RWB-Artikelreihe: Artikel 4 – Wegweisendes EUGH-Urteil zu DSGVO Schadenersatz bei Cyberschäden

Hamburg, 27.03.2024 – Un­ter­bre­chung des Kanz­lei­be­trie­bes, Ver­lust von Be­triebs­ge­heim­nis­sen oder Lö­se­geld­for­de­run­gen - die Fol­gen von Cy­ber-An­grif­fen wie­gen schwer und sind viel­fäl­tig. Zu­sätz­lich dro­hen er­heb­li­che da­ten­schutz­recht­li­che Ri­si­ken.

Urteil vom Dezember 2023

Ein weg­wei­sen­des Ur­teil des Ge­richts­hofs der Eu­ro­päi­schen Uni­on (EuGH) vom 14. De­zem­ber 2023 (C-340/21) gibt wich­ti­ge Ant­wor­ten zu den Rah­men­be­din­gun­gen und dem da­ten­schutz­recht­li­chen Ri­si­ko bei Cy­ber-An­grif­fen. Da­bei sind die Aus­füh­run­gen des EuGH zur Ver­ant­wort­lich­keit für da­ten­schutz­recht­li­che Ver­stö­ße so­wie zum im­ma­te­ri­el­len Scha­den be­son­ders re­le­vant. Wir ha­ben die Kern­aus­sa­gen des Ur­teils für Sie zu­sam­men­ge­fasst.
 

Geeignetheit der Datensicherheitsmaßnahmen

Der EuGH stellt fest, dass es nicht au­to­ma­tisch auf un­zu­rei­chen­de Da­ten­si­cher­heits­maß­nah­men hin­weist, wenn es bei ei­nem Cy­ber-An­griff zu ei­ner Da­ten­pan­ne kommt. Auch um­fang­rei­che Maß­nah­men könn­ten im Ein­zel­fall durch die An­grei­fer über­wun­den wer­den. Der Art. 24 DS-GVO ge­währt da­bei so­gar ex­pli­zit die Mög­lich­keit, die Rechts­kon­for­mi­tät er­grif­fe­ner Maß­nah­men nach­zu­wei­sen. Da­für ist ei­ne sorg­fäl­ti­ge Do­ku­men­ta­ti­on al­ler Da­ten­si­cher­heits­maß­nah­men, die vor­ge­nom­men wer­den, zwin­gend er­for­der­lich. (Ei­ne hilf­rei­che Ori­en­tie­rung bie­ten die Emp­feh­lun­gen des BSI zur Stan­dar­di­sie­rung und Zer­ti­fi­zie­rung im Be­reich In­for­ma­ti­ons­si­cher­heit).
 

Beweislast für ausreichende Datensicherheitsmaßnahmen

Die Be­weis­last da­für, dass die tech­ni­schen und or­ga­ni­sa­to­ri­schen Maß­nah­men den gest­z­li­chen An­for­de­run­gen ent­spre­chen, trägt die Kanz­lei als Ver­ant­wort­li­che für die Da­ten­ver­ar­bei­tung. Die­se Re­ge­lung gilt eben­falls im Rah­men von Scha­den­er­satz­an­sprü­chen.
 

Verantwortung nach der DSGVO

Er­folgt ein Cy­ber-An­griff, so be­deu­tet dies nicht au­to­ma­tisch die Ent­haf­tung der be­trof­fe­nen und ver­ant­wort­li­chen Kanz­lei von ih­rer da­ten­schutz­recht­li­chen Haf­tung. Auch wenn hier­bei der Ver­stoß ge­gen die DS­GVO durch ei­nen Drit­ten ma­ß­geb­lich ver­ur­sacht wur­de, reicht dies für die Exkul­pa­ti­on nicht aus. Viel­mehr lei­tet der EuGH aus Art. 82 Abs. 2, 3 DS­GVO ab, dass der Ver­ant­wort­li­che den Nach­weis er­brin­gen muss, dass er in kei­ner Hin­sicht für die Um­stän­de des Scha­den­ein­tritts ver­ant­wort­lich ist.
 

Schwelle für immateriellen Schadenersatz

Im Ge­gen­satz zu ei­nem ers­ten Ur­teil vom Mai 2023 hat der EuGH nun fest­ge­legt, dass be­reits die blo­ße Be­fürch­tung ei­nes Miss­brauchs per­so­nen­be­zo­ge­ner Da­ten ei­nen im­ma­te­ri­el­len Scha­den­er­satz­an­spruch be­grün­den kann, auch wenn die Da­ten tat­säch­lich nicht miss­bräuch­lich ver­wen­det wur­den. Al­ler­dings muss der An­spruch­stel­ler nach­wei­sen, dass ihm ein Scha­den ent­stan­den ist. Dies­be­züg­lich wird es künf­tig deut­lich auf die Scha­dens­dar­le­gung im Ein­zel­fall an­kom­men.

Fazit: Das ak­tu­el­le Ur­teil bringt ein ge­wis­ses Ri­si­ko mit sich, dass es ver­mehrt zu Kla­gen be­züg­lich der "Be­fürch­tun­gen ei­nes Da­ten­miss­brauchs" kommt, um ei­nen im­ma­te­ri­el­len Scha­den­er­satz zu er­wir­ken. Dem ste­hen die ent­wi­ckel­ten Maß­stä­be für ei­ne sorg­fäl­ti­ge Prü­fung im Ein­zel­fall ent­ge­gen. In je­dem Fall aber soll­ten Kanz­lei­en gründ­lich prü­fen, ob in­tern an­ge­mes­se­ne Da­ten­si­cher­heits­maß­nah­men ge­trof­fen und die­se auch aus­rei­chend do­ku­men­tiert wur­den.
 

Unsere GGW Cyber-Versicherung für Kanzleien

GGW bie­tet ei­ne spe­zi­ell auf die Be­dürf­nis­se von Kanz­lei­en zu­ge­schnit­te­ne Cy­ber-Ver­si­che­rung an, die Ih­nen als Bau­stein zur Ri­si­ko­ab­wäl­zung die­nen kann. Gern ste­hen wir Ih­nen zur Ver­fü­gung, um wei­te­re In­for­ma­tio­nen zu die­sem wich­ti­gen Schutz für Ih­re Kanz­lei dar­zu­le­gen oder Fra­gen zu Ih­rem in­di­vi­du­el­len Ver­si­che­rungs­be­darf so­wie zu den recht­li­chen As­pek­ten von Cy­ber-An­grif­fen zu be­ant­wor­ten.