Schon die begründete Sorge vor einem möglichen Datenmissbrauch personenbezogener Daten kann einen immateriellen Schaden darstellen – und damit zu Schadensersatzansprüchen führen. Der Europäische Gerichtshof (EuGH) stärkt in einem Urteil vom 14.12.2023 (Az. C-340/21) die Rechte von Verbrauchern und eröffnet neue Möglichkeiten. Damit setzt der EuGH ein wichtiges Signal für den Datenschutz und die Durchsetzung von Ansprüchen nach der DSGVO.
Millionen Datensätze nach Hackerangriff veröffentlicht
2019 wurde das IT-System der bulgarischen Steuerbehörde NAP von unbekannten Cyberkriminellen gehackt. Steuer- und Sozialdaten von Millionen Menschen gelangten ins Internet. Eine Betroffene klagte daraufhin auf immateriellen Schadensersatz, weil sie sich aufgrund der Missbrauchsgefahr ernsthaft sorgte. Die nationale Vorinstanz wies die Klage jedoch ab. Der Vorfall gilt bis heute als eines der größten bekannten Datenlecks in Europa und zeigt die Relevanz von DSGVO-Ansprüchen nach Datenschutzverletzungen.
EuGH: Rechte der Betroffenen gestärkt – aber Behörden können sich entlasten
Der EuGH stärkt die Position der Betroffenen entscheidend: Nach einer Datenpanne muss die Behörde nachweisen, dass ihre technischen und organisatorischen Maßnahmen ausreichend waren. Betroffene müssen keine Sicherheitsmängel darlegen – allein die Behörde muss sich entlasten. Dies verbessert die Chancen, immateriellen Schadensersatz erfolgreich geltend zu machen, erheblich.
Gleichzeitig stellt der EuGH klar, dass ein erfolgreicher Cyberangriff noch keinen Verstoß der Behörde belegt. Die Gerichte müssen im Einzelfall prüfen, welche Schutzmaßnahmen implementiert wurden und ob diese dem konkreten Risiko angemessen waren. Damit bleibt eine Entlastung der Behörde möglich – allerdings nur, wenn sie nachweist, in keinerlei Hinsicht für die Datenoffenlegung verantwortlich zu sein.
Anspruch für Betroffene möglich
Die begründete Sorge, dass personenbezogene Daten künftig missbräuchlich verwendet werden könnten, kann bereits einen immateriellen Schaden im Sinne des Art. 82 DSGVO darstellen. Eine tatsächliche missbräuchliche Nutzung ist nicht erforderlich; entscheidend ist, dass die betroffene Person die Belastung plausibel darlegt. Dadurch eröffnen sich für Betroffene realistische Möglichkeiten, Schadensersatz nach einer Datenpanne geltend zu machen.
JACKWERTH Rechtsanwälte: Wir prüfen Ihre Ansprüche
Sie sind von einer Datenpanne betroffen und wollen wissen, ob Ihnen ein Schadensersatz zusteht? Wir prüfen Ihre Ansprüche – schnell, sicher und bundesweit.