darauf schließen, dass die technisch-organisatorischen Maßnahmen (TOMs) ungeeignet sind oder eine solche Annahme rechtfertigen. Die Angemessenheit der Maßnahmen wird aus einer “ex-ante-Sicht” beurteilt, das heißt, bevor der konkrete Vorfall eintritt. Es wird untersucht, ob zum Zeitpunkt vor dem Vorfall ein angemessenes Schutzniveau gegen das Risiko gewährleistet war. Denn die Verwirklichung von Cyberangriffsrisiken lässt sich angesichts rapider Techniksprünge auf diesem Gebiet nicht vollständig verhindern. Dem trägt der EuGH mit seiner Entscheidung Rechnung. Dem Verantwortlichen steht demnach ein gewisser Entscheidungsspielraum bei der Festlegung geeigneter TOMs zu, ausgehend von den der betreffenden Datenverarbeitung ausgehenden Risiken und deren Überprüfung auf die Angemessenheit der gegen sie getroffenen Maßnahmen.
In eingriffsintensiven Fällen, wo es infolge einer großangelegten Angriffswelle bereits zu unbefugten Veröffentlichungen von personenbezogenen Daten im großen Stil gekommen ist, dürfte eine solche Befürchtung plausibel und hinreichend substantiiert sein.