In einem aktuellen Urteil stärkte der EuGH die Rechte des Verbrauchers für den Fall eines Hackerangriffs. Künftig soll bereits die Befürchtung eines Datenmissbrauchs für die Geltendmachung von immateriellem Schadensersatz bei einer Verletzung der Rechte aus der DSGVO ausreichen. Außerdem werden Unternehmen die gehackt wurden, in der Regel nicht mehr vorbringen können, schuldlos an einem Hack ihrer Systeme zu sein.
Hintergrund:
2019 ist eine bulgarische Behörde Opfer eines Hackerangriffs geworden, wodurch personenbezogene Daten von Millionen von Menschen im Internet veröffentlicht wurden. Die Betroffenen verklagten die Behörde gem. Art. 82 Abs. 1 DSGVO auf Ersatz des immateriellen Schadens, der ihnen entstanden ist, weil sie einen möglichen Missbrauch ihrer Daten befürchteten. Die Frage wann ein solcher immaterieller Schadensersatz möglich ist, hat das bulgarische Gericht dem EuGH vorgelegt.
EuGH-Urteil:
Der EuGH bestätigte in seinem Urteil (Urt. v. 14.12.2023, Rs. C-340/21), dass bereits die Befürchtung eines Datenmissbrauchs einen immateriellen Schadensersatz darstellen kann. Dieses weite Verständnis soll laut dem Generalanwalt jedoch dadurch eingeschränkt werden, dass es sich um einen realen emotionalen Schaden handeln muss. Ein bloßes Ärgernis oder eine Unannehmlichkeit reiche dafür nicht aus.
Darüber hinaus lässt sich aus dem Urteil auch entnehmen, dass die Entlastung für Unternehmen nun nahezu unmöglich ist. Diese tragen im Falle eines Cyberangriffs die Beweislast dafür, dass die getroffenen Sicherheitsmaßnahmen geeignet und sie selbst nicht für den entstandenen Schaden mitverantwortlich waren. Etwaige Sicherheitslücken lassen sich jedoch regelmäßig erst im Nachhinein feststellen.
Schreibe einen Kommentar
Du musst angemeldet sein, um einen Kommentar abzugeben.