Rechtec Logo

Immaterieller Schaden bei möglicher Missbrauchsgefahr personenbezogener Daten EuGH, Urteil vom 14.12.2023 - C‑340/21

Der Europäische Gerichtshof (EuGH) befasste sich mit einem Fall, in dem es um einen Cyberangriff auf die bulgarische Nationale Agentur für Einnahmen (NAP) ging. Die NAP ist unter anderem mit den Aufgaben der Feststellung, Sicherung und Einziehung öffentlicher Forderungen bedacht. Daher ist sie für die Verarbeitung entsprechender personenbezogener Daten verantwortlich. Allerdings wurde auf das IT-System der NAP ein Cyberangriff verübt, infolgedessen die dort befindlichen personenbezogenen Daten von Millionen von Personen im Internet veröffentlicht wurden. Diese betroffenen Personen befürchten den Missbrauch ihrer Daten und machen daher einen immateriellen, aus der Datenschutzgrundverordnung resultierenden, immateriellen Schaden geltend, der ihnen dadurch entstanden sein soll. Das bulgarische Oberverwaltungsgericht, das sich dem oben dargestellten Begehren widmete, fragte daher den EuGH, unter welchen Bedingungen ein solcher immaterieller Schaden ersatzfähig ist.

Der EuGH beantwortete diese Frage unter anderem, in dem er zunächst entschied, dass im Rahmen einer auf den Artikel 82 der Datenschutzgrundverordnung (DSGVO) gestützten Schadensersatzklage der für die Verarbeitung Verantwortliche, also die bulgarische NAP, die Beweislast für die Angemessenheit der Sicherheitsmaßnahmen trägt, die DSGVO-konform umgesetzt wurden. Der für die Verarbeitung Verantwortliche kann sich nicht einfach von der Schadensersatzpflicht befreien, indem er behauptet die unbefugte Weitergabe personenbezogener Daten beziehungsweise der unbefugten Zugang zu solchen Daten sei auf „Dritte“, also diejenigen, die den Cyberangriff verübten, zurückzuführen. Denn der Verantwortliche muss nachweisen können, dass die Handlung, die den Schaden verursacht hat, ihm in keiner Weise zuzurechnen ist.

Dabei entschied der EuGH, wenn Betroffene den potenziellen Missbrauch ihrer personenbezogenen Daten infolge eines Verstoßes gegen die DSGVO durch Dritte befürchten, also hier die Veröffentlichung der Daten im Internet, ist dies geeignet einen solchen „immateriellen Schaden“ im Sinne der DSGVO zu begründen. Die Befürchtung für sich wird bereits als ausreichend erachtet. Denn mit der DSGVO werde, so der EuGH, die Gewährleistung eines hohen Schutzniveaus für natürliche