EuGH-Urteil: Befürchtung von Datenmissbrauch als immaterieller Schaden
27. Februar 2024
EuGH stärkt Rechte von Betroffenen bei Datenschutzverletzungen
Mit einem wegweisenden Urteil vom 14. Dezember 2023 (Rs. C-340/21) hat der Europäische Gerichtshof (EuGH) entschieden, dass die bloße Befürchtung eines Datenmissbrauchs bereits einen immateriellen Schaden im Sinne der Datenschutz-Grundverordnung (DSGVO) begründen kann.
Hintergrund des Urteils
Ausgangspunkt war ein Cyberangriff auf die bulgarische Steuerbehörde, bei dem die Daten von Millionen Bürgern offengelegt wurden. Das oberste bulgarische Verwaltungsgericht bat den EuGH um Klärung, ob die DSGVO auch immaterielle Schäden abdeckt, die allein aus der Befürchtung eines Missbrauchs der Daten resultieren.
Kernaussagen des Urteils
- Angemessenheit der Sicherheitsmaßnahmen: Der EuGH stellt klar, dass ein Cyberangriff nicht automatisch bedeutet, dass die vom Verantwortlichen getroffenen Sicherheitsmaßnahmen unzureichend waren. Die Beweislast für die Angemessenheit der Maßnahmen liegt jedoch beim Verantwortlichen.
- Beurteilung durch nationale Gerichte: Ob die getroffenen Maßnahmen ausreichend waren, ist von den nationalen Gerichten im Einzelfall zu beurteilen. Dabei müssen die individuellen Risiken der Datenverarbeitung berücksichtigt werden. Ein Sachverständigengutachten ist nicht zwingend erforderlich.
- Immaterieller Schaden: Die bloße Befürchtung eines Datenmissbrauchs reicht aus, um einen immateriellen Schadenersatzanspruch zu begründen.
- Haftung des Verantwortlichen: Der Verantwortliche ist nicht automatisch von seiner Schadenersatzpflicht befreit, wenn der Schaden durch einen Cyberangriff durch Dritte verursacht wurde. Er muss nachweisen, dass er für den Schaden in keinerlei Weise verantwortlich ist.
Schlussfolgerungen für Privatpersonen
Das Urteil des EuGH stärkt die Rechte von Betroffenen von Datenschutzverletzungen. Sie haben nun die Möglichkeit, auch bei immateriellen Schäden, wie der Befürchtung eines Datenmissbrauchs, Schadenersatz zu fordern.
Empfehlungen für Unternehmen
Unternehmen sollten die folgenden Punkte beachten, um ihre Haftungsrisiken zu minimieren:
- Umfassende technische und organisatorische Maßnahmen: Implementieren Sie geeignete Sicherheitsmaßnahmen, um die Daten Ihrer Kunden zu schützen.
- Nachweisbarkeit der Angemessenheit: Dokumentieren Sie Ihre Sicherheitsmaßnahmen und Prozesse, um die Angemessenheit im Zweifelsfall nachweisen zu können.
- Proaktive Reaktion auf Cyberangriffe: Im Falle eines Cyberangriffs sollten Sie schnell und transparent handeln, um die Betroffenen zu informieren und den Schaden zu minimieren.
Wir unterstützen Sie!
Unsere Rechtsanwaltskanzlei ist spezialisiert auf Datenschutzrecht. Wir beraten Sie gerne bei der Umsetzung der DSGVO in Ihrem Unternehmen und unterstützen Sie bei der Durchsetzung Ihrer Rechte als Betroffener.
Kontaktieren Sie uns jetzt für eine kostenlose Erstberatung!
Kontakt – advokIT Rechtsanwälte und Datenschutzbeauftragte
Telefon: +49 (0) 221 97580850
E-Mail: datenschutz@advokit.de
Weitere Informationen:
- EuGH-Urteil vom 14. Dezember 2023 (Rs. C-340/21)
- Datenschutz-Grundverordnung (DSGVO)
- EuGH, Urteil vom 14.12.2023, Rs. C-340/21 (Volltext): Die Befürchtung eines möglichen Missbrauchs personenbezogener Daten kann für sich genommen einen immateriellen Schaden nach Art. 82 DSGVO darstellen.
- EuGH, Urteil vom 14.12.2023, Rs. C‑456/22 (Volltext): Art. 82 DSGVO steht einer nationalen Rechtsvorschrift oder ‑praxis entgegen, die für einen durch einen Verstoß gegen die DSGVO verursachten immateriellen Schaden eine „Bagatellgrenze“ vorsieht
- LG Mannheim, Schlussurteil vom 31.10.2023, Az. 10 O 80/23 (GRUR-RS 2023, 35373): Wegen des Verlusts der Kontrolle über die eigenen Daten und wegen Zeiteinbußen durch unerwünschte Anrufe hat die Klägerin einen Anspruch auf immateriellen Schadensersatz i.H.v. 500 Euro.
- DSGVO-Schadensersatzansprüche: EuGH klärt Anforderungen an Schaden und Beweis
- EuGH-Urteil: Verstöße gegen bestimmte Pflichten der DSGVO begründen nicht automatisch ein Recht auf Löschung oder Einschränkung von Daten