Der EuGH hat im Urteil Rs. C‑340/21 vom 14. Dezember 2023 Vorlagefragen des Obersten Verwaltungsgerichts Bulgarien im Zusammenhang eines Cyberangriffs auf eine bulgarische Behörde beantwortet.
Hintergrund war ein Cyberangriff auf die Behörde, bei der Personendaten unbefugt im Internet veröffentlicht wurden. Das betraf offenbar mehr als 6 Millionen Personen, von denen tatsächlich einige Hundert auf Ersatz immateriellen Schadens geklagt hatten – der Schaden bestehe in der Befürchtung, dass veröffentlichte Personendaten missbraucht werden oder die Betroffenen erpresst, angegriffen oder entführt werden könnten.
Der EuGH beantwortet die in diesem Zusammenhang vorgelegten Fragen wie folgt. Insgesamt ergibt sich daraus, dass im Fall eines Cyberangriffs
- zu prüfen ist, ob er durch mangelnde Datensicherheit ermöglicht wurde;
- dabei muss das Gericht konkret die Risiken (ex ante) und die Angemessenheit der getroffenen Massnahmen prüfen, ggf. unter Beizug eines Sachverständigengutachtens;
- falls die Massnahmen unzureichend waren und der Angriff dadurch kausal ermöglicht wurde, kann der Verantwortliche auch für immateriellen Schaden haften;
- dieser Schaden kann in der Befürchtung bestehen, dass Daten in Zukunft missbraucht werden könnten.
Im Einzelnen:
- Art. 24 und 32 DSGVO sind so auszulegen, dass eine unbefugte Offenlegung von Daten durch Dritte noch nicht belegt, dass die Sicherheitsmassnahmen des Verantwortlichen nicht „geeignet“ waren. Das ergebe sich daraus, dass Art. 32 DSGVO nur „ein dem Risiko angemessenes Schutzniveau“ verlangt und
[…] zeigt, dass mit der DSGVO ein Risikomanagementsystem eingeführt und in ihr in keiner Weise behauptet wird, dass sie das Risiko von Verletzungen des Schutzes personenbezogener Daten beseitigt.
- Wenn eine Stelle wie z.B. ein Gericht die Angemessenheit der Sicherheitsmassnahmen prüft, muss es zweistufig vorgehen – zuerst muss es die Risiken bestimmen und danach prüfen, ob die TOMs angemessen sind. Der Verantwortliche verfügt dabei über einen gewissen Entscheidungsspielraum.
- Ein Gericht muss die Beurteilung des Verantwortlichen aber dennoch bewerten können. Dazu muss es eine “materielle Prüfung dieser Massnahmen” vornehmen, durch eine
konkrete Untersuchung sowohl der Art als auch des Inhalts der vom Verantwortlichen getroffenen Maßnahmen, der Art und Weise, in der diese Maßnahmen angewandt wurden, und ihrer praktischen Auswirkungen auf das Sicherheitsniveau, das der Verantwortliche in Anbetracht der mit dieser Verarbeitung verbundenen Risiken zu gewährleisten hatte
- Die Beweislast für die Angemessenheit liegt aber beim Verantwortlichen:
Aus dem Wortlaut von Art. 5 Abs. 2, Art. 24 Abs. 1 und Art. 32 Abs. 1 DSGVO geht eindeutig hervor, dass die Beweislast dafür, dass personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit dieser Daten […] gewährleistet, dem für die betreffende Verarbeitung Verantwortlichen obliegt […]. Diese drei Artikel formulieren somit eine allgemein anwendbare Regel, die mangels gegenteiliger Anhaltspunkte in der DSGVO auch im Rahmen einer auf Art. 82 DSGVO gestützten Schadenersatzklage anzuwenden ist.
- Wenn ein Gericht die Angemessenheit von Sicherheitsmassnahmen beurteilt, kann es ein Sachverständigengutachten berücksichtigen. Das Beweisverfahren unterliegt dem mitgliedstaatlichem Recht; das Unionsrecht verlangt nur, dass die nationalen Verfahrensregelungen bei unionsrechtlich geregelten Sachverhalten nicht ungünstiger sind als für gleichartige Sachverhalte, die innerstaatlichem Recht unterliegen (Äquivalenzgrundsatz), und sie dürfen die Ausübung der Rechte nach dem Unionsrecht nicht praktisch unmöglich machen oder übermäßig erschweren (Effektivitätsgrundsatz). Man darf ein Gutachten deshalb zwar natürlich beiziehen, aber es nicht als generell notwendig und ausreichend betrachten.
- Schadenersatz setzt voraus, dass ein Schaden erstand, dass er kausal durch einen mit der Verarbeitung im Zusammenhang stehenden Verstoss gegen die DSGVO verursacht wurde, und dass der Verantwortliche nicht nachweist, dass er nicht für den Schadenverantwortlich ist.
- Im Fall einer Cyberattacke kann die Verletzung der DSGVO dem Verantwortlichen nur zugerechnet werden, wenn er die Verletzung unter Verletzung der DSGVO ermöglicht hat. Er kann bzw. muss daher nachweisen, dass es keine Verletzung der DSGVO gab oder aber dass diese nicht kausal war für den Schaden. Dass Dritte einen Angriff verübt haben, genügt dafür allerdings noch nicht.
- Ein immaterieller Schaden kann nicht nur darin liegen, dass Personendaten missbräuchlich verwendet werden, sondern auch in der Angst, dass Daten in Zukunft missbraucht werden könnten, denn aus der
beispielhaften Aufzählung der „Schäden“, die den betroffenen Personen entstehen können, geht hervor, dass der Unionsgesetzgeber unter den Begriff „Schaden“ insbesondere auch den bloßen „Verlust der Kontrolle“ über ihre eigenen Daten infolge eines Verstoßes gegen die DSGVO fassen wollte, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte.
- Behauptet eine betroffene Person einen immateriellen Schaden, muss sie diesen nachweisen. Behauptet sie zu befürchten, ein Missbrauch ihrer Daten drohe in Zukunft,ist zu prüfen, ob diese Befürchtung “unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden” kann.