Der Europäische Gerichtshof (EuGH) hat geurteilt, dass im Fall der unbefugten Offenlegung oder des Zugangs zu personenbezogenen Daten durch Cyberkriminelle der Verantwortliche gegenüber den Personen, denen ein Schaden entstanden ist, ersatzpflichtig sein kann, es sei denn, er weise nach, dass er in keinerlei Hinsicht für den Schaden verantwortlich sei.
Die bulgarische Nationale Agentur für Einnahmen (NAP) hatte den Gerichtshof angerufen, nachdem infolge eines Cyberangriffs auf ihr System personenbezogene Daten von Millionen von Menschen im Internet veröffentlicht worden seien. Zahlreiche Personen verklagten die NAP auf Ersatz des immateriellen Schadens, der ihnen aus der Befürchtung eines möglichen Missbrauchs ihrer Daten entstanden sein soll.
Und genau dies bejahte der EuGH: Allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, kann einen „immateriellen Schaden“ darstellen, teilte das Gericht mit.
Allerdings ist dieser Umstand kein Automatismus: Im Fall der unbefugten Offenlegung von beziehungsweise des unbefugten Zugangs zu personenbezogenen Daten können die Gerichte aus diesem Umstand allein nicht ableiten, dass die Schutzmaßnahmen, die der für die Datenverarbeitung Verantwortliche ergriffen hat, nicht geeignet waren. Die Gerichte müssen die Geeignetheit dieser Maßnahmen konkret beurteilen, heißt es vom EuGH weiter. Der Verantwortliche trage die Beweislast dafür, dass die getroffenen Schutzmaßnahmen geeignet waren, schreibt das Gericht.
