Kurz vor Jahresende haut der Europäische Gerichtshof (EuGH) nochmal einen raus: Mit seinem Urteil vom 14. Dezember 2023 (Rechtssache C-340/21) erhöht der EuGH die Haftungsrisiken der Unternehmen für Datenschutzverstöße im Rahmen von Cyberattacken, während er die Anforderungen für Schadensersatz Art. 82 DSGVO wegen immaterieller Schäden bereits wegen der Befürchtung von künftigen Nachteilen weiterhin und entgegen der Praxis der deutschen Gerichte sehr niedrig ansetzt.  Rosige Zeiten für die Klageindustrie. Unruhiges Fahrwasser für Unternehmen.

Sachverhalt.

Die Nationale Agentur für öffentliche Einnahmen (NAP) in Bulgarien, eine dem Finanzministerium unterstellte Behörde, war Opfer einer Cyberattacke. Die Hacker hatten Zugriff auf die IT-Systeme der Behörde, zogen personenbezogene Daten von über sechs Millionen Menschen ab und veröffentlichten diese Daten.

Einige Hundert Betroffene, darunter die Klägerin, verklagten die Behörde auf Schadenersatz nach Art. 82 DSGVO. Die Klägerin behauptet nicht, dass ihr ein Vermögensschaden entstanden sei. Allerdings trägt sie vor, dass sie befürchte, ihre veröffentlichten personenbezogenen Daten könnten künftig missbräuchlich verwendet werden oder sie selbst könnte erpresst, angegriffen oder sogar entführt werden.

Die beklagte Behörde verteidigt sich mit dem Argument, sie habe alle erforderlichen Sicherheitsmaßnahmen getroffen. Außerdem fehle es an einem Kausalzusammenhang zwischen der Datenveröffentlichung und dem behaupteten Schaden.

Datenschutzrechtsdurchsetzungsverhinderungsrechtsprechung nationaler Gerichte – auch in Deutschland.

Das Verwaltungsgericht Sofia wies die Klage ab und argumentierte, dass der Angriff von Dritten ausgegangen sei, die Klägerin der Behörde keine unzureichenden Sicherheitsvorkehrungen nachgewiesen habe und die vorgetragenen Befürchtungen keinen immateriellen Schaden darstellten, der einen Schadensersatz nach der DSGVO rechtfertigten.

Diese Argumentationslinie dürfte auch vielen deutschen Gerichten bekannt vorkommen. So hatte das Oberlandesgericht Stuttgart im Jahr 2021 die Klage eines Betroffenen auf Zahlung von Schadensersatz gemäß Art. 82 DSGVO wegen unberechtigten Zugriffs von Hackern auf die personenbezogenen Daten des Klägers mit dem Argument abgewiesen, der Kläger habe nicht nachweisen können, dass ein etwaiger Verstoß gegen gebotene Sicherheitsvorkehrungen für die Extraktion der Daten durch die Hacker ursächlich war (vgl. OLG Stuttgart, Urteil vom 31.03.2021 – 9 U 34/21).

Das Oberlandesgericht Hamm hatte im August 2023 die Schadensersatzklage in einem Facebook-Scraping-Fall mit dem Argument abgewiesen, dass die Verletzung von DSGVO-Vorgaben nicht mit einem Schaden gleichzusetzen sei. Die Klägerin in diesem Verfahren war als Facebook-Nutzerin von dem im April 2021 bekannt gewordenen Scraping-Vorfall betroffen, bei dem Unbekannte millionenfach auf Facebook hinterlegte Informationen von Nutzern sammelten und im Darknet veröffentlichten (vgl. OLG Hamm, Urteil vom 15.8.2023 – 7 U 19/23).

Fragen an den EuGH.

Die Klägerin legte daraufhin beim Obersten Verwaltungsgericht Bulgariens Berufung ein. Sie trug vor, das erstinstanzliche Urteil sei rechtsfehlerhaft, weil das Gericht die Beweislastverteilung falsch beurteilt habe. Sie argumentierte, dass eine eingetretene Datenschutzverletzung automatisch den Beweis dafür liefere, dass die getroffenen technischen und organisatorischen Maßnahmen unzureichend waren und die Behörde deshalb in zum Schadensersatz verpflichtender Weise gegen seine Pflichten nach der DSGVO verstoßen habe. Weiter argumentierte sie, dass bereits die Befürchtung eines möglichen Missbrauchs ihrer Daten einen tatsächlichen immateriellen Schaden begründe.

Das Oberste Verwaltungsgericht Bulgariens legte dem EuGH zahlreiche Fragen zur Interpretation der DSGVO hinsichtlich der Haftung und der Verantwortlichkeit im Zusammenhang mit Cyberattacken, insbesondere in Bezug auf die Effektivität von Sicherheitsmaßnahmen und die Rechte der betroffenen Personen bei Datenschutzverletzungen, vor. Eine weitere zentrale Frage betraf die Qualität der vom Betroffenen infolge des DSGVO-Verstoßes erlittenen Beeinträchtigungen und die Darlegung des immateriellen Schadens. Fragen, die auch den deutschen Bundesgerichtshof kürzlich dazu bewogen haben, ein Vorabentscheidungsersuchen mit ähnlichen Fragen an den EuGH zu richten.

It wasn’t me – keine Option mehr bei Cyberattacken.

Der EuGH entzieht der oben dargestellten Praxis der nationalen Gerichte auch in Deutschland deutlich den Boden. Sein Urteil vom 14. Dezember 2023 bekräftigt und konkretisiert der EuGH die in den letzten Monaten in zahlreichen Entscheidungen entwickelten Grundsätze rund um die Fragen des Schadensersatzanspruchs nach Art. 82 DSGVO und etwaiger durch eine Datenschutzverletzung entstandener immaterieller Schäden. Konkret lassen sich der Entscheidung folgende Grundsätze entnehmen:

IT-Schutzniveau: kein Optimum, aber dem Risiko angemessen.

