Der EuGH hat im Urteil Rs. C‑340/21 vom 14. Dezem­ber 2023 Vor­la­ge­fra­gen des Ober­sten Ver­wal­tungs­ge­richts Bul­ga­ri­en im Zusam­men­hang eines Cyber­an­griffs auf eine bul­ga­ri­sche Behör­de beantwortet.

Hin­ter­grund war ein Cyber­an­griff auf die Behör­de, bei der Per­so­nen­da­ten unbe­fugt im Inter­net ver­öf­fent­licht wur­den. Das betraf offen­bar mehr als 6 Mil­lio­nen Per­so­nen, von denen tat­säch­lich eini­ge Hun­dert auf Ersatz imma­te­ri­el­len Scha­dens geklagt hat­ten – der Scha­den bestehe in der Befürch­tung, dass ver­öf­fent­lich­te Per­so­nen­da­ten miss­braucht wer­den oder die Betrof­fe­nen erpresst, ange­grif­fen oder ent­führt wer­den könnten.

Der EuGH beant­wor­tet die in die­sem Zusam­men­hang vor­ge­leg­ten Fra­gen wie folgt. Ins­ge­samt ergibt sich dar­aus, dass im Fall eines Cyberangriffs

  • zu prü­fen ist, ob er durch man­geