Zur Haftung bei Cyberattacken

Das Oberste Verwaltungsgericht in Bulgarien hatte den EuGH zu einer Vorabentscheidung hinsichtlich der Frage der Haftung bei einem Cyberangriff angerufen. Das Gericht stellte in seiner Entscheidung (EuGH C 340/21) fest, dass schon die Sorge vor einem Missbrauch von durch Kriminelle gestohlene Daten ausreichen soll, um einen immateriellen Schaden festzustellen, für den der für die Datenverarbeitung Verantwortliche, haftbar zu machen ist.

Verarbeitung durch Personen außerhalb der Kontrolle des Verantwortlichen

Es stellte sich in dem Rechtstreit die Frage, ob Art. 82 Abs. 3 DSGVO dahingehend auszulegen sei, dass die unbefugte Offenlegung von bzw. der unbefugte Zugang zu personenbezogenen Daten im Sinne von Art. 4 Nr. 12 DSGVO z.B. mittels eines „Hackerangriffs“ durch Personen, die keine Mitarbeiter des Verantwortlichen sind und somit nicht seiner Kontrolle unterliegen, einen Umstand darstellt, für den der Verantwortliche in keinerlei Hinsicht verantwortlich ist und diesen zur Befreiung von der Haftung berechtigt. 

Der EuGH entschied, dass der Verantwortliche nachweisen muss, dass er in keinerlei Hinsicht für den Umstand, der den Schaden verursacht hat, verantwortlich ist. Erst dann kann er sich gem. Art. 82 Abs. 3 DSGVO von der Haftung befreien. Art. 82 Abs. 2 DSGVO legt fest, dass jeder an der Verarbeitung Beteiligte für Schäden haftet, die durch eine nicht der DSGVO entsprechende Verarbeitung verursacht werden. Der Verantwortliche muss einen Schaden, welcher durch unbefugte Offenlegung oder Zugang durch Dritte verursacht wurde, nur dann ersetzen, wenn er nachweislich gegen Verpflichtungen aus der DSGVO verstoßen hat. Er kann sich von seiner Haftung befreien, wenn er nachweisen kann, dass es keinen Kausalzusammenhang zwischen seinem Verstoß gegen Datenschutzpflichten und dem entstandenen Schaden gibt. Der Verantwortliche muss insbesondere gem. Art. 5 Abs. 1 lit. f DSGVO sicherstellen, dass personenbezogene Daten angemessen geschützt werden. Erforderlich sind hierzu geeignete technische und organisatorische Maßnahmen. Der Verantwortliche trägt die Beweislast für die Wirksamkeit dieser Maßnahmen gem. Art. 32 DSGVO.

Gerichtliches Sachverständigenurteil als Beweismittel?

Das Vorliegen eines gerichtlichen Sachverständigenurteils kann kein generell notwendiges und ausreichendes Beweismittel für die Beurteilung der Geeignetheit der Sicherheitsmaßnahmen gem. Art. 32 DSGVO sein. Da die DSGVO keine spezifischen Regelungen zur Zulassung und zum Beweiswert von Beweismitteln für die Beurteilung geeigneter Sicherheitsmaßnahmen enthält, liegt es in der Verfahrensautonomie jedes Mitgliedsstaates, die verfahrensrechtlichen Modalitäten für Schadensersatzklagen aus Art. 82 DSGVO festzulegen. Bei der Beurteilung der Sicherheitsmaßnahmen, darf nicht allein auf ein gerichtliches Sachverständigengutachten zurückgegriffen werden.

Eine Person, welche Schadenersatz aufgrund eines Verstoßes gegen die DSGVO fordert, muss nachweisen, dass die negativen Folgen des Verstoßes einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen. Insbesondere müssen die nationalen Gerichte prüfen, ob die Befürchtung der betroffenen Person, dass ihre Daten in Zukunft missbräuchlich verwendet werden könnten, unter den gegebenen Umständen begründet ist. 

Fazit

Bereits die bloße Befürchtung einer betroffenen Person, dass ihre personenbezogenen Daten durch Dritte nach einer Cyberattacke, missbräuchlich verwendet werden könnten, kann einen immateriellen Schadensersatz gem. Art. 82 DSGVO begründen.