EuGH stärkt Verbraucherrechte nach Hackerangriff auf bulgarische Behörde
- 18.12.2023
- Lesezeit 2 Minuten
Der Europäische Gerichtshof (EuGH) hat am 14. Dezember 2023 ein bahnbrechendes Urteil gefällt, das die Rechte von Verbrauchern in der EU erheblich erweitert.
EuGH legt neue Kriterien für immateriellen Schaden nach Hackerangriffen fest
Das Urteil (in dem Fall C-340/21) betrifft einen Hackerangriff aus dem Jahr 2019, bei dem eine bulgarische Behörde Millionen von persönlichen Daten im Internet preisgab. Etliche Betroffene hatten die Behörde nach Artikel 82 Absatz 1 der DSGVO auf Schadensersatz für den immateriellen Schaden verklagt, den sie durch die Angst vor einem möglichen Missbrauch ihrer Daten erlitten haben. Das bulgarische Gericht hat dem EuGH die Frage vorgelegt, wann eine Person, deren personenbezogene Daten nach einem Cyberangriff im Internet veröffentlicht wurden, einen Anspruch auf Schadensersatz für den immateriellen Schaden hat. Der EuGH hat entschieden, dass die bloße Sorge um einen möglichen Missbrauch personenbezogener Daten nach einem Hackerangriff als immaterieller Schaden angesehen werden kann. Dies macht es den Betroffenen von Datenpannen einfacher, ihre Ansprüche vor Gericht geltend zu machen.
Umkehr der Beweislast: Unternehmen müssen Nachweis über Wirksamkeit ihrer Sicherheitsmaßnahmen erbringen
Ein weiterer wichtiger Aspekt der Entscheidung betrifft die Beweislast im Zusammenhang mit Hackerangriffen. Unternehmen und Behörden, deren Systeme gehackt wurden, müssen nun beweisen, dass ihre Schutzmaßnahmen angemessen und wirksam waren. Die Unternehmen müssen nicht nur die Angemessenheit ihrer Schutzmaßnahmen beweisen, sondern auch nachweisen, dass sie "in keiner Weise für den Schaden haftbar" sind. Wie dies praktisch aussieht, ist völlig unklar. Auch bei technisch umfassenden und aktuellen Schutzmaßnahmen können Hackerangriffe nicht ausgeschlossen werden, da es auch immer zu menschlichem Versagen kommt.
Folgen des Urteils: Schadensersatzanspruch erheblich leichter durchsetzbar
Der EuGH hat mit seinem Urteil klare Kriterien für die Ahndung von Datenschutzverstößen festgelegt, die auf Cyberangriffe zurückzuführen sind. Unternehmen und Behörden sind dringend aufgefordert, ihre Sicherheitsmaßnahmen zu überprüfen und sicherzustellen, dass sie im Falle von Hackerangriffen ihrer Verantwortung gerecht werden. Die aktuelle Rechtsprechung erhöht das Risiko zusätzlich, denn Hackerangriffe nehmen weiter zu.
