News

EuGH gewährt Schadens­ersatz schon bei Ängsten und Sorgen nach Daten­schutz­verstoß

15.12.2023

Der Europäische Gerichtshof (EuGH) hat gestern ein wegweisendes Urteil zum immateriellen Schadensersatz bei Datenschutzverstößen verkündet.

Wird ein Unternehmen Opfer eines Hackerangriffs, muss es oft schon viel Geld ausgeben, um die unmittelbaren Folgen des Angriffs zu beseitigen: Betriebsunterbrechung, Reputationsverlust, Korrespondenz mit der Datenschutzbehörde. Doch das ist nur die Spitze des Eisbergs. Im Schatten akuter Herausforderungen lauert ein weiteres, potenziell enorm teures Risiko: Personen, deren Daten von dem Vorfall betroffen sind, können Schadensersatzansprüche geltend machen. Und das können sehr viele Menschen sein – im Fall des Hackerangriffs auf eine bulgarische Behörde, der dem heutigen Urteil des EuGH zugrunde lag, waren es mehrere Millionen Menschen.

Unter welchen Voraussetzungen diese Schadensersatzansprüche bestehen, hat der EuGH heute weiter konturiert. Er hat insbesondere entschieden, ob sich ein Unternehmen darauf berufen kann, durch eine gute IT-Sicherheitsstruktur Vorkehrungen gegen Hackerangriffe getroffen zu haben. Außerdem, ob eine Person bereits dann Schadensersatz verlangen kann, wenn mit ihren Daten noch nichts geschehen ist, sondern sie lediglich Ängste, Sorgen und Befürchtungen über einen möglichen künftigen Missbrauch empfindet.

Der Hintergrund

Das Oberste Verwaltungsgericht Bulgariens hat dem EuGH am 14.05.2021 mehrere Vorlagefragen zur Auslegung der Voraussetzungen des immateriellen Schadensersatzanspruchs (Art. 82 Abs. 1 DS-GVO) vorgelegt.

Dem Vorabentscheidungsersuchen lag folgender Sachverhalt zugrunde: Im Jahr 2019 wurde eine bulgarische Behörde nach Medienberichten Opfer eines Hackerangriffs, bei dem sich die Angreifer unbefugt Zugang zu verschiedenen Steuer- und Sozialversicherungsdaten von Millionen von Personen verschafft haben. Die Daten sollen anschließend im Internet veröffentlicht worden sein. Eine betroffene Person klagte daraufhin auf Schadenersatz und machte geltend, sie habe Sorgen, Ängste und Befürchtungen wegen eines möglichen künftigen Missbrauchs erlitten.

Das bulgarische Gericht legte dem EuGH zusammengefasst folgende Fragen zur Vorabentscheidung vor: (1) Kann sich ein Unternehmen darauf berufen, dass es geeignete technische und organisatorische Maßnahmen getroffen hat, und wie kann ein Unternehmen diese Maßnahmen nachweisen? Kann sich ein Unternehmen damit entlasten, für den Datenschutzvorfall in keiner Weise verantwortlich gewesen zu sein? (2) Besteht ein ersatzfähiger immaterieller Schaden bereits in Sorgen, Ängsten und Befürchtungen über einen möglichen zukünftigen Missbrauch?

Kein Anspruch, wenn Unternehmen ausreichende Sicherungsmaßnahmen getroffen hat

Der EuGH betont in seinem Urteil, dass ein Schadensersatzanspruch zunächst ein datenschutzwidriges Verhalten des Unternehmens voraussetzt. Allein aus dem Umstand, dass sich Dritte unbefugt Zugang zu Daten verschafft haben, folgt nicht automatisch, dass dem Unternehmen auch ein Datenschutzverstoß vorzuwerfen ist. Allerdings liegt der Vorwurf nahe, dass unzureichende technische und organisatorische Maßnahmen des Unternehmens den Hackerangriff erst ermöglicht haben.

