Der Europäische Gerichtshof äußert sich in einem Urteil zur Geeignetheit technischer und organisatorischer Maßnahmen (TOM) im Sinne der DSGVO sowie der entsprechenden Beweislast im Klageverfahren. Zweites größeres Thema ist der immaterielle Schadensersatz, wenn noch kein konkreter Missbrauch der Daten statt gefunden hat. Im Folgenden werden die wesentlichen Inhalte des Urteils dargestellt.
Der Inhalt im Überblick
Datenschutzvorfall mit Millionen Betroffenen
Für das EuGH-Urteil vom 14.12.2023 – C-340/21 war Ausgangsfall ein Cyberangriff gegen eine bulgarische Behörde im Jahr 2019, in dessen Folge personenbezogene Daten von mehr als sechs Millionen natürlichen Personen im Internet veröffentlicht worden waren. Einige der Betroffenen erhoben daraufhin Klage auf Schadensersatz. Diese wurde in erster Instanz abgewiesen und eine Klägerin zog in die nächste Instanz. Dieses Gericht legte schließlich dem EuGH diverse Fragen zur Vorabentscheidung vor.
Führt ein erfolgreicher Cyberangriff zu schlechten TOMs?
In der ersten Vorlagefrage wollte das vorlegende Gericht wissen, ob Art. 24 und 32 DSGVO so zu verstehen sind, dass es ausreicht, wenn eine unbefugte Offenlegung von oder ein unbefugter Zugang zu personenbezogenen Daten durch Dritte ausreicht, um anzunehmen, dass die getroffenen technischen und organisatorischen Maßnahmen (im Folgenden „TOMs“) nicht geeignet waren. Hier finden Sie einen Beitrag, der den Begriff der „TOMs“ näher erläutert. Der EuGH führt aus, dass die Formulierungen des Art. 32 DSGVO, nämlich „ein dem Risiko angemessenes Schutzniveau“ und ein „angemessenes Schutzniveau“, zeigten, dass die DSGVO keineswegs verlangt, dass mit den ergriffenen TOMs Datenschutzverletzungen vollständig verhindert werden. Die Norm schreibt dem Verantwortlichen nur vor, dass er TOMs zu ergreifen hat, die dazu beitragen, Datenschutzverletzungen „so weit wie möglich“ zu verhindern. Ob diese geeignet sind, ist im Einzelfall anhand der Maßstäbe der Normen zu prüfen. Jedenfalls führe eine unbefugte Offenlegung von oder ein unbefugter Zugang zu personenbezogenen Daten an Dritte nicht automatisch dazu, dass ein Verstoß gegen. Art. 24, 32 DSGVO angenommen werden kann. Der Verantwortliche kann hier einen Gegenbeweis erbringen, wie Art. 24 DSGVO es auch ausdrücklich vorsieht.
Beweisbarkeit der „Geeignetheit“ von TOMs
Der EuGH sollte zudem beantworten, ob die TOMs durch die nationalen Gerichte konkret beurteilt werden können. Dabei steht der EuGH dem Verantwortlichen zwar einen gewissen Ermessensspielraum bei der Auswahl geeigneter TOMs zu, sagt aber auch, dass ein nationales Gericht sich nicht auf die Feststellung beschränken darf, inwieweit der Verantwortliche seinen gesetzlichen Pflichten nachkommen „wollte“. Es muss vielmehr eine materielle Prüfung der TOMs anhand aller gesetzlichen Kriterien, den Umständen des Einzelfalls und der vorliegenden Beweismittel vornehmen.
Wer trägt die Beweislast?
Zur Beweislast führte der EuGH aus, dass aus dem Wortlaut der Art. 5 Abs. 2, 24 Abs. 1, 32 Abs. 1 DSGVO unzweifelhaft hervorgehe, dass der Verantwortliche die Beweislast dafür trägt, dass die Verarbeitung personenbezogener Daten bei ihm mit angemessener Sicherheit erfolgt. Diese Normen stellen eine allgemeingültige Regel dar, die auch im Rahmen von Schadensersatzansprüchen gem. Art. 82 DSGVO Anwendung finden soll. Dies wird vom EuGH auch damit begründet, dass der datenschutzrechtliche Schadensersatzanspruch deutlich an Wirksamkeit einbüßen würde, wenn die Betroffenen nachweisen müssten, dass die TOMs des Verantwortlichen ungeeignet waren. Eine derartige Einschränkung von Betroffenenrechten liefe dem Schutzzweck der DSGVO zuwider. Zu beachten ist hier, dass eine solche Beweislastregel nur hinsichtlich der Geeignetheit der TOMs gilt. Für die generellen Anspruchsvoraussetzungen trägt grundsätzlich nach wie vor der Anspruchsteller die Beweislast.
