Unser Angebot
Themen
Über RSM Ebner Stolz
Karriere
Kontakt
Mediathek
Newsletter
Presse
Veranstaltungen
RSM Ebner Stolz / Unser Angebot / Rechtsberatung / IT-Recht und Datenschutz / Keine pauschale Haftungsbefreiung für DSGVO-Verstöße bei Cyberangriff

Keine pauschale Haftungsbefreiung für DSGVO-Verstöße bei Cyberangriff

31.01.2024 | 2 Minuten Lesezeit

Nach Auffassung des EuGH müssen sich Unternehmen Schäden durch Cyberangriffe in der Regel zurechnen lassen.

Der EuGH hat am 14.12.2023 (Rs. C-340/21) mehrere Fragen zu Schadensersatzansprüchen nach einer Cyberattacke beantwortet. Hintergrund war ein Cyberangriff auf eine bulgarische Behörde, bei der Millionen von personenbezogenen Daten im Internet veröffentlicht wurden.

Grundsätzlich ist der Verantwortliche nach Art. 32 DSGVO verpflichtet ein „dem Risiko angemessenes Schutzniveau" durch geeignete technische und organisatorische Schutzmaßnahmen sicherzustellen. Der EuGH hat entschieden, dass allein der Umstand, dass es zu einem unberechtigten Zugriff gekommen ist, nicht bedeutet, dass die vom Verantwortlichen getroffenen Maßnahmen zum Schutz der Daten grundsätzlich ungeeignet waren. Vielmehr muss die Geeignetheit der Maßnahmen im Einzelfall beurteilt werden, unter Berücksichtigung des Risikos, des Standes der Technik und der Implementierungskosten.

Der EuGH schließt sich in seiner Entscheidung den Ausführungen des Generalanwalts an und urteilt, dass die Gerichte die getroffenen Maßnahmen anhand dieser Kriterien und den Umständen des Einzelfalls bewerten müssen. Eine einfache Feststellung, dass der Verantwortliche seiner Pflicht nicht nachgekommen ist, reiche nicht aus. In diesem Zusammenhang hat der EuGH klargestellt, dass den Verantwortlichen hierfür die Beweislast trifft und er nachweisen muss, dass er in keinerlei Hinsicht für den Schaden verantwortlich ist, um sich von der Haftung zu befreien. Dies entspreche dem Wortlaut von Art. 82 Abs. 3 DSGVO, dass der Verantwortliche „in keinerlei Hinsicht" für den Haftungsumstand verantwortlich sein darf und dies auch nachweisen muss. Eine pauschale Haftungsbefreiung bei einem Cyberangriff ist nicht möglich.

Mit dem Urteil verschärft der EuGH auch die Anforderungen an eine Haftung auf Schadensersatz. Der EuGH erkennt an, dass bereits die Befürchtung einer betroffenen Person, ihre Daten würden zukünftig missbräuchlich verwendet, ausreicht, um einen immateriellen Schaden zu begründen. Die betroffene Person muss aber nachweisen, dass die Befürchtung unter den konkreten Umständen begründet ist.

Hinweis: Im Falle von Cyberangriffen ist daher wichtig, dass der Verantwortliche die getroffenen Schutzmaßnahmen dokumentiert, um diese zu seiner Entlastung im Falle einer Inanspruchnahme nach Art. 82 DSGVO gerichtlich geltend zu machen. Nur wenn der Nachweis geführt werden kann, dass ein Unternehmen im konkreten Fall in keinerlei Hinsicht verantwortlich für den Datenschutzverstoß war, kann es sich auf die Haftungsbefreiung berufen.