Der EuGH eröffnet den Unternehmen jedoch die Möglichkeit, sich damit zu verteidigen, dass sie eine ausreichende Sicherheitsstruktur auf einem geeigneten Stand implementiert haben und daher für die Folgen des Angriffs in keiner Weise verantwortlich sind. Die Gerichte müssen dann im Einzelfall entscheiden, ob die vom Unternehmen vorgetragenen Maßnahmen ausreichend waren. Dies kann natürlich eine äußerst komplexe und technisch anspruchsvolle Frage sein, die von den Gerichten nur mit Hilfe von Sachverständigen beantwortet werden kann.

Sorgen, Befürchtungen und Ängste als immaterieller Schaden

Der EuGH hat entschieden, dass ein ersatzfähiger immaterieller Schaden bereits dann vorliegen kann, wenn eine betroffene Person Sorgen, Befürchtungen und Ängste wegen eines möglichen künftigen Missbrauchs erlitten hat. Diese Entscheidung ist von erheblicher Tragweite, da solche Ängste, Sorgen und Befürchtungen in der Regel die erste Beeinträchtigung darstellen, die eine Person erleidet, und unabhängig davon eintreten können, ob die Daten später tatsächlich missbraucht werden und die Person dadurch Nachteile erleidet.

Es ist daher nicht verwunderlich, dass bereits heute viele Kläger ihre Schadensersatzansprüche damit begründen, dass sie gerade diese Sorgen und Ängste erlitten haben. In der deutschen Rechtsprechung war bislang umstritten, ob negative Gefühle bereits einen ersatzfähigen Schaden darstellen. Das Urteil stärkt daher die Rechtsposition der Kläger.

Allerdings weist der EuGH auch darauf hin, dass der Betroffene diese Sorgen und Ängste tatsächlich erlitten haben und dies auch nachweisen können muss. Gerade auf Massenverfahren spezialisierte Anwaltskanzleien verwenden aber oft nur Textbausteine, um die Emotionen der Menschen zu beschreiben. Das reicht als Beweis unter Umständen nicht aus. Insbesondere bei den oft sehr hohen Versprechungen dieser Kanzleien liegt der Verdacht nahe, dass manche Menschen auch monetäre Interessen verfolgen und weniger das Bedürfnis haben, einen Ausgleich für belastende negative Gefühle zu erhalten. In vielen Prozessen wird es daher in Zukunft wohl auch um die Frage gehen, wie gut die Betroffenen ihre negativen Gefühle darstellen können und inwieweit die beklagten Unternehmen Zweifel an dieser Darstellung streuen können.

Ausblick

Das EuGH-Urteil gibt der bislang deutlich divergierenden deutschen Rechtsprechung in einigen entscheidenden Punkten endlich klare Vorgaben. Damit kann sich der Schwerpunkt der Prozesse zunehmend von den Rechtsfragen auf die Tatsachenfragen verlagern. Für die Abwehr von Schadensersatzansprüchen gibt es nach wie vor viele gute Argumente, aber auch verbleibende offene Rechtsfragen, etwa zur Höhe des Schadensersatzes und zu anderen möglichen Schadensformen.

Der immaterielle Schadensersatzanspruch wird uns, den EuGH und die deutschen Gerichte daher noch lange begleiten. Wir dokumentieren die Rechtsprechung deutscher Gerichte auf unserem Noerr Damages Tracker.

Wir empfehlen Unternehmen auf Nummer sicher zu gehen und eine robuste Datenschutz-Governance aufzubauen, ein effektives Management der Rechte der Betroffenen einzuführen und mögliche Datenschutzvorfälle professionell zu evaluieren und zu handhaben. Unternehmen sollten sich also frühzeitig und strategisch mit den Herausforderungen, Chancen und Risiken der Data Protection Litigation auseinanderzusetzen. Unser eingespieltes Team aus anerkannten Datenschutz- und Litigation Expertinnen und Experten berät Sie gerne.