Muss ein Sachverständigengutachten her?
Fraglich war zudem, ob ein Sachverständigengutachten für die Beurteilung der Geeignetheit der Sicherheitsmaßnahmen ein notwendiges und ausreichendes Beweismittel ist. Hier verwies der EuGH zunächst darauf, dass es grundsätzlich Sache des nationalen Rechts ist, verfahrensrechtliche Regeln für Beweismittel festzulegen. Die DSGVO sieht für ein Klageverfahren hinsichtlich eines Anspruchs gem. Art. 82 DSGVO keine Regelungen vor, die etwas über die die Zulassung und den Beweiswert eines Beweismittels wie zum Beispiel eines gerichtlichen Sachverständigengutachtens enthalten. Zu beachten sind jedoch der Äquivalenzgrundsatz (die Regelungen bei unter EU-Recht fallenden Sachverhalten dürfen nicht ungünstiger sein als gleichartige Sachverhalte, die nationalstaatlichem Recht unterliegen) sowie der Effektivitätsgrundsatz (die Ausübung der durch das Unionsrecht verliehenen Rechte darf nicht praktisch unmöglich gemacht oder übermäßig erschwert werden).
Der EuGH hatte auf Grund der Formulierung der Vorlagefrage in dem vorliegenden Fall Zweifel an der Beachtung des Effektivitätsgrundsatzes. Ein Sachverständigengutachten könnte sich etwa angesichts weiterer Beweise als überflüssig erweisen (etwa auf Grund erst kürzlich durchgeführter unabhängiger Kontrollen). Auch dürfe ein Gericht nicht automatisch oder gar ausschließlich von einem Sachverständigengutachten ableiten, dass die TOMs eines Verantwortlichen geeignet gem. Art. 32 DSGVO sind. Ein gerichtliches Sachverständigengutachten soll damit kein generell notwendiges und ausreichendes Beweismittel sein.
Kann der Verantwortliche von einer Haftung befreit werden?
Eine weitere Frage sollte klären, ob die Haftungsbefreiung gem. Art. 82 Abs. 3 DSGVO allein deshalb schon greifen kann, weil der Schaden die Folge einer unbefugten Offenlegung von bzw. eines unbefugten Zugangs zu personenbezogenen Daten durch Dritte ist. Grundsätzlich muss der Verantwortliche Schäden ersetzen, die einer Person auf Grund einer Verarbeitung entstehen, die mit der DSGVO nicht im Einklang steht. Von dieser Haftung kann er nur befreit werden, wenn er nachweist, dass er in keiner Weise für den Schaden verantwortlich ist (vgl. ErwGr. 146 DSGVO). Der EuGH erläutert in diesem Zusammenhang, dass die Formulierung „in keinerlei Hinsicht“ aufzeige, dass eine Haftungsbefreiung eindeutig auf solche Fälle beschränkt ist, in denen der Verantwortliche nachweisen kann, dass er selbst nicht verantwortlich für den Schaden ist.
Wird eine Datenschutzverletzung durch einen Cyberangriff verursacht, muss der Verantwortliche daher dafür geradestehen, wenn er die Verletzung auf Grund von Nichtbeachtung der DSGVO (Art. 5 Abs. 1 lit. f, 24, 32 DSGVO) ermöglicht hat. Kann der Verantwortliche hingegen nachweisen, dass kein Kausalzusammenhang zwischen einer eventuellen datenschutzrechtlichen Pflichtverletzung durch ihn und dem der natürlichen Person entstandenen Schaden besteht, kann hingegen eine Befreiung von der Haftung in Betracht kommen.
Reicht eine „Befürchtung“ für einen Schaden?
Die letzte Frage behandelte schließlich ein durch den EuGH bereits häufiger zu beachtendes Thema, den immateriellen Schadensersatz im Datenschutz. Konkret wurde gefragt, ob bereits abstrakte Befürchtungen eines Datenmissbrauchs ausreichen, um einen immateriellen Schadensersatz zu begründen.
