Der EuGH beschäftigt sich bereits seit mehreren Jahren immer wieder mit der Frage unter welchen Voraussetzungen ein immaterieller Schadensersatz bei Datenschutzverstößen zulässig sein soll. Letztes Jahr erteilte er in zwei wegweisenden Urteilen zunächst der Erheblichkeitsschwelle eine Absage und ließ später bereits die Befürchtung eines Datenmissbrauchs für einen Anspruch auf immateriellen Schadensersatz ausreichen. In seinem aktuellen Urteil bestätigt der Gerichtshof seine vorangegangenen Entscheidungen und engt die Anforderungen ein, indem er einen Anspruch aufgrund eines rein hypothetisches Risikos ablehnt. 

Hintergrund: 

Auslöser für die Vorlage beim EuGH war eine irrtümliche Weitergabe von Kundendaten an einen anderen Kunden. Der Betroffene hatte einen Kauf- und Kreditvertrag bei Saturn geschlossen. Darin enthalten waren seine Stamm- und Bankdaten sowie Einkünfte. An der Kasse drängelte sich jedoch ein anderer Kunde vor und erhielt versehentlich die Unterlagen des Betroffenen ausgehändigt. Zwar erfolgte die Rückgabe der Unterlagen innerhalb einer halben Stunde, ohne dass nachweislich eine Kenntnisnahme von den Daten durch den anderen Saturn-Kunden erfolgte. Jedoch konnte der EuGH auch nicht mit Sicherheit ausschließen, dass die Daten vor der Rückgabe nicht kopieret wurden. Durch das hypothetische Risiko des unbefugten Kopierens fühlte sich der betroffene Kunde belastet.

Das Urteil: 

Der EuGH bestätigte die Möglichkeit, immateriellen Schadensersatz zu fordern, wenn ein tatsächlicher Verstoß gegen Datenschutzrichtlinien vorliegt und die begründete Befürchtung eines Datenmissbrauchs besteht. Letzteres ist jedenfalls zu bejahen, wenn Dokumente mit personenbezogenen Daten an unbefugte Dritte weitergegeben werden. Dabei betonte das Gericht, dass ein rein hypothetisches Risiko nicht für den Schadensersatzanspruch ausreicht. Dies ist gerade der Fall, wenn erwiesenermaßen keine Kenntnisnahme durch Dritte erfolgte.

Die Übertragung dieses Urteils auf umfangreichere Cyber-Angriffe gestaltet sich schwierig. In Fällen von Ransomware-Angriffen, bei denen Daten im Deep-Web veröffentlicht werden, besteht eine hohe Wahrscheinlichkeit bezüglich der Verarbeitung durch Angreifer, indem die Daten auf weiteren Seiten geleaked werden. Jedoch bleibt die tatsächliche Kenntnisnahme ungewiss, denn in Deep Web gibt es generell kein Publikum, dass die personenbezogenen Daten einsehen könnte.

Fazit:

Die Rechtsprechungslinie des EuGH in diesem Bereich bleibt trotz mehrerer Urteile unklar. Nationale Gerichte sind gefordert, die konkreten Umstände jedes Falls zu prüfen und die Rechtslage anzuwenden. Unternehmen sollten daher ihre Cybersicherheitsmaßnahmen verstärken und sorgfältig dokumentieren, um den steigenden Anforderungen gerecht zu werden.

 

Foto von Maximalfocus auf Unsplash

 

Weitere Beiträge zu dem Thema:

Schluss mit Abmahnwellen wegen Datenschutzverstößen? (paloubis.com)

EuGH-Urteil zum immateriellen Schadensersatz der DSGVO (paloubis.com)