EuGH-UrteilBetroffene von Datenlecks können Schadensersatz bekommen

Der Europäische Gerichtshof macht in einem Urteil klar: Wer von einem Datenleck betroffen ist, kann Schadensersatz verlangen – auch wenn kein materieller Schaden entstanden ist. In Verfahren müssen dabei die Unternehmen und Behörden nachweisen, dass sie ausreichende Schutzmaßnahmen getroffen haben.

Hacker hält ein Handy vor einem Bildschirm, der vor einem Bildschirm ist.
Für dieses Symbolbild gibt es keine sinnvolle technische Erklärung. Aber immerhin hat der Hacker stilecht einen schwarzen Pulli an. – Alle Rechte vorbehalten IMAGO / Pond5 Images

Wer Opfer eines Datenlecks wird, kann Schadensersatz gegenüber dem Unternehmen oder der Behörde geltend machen, das die Daten verloren hat. Hierfür hat der Europäische Gerichtshof den Nutzer:innen in einem Urteil den Rücken gestärkt. Geklagt hatten mehrere Personen, deren Daten 2019 bei einem Hack der bulgarischen Steuerbehörde unbefugt kopiert wurden. Kriminelle hatten Millionen von Datensätzen erbeutet, mehr als die Hälfte aller Bulgar:innen war betroffen.

Das Gericht urteilte jetzt, dass schon ein immaterieller Schaden ausreiche, um Schadensersatz zu fordern. Ein solcher könne entstehen, wenn eine betroffene Person infolge eines Verstoßes gegen die Datenschutzgrundverordnung (DSGVO) befürchte, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten.

Gerichte müssen dann prüfen, ob die Schutzmaßnahmen der jeweiligen Datenhalter geeignet waren und diese konkret beurteilen. Hierbei hätten die Verantwortlichen die Beweislast zu tragen, dass sie die Daten genügend geschützt hätten. Auch wenn Dritte (wie Hacker) sich unbefugten Zugang verschafft hätten, kann die betroffene Stelle ersatzpflichtig sein – außer sie weist nach, dass sie in keinerlei Hinsicht für den Schaden verantwortlich ist.

„Sehr sinnvolle Herangehensweise“

Max Schrems von der Datenschutzorganisation noyb begrüßt das Urteil gegenüber netzpolitik.org. Deutsche Juristen und Gerichte seien beim Schadenersatz extrem kritisch, das sei in Europa eher eine extreme Ansicht. Im Gegensatz dazu lege der EuGH zum Glück die DSGVO einfach nach deren Wortlaut und ursprünglicher Bedeutung aus.

„Bei Databreaches ist eben genau die Unklarheit und Angst, dass die Daten missbraucht werden der immaterielle Schaden, der geradezu typisch ist. Materiellen Schaden kann man oft nur sehr schwer nachweisen“, so der Datenschützer. Deswegen sei wichtig, dass auch immaterielle Schäden zu Schadensersatz führen könnten, damit so etwas überhaupt jemals eine Konsequenz habe.

„Gleichzeitig ist wichtig, dass der EuGH betont, dass es eben auch keine perfekte Sicherheit gibt. Unternehmen müssen aber nach dem Stand der Technik alle angemessenen Dinge unternommen haben um ihre Systeme sicher zu halten. Insgesamt ist das eine sehr sinnvolle Herangehensweise“, so Schrems weiter.

Millionen von Menschen sind jedes Jahr von so genannten Datenlecks betroffen. Hierbei geraten personenbezogene Daten von Menschen, die Unternehmen oder Behörden über diese angelegt haben, an Unbefugte. Ursachen für die Datenlecks sind oftmals Hacking, nicht bezahlte Ransomware-Erpressungen oder technische Unfähigkeit bei den Datenhaltern wegen Sicherheitslücken.

1 Ergänzungen

  1. „Wer von einem Datenleck betroffen ist, kann Schadensersatz verlangen – auch wenn kein materieller Schaden entstanden ist“

    Dann wäre jetzt noch die Frage, ob das auch für Behörden gilt, die schlampig mit der IT umgehen. Seltsam, dass die einen Firmen nie von erfolgreichen Hackerangriffen betroffen sind oder Datenlecks, die andere dann aber schon. Also wer berät hier wen falsch und wen fehlt die Expertise, obwohl er / sie ausgebildet ist? Zuletzt war die NRW Landesregierung davon betroffen und solch ein amateurhaftes Verhalten ist nun mal äußerst inakzeptabel

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.