Der EuGH verweist zunächst auf sein Urteil vom 4.5.2023 – C-300/21 (auf welches wir in dem Artikel EuGH zum Schadensersatz, Recht auf Kopie und mehr näher eingehen), in dem er bereits festgestellt hat, dass es keiner Erheblichkeitsschwelle für einen Schadensersatzanspruch gem. Art. 82 DSGVO bedarf. Sodann wird ausgeführt, dass die Norm ihrem Wortlaut nach durchaus Fälle umfassen kann, in denen Betroffene sich nur auf ihre Befürchtungen berufen, dass ihre personenbezogenen Daten auf Grund eines Verstoßes gegen die DSGVO in Zukunft von Dritten missbräuchlich verwendet werden. Dafür spreche auch die von der EU grundsätzlich beabsichtigte weite Auslegung des Begriffs „immaterieller Schaden“. Zudem folge aus der beispielhaften Aufzählung möglicher Schäden in ErwGr. 85 DSGVO, dass auch der Verlust von Kontrolle über personenbezogene Daten einen Schaden darstellen kann, auch wenn noch gar kein konkreter Datenmissbrauch stattgefunden hat. Zuletzt führt der EuGH aus, dass es mit dem Schutzzweck der „Gewährleistung eines hohen Schutzniveaus“ nicht vereinbar sei, wenn der Begriff „immaterieller Schaden“ keine Situationen umfassen würde, in denen sich Betroffene nur auf Befürchtung berufen, dass ihre Daten in Zukunft von Dritten missbräuchlich genutzt werden. Daher könne schon allein die Befürchtung eines Datenmissbrauchs durch Dritte, einen „immateriellen Schaden“ im Sinne der DSGVO darstellen.
Bedeutung für die Praxis
Besonders die Ausführungen zum Nachweis der Geeignetheit der TOMs sollten Unternehmen anhalten auf eine umfangreiche und saubere Dokumentierung sämtlicher TOMs größten Wert zu legen. Dazu zählen nicht nur Maßnahmen der klassischen IT-Sicherheit, sondern etwa auch Schulungen von Mitarbeitern, Erlass von Richtlinien oder Vertraulichkeitsverpflichtungen. Die Maßnahmen sollten darüber hinaus regelmäßig evaluiert und geprüft werden, inwieweit sie noch dem Stand der Technik entsprechen.
Zudem zeigt das Urteil, dass zwar ein Schadensersatzanspruch auch schon auf Grund von nur abstrakten Gefahren möglich ist, aber eben auch nicht sein muss. Dem EuGH zufolge kann es ebenso Fälle geben, in denen die Befürchtung eines künftigen Datenmissbrauchs keinen Schaden darstellt. Es muss durch den Anspruchssteller noch immer nachgewiesen werden, dass er durch einen Vorfall etwa eine seelische Belastung erlitten hat. Eine Schwemme von vollkommen haltlosen Ansprüchen sollte daher vorerst nicht zu befürchten sein. Dafür dürfte die individuelle Situation des Betroffenen zu maßgeblich sein für die Bewertung, ob ein Schaden vorliegt oder nicht.
„Dem EuGH zufolge kann es ebenso Fälle geben, in denen die Befürchtung eines künftigen Datenmissbrauchs keinen Schaden darstellt. Es muss durch den Anspruchssteller noch immer nachgewiesen werden, dass er durch einen Vorfall etwa eine seelische Belastung erlitten hat.“
Die Argumentation, dass eine seelische Belastung oder gar Anzeichen von Krankheitswert vorliegen müssten, wird immer wieder bemüht, wurde aber noch nie vom EuGH aufgegriffen.
Im Gegenteil hat der EuGH schon wiederholt festgestellt, dass der entstandene Schaden keinen bestimmten Grad an Erheblichkeit erreichen muss. Die Fragen dreht sich nur noch darum, wann ein Schaden vorliegt, wobei der EuGH mit dem hier diskutierten Urteil darauf eingegangen ist, dass als Schaden insbesondere auch der bloßen Verlust der Kontrolle über personenbezogene Daten infolge eines Verstoßes gegen die DSGVO zu betrachten ist. Und das selbst dann, wenn konkret keine missbräuchliche Verwendung der betreffenden Daten erfolgt sein sollte.
Ein solcher Kontrollverlust ist also für sich genommen ausreichend, um einen Schaden zu begründen. Offen ist nur noch die Frage, unter welchen Umständen ein solcher Kontrollverlust und somit ein Schaden vorliegt. Hierzu findet sich die wesentliche Aussage des EuGH unter Rn 85: „Insbesondere muss das angerufene nationale Gericht, wenn sich eine Person, die auf dieser Grundlage Schadenersatz fordert, auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft aufgrund eines solchen Verstoßes missbräuchlich verwendet werden, prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann.“
Bei einer Veröffentlichung im Darknet wird das wohl immer der Fall sein, außer es handelt sich beispielsweise um Daten die zuvor schon allgemein bekannt waren. Das kann sich natürlich im Hinblick auf die betroffenen Personen auch unterscheiden, wenn beispielsweise eine Person im Gegensatz zu anderen Personen ihre Anschrift oder Telefonnummer ohnehin auf ihrer eigenen Website veröffentlicht. Auch im Fall einer Fehlversendung könnte es beispielsweise eine Rolle spielen, ob die Informationen an einen Empfänger gelangt sind, der die Person ebenfalls kennt oder an einen vertrauenswürdigen Empfänger, der die Löschung bestätigt hat und keine ersichtliche Verwendung für die Daten hat.