Zu Gunsten der Verantwortlichen stellt der EuGH stellt klar, dass die unbefugte Offenlegung von Daten oder ein unberechtigte Datenzugriff durch Dritte per se nicht die Schlussfolgerung rechtfertigt, dass die getroffenen Maßnahmen des Verantwortlichen unzureichend waren. Die DSGVO fordere keine optimalen Sicherungsvorkehrungen des Verantwortlichen, sondern ein dem jeweiligen Risiko angemessenes Schutzniveau. Zudem müsse der Verantwortliche die Möglichkeit haben, sich exkulpieren und den Nachweis für die Geeignetheit seiner Maßnahmen erbringen zu können.

Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO als Beweislastregel.

Ebenso klar unterstreicht der EuGH die Bedeutung der Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO. Das Gericht sieht in der Vorschrift nicht nur einen zentralen Baustein des in den Art. 24 und 32 DSGVO normierten Pflichtenkatalogs, sondern interpretiert die Vorschrift zudem im Sinne einer Beweislastregel. Der Verantwortliche trägt die Beweislast dafür, dass er Sicherheitsmaßnahmen getroffen hat und diese ein risikoadäquates Schutzniveau hinsichtlich der verarbeiteten personenbezogenen Daten gewährleisten.

Unternehmen haften auch für erlittene Cyberattacken.

Einer Generalamnestie von Unternehmen, die Opfer einer Cyberattacke wurden, lehnt der EuGH ab. Kommt es im Falle einer Cyberattacke zu einer Datenschutzverletzung, sei dies dem Verantwortlichen zuzurechnen, wenn er durch Missachtung seiner DSGVO-Pflichten zur Datenschutzverletzung beigetragen habe. Er könne seine Haftung ausschließen, indem er nachweist, dass zwischen einer möglichen Verletzung seiner Datenschutzverpflichtungen und dem entstandenen Schaden kein Ursachenzusammenhang bestehe.

Ein Schaden ist ein Schaden ist ein Schaden…

Hinsichtlich der Qualität der erlittenen Beeinträchtigung und der Darlegung des immateriellen Schadens legt der EuGH die Latte so niedrig, dass diese Hürde zukünftig wohl kein ernstzunehmendes Hindernis mehr darstellt. Jede noch so triviale Beeinträchtigung kann einen ersatzfähigen immateriellen Schaden begründen. Dies gilt auch für die von der Klägerin behauptete Befürchtung einer zukünftigen missbräuchlichen Verwendung ihrer personenbezogener Daten. Der EuGH verlangt ausdrücklich nicht, dass die behauptete Beeinträchtigung auch nur spürbar und folgerichtig auch nicht, dass sie objektiv nachvollziehbar sein muss.

Folgen für die Unternehmenspraxis: Katalysator für die Klageindustrie.

Auf Unternehmen kommen unruhige Zeiten zu. Das Risiko Opfer ein Cyberattacke zu werden ist in den letzten Monaten deutlich gestiegen. Eine Cyberattacke stellt die betroffenen Unternehmen schon jetzt vor erhebliche Herausforderung. Neben der Wiederherstellung der operativen Arbeitsfähigkeit, müssen gesetzliche und vertragliche Melde- und Informationspflichten gegenüber Behörden, Kunden und Betroffenen erfüllt und der Vorfall forensisch aufgearbeitet werden.

Die Herausforderungen für betroffene Unternehmen werden nach dem Urteil des EuGH nicht kleiner. Zukünftig wird die Krisenkommunikation erheblich an Bedeutung gewinnen. Der Spagat zwischen transparenter Kommunikation einerseits und sorgfältig abgewogener Berichterstattung andererseits wird zum Drahtseilakt. Unvorsichtige oder fehlerhafte Kommunikation ruft unweigerlich die Klageindustrie auf den Plan. Es drohen Auskunftsersuchen und Klagen der Betroffenen.

Wie schon bei den Fluggastrechten werden Cyberattacken zur nächsten lukrativen Einnahmequelle für Verbraucheranwälte und Legaltech-Unternehmen. Das Urteil des EuGH stärkt nicht nur die Position der Betroffenen, sondern befeuert das Geschäftsmodell vieler Anwaltskanzleien und Rechtsdienstleister.

There is no glory in prevention! Andere Ansicht: EuGH.

Die Aussage „there is no glory in prevention“ ist im Kontext von Unternehmens-Compliance spätestens nach diesem EuGH-Urteil so falsch wie nie. Unternehmen sind gut beraten, ihrer IT-Systemumgebung die notwendige Aufmerksamkeit zu widmen. Dazu gehört unter anderem die Umsetzung der in der DSGVO normierten Pflichten, insbesondere die Verpflichtungen nach den Art. 5, 24, 32 DSGVO. Audit-Berichte der IT-Dienstleister und Datenschutzbeauftragten sollten nicht ungelesen in der Schublade verschwinden, sondern festgestellte Mängel abgestellt werden. Wer keine taugliche Backup-Strategie, keinen First-Response-Plan und keinen Krisenstab vorhält, steht im Falle einer Cyberattacke auf verlorenem Posten. Über die gesellschaftsrechtliche Legalitätspflicht drohen diese Risken direkt auf Geschäftsführung und Vorstände durchzuschlagen.

Mit Compliance verdienen Unternehmen vielleicht kein Geld, aber sie dürfen es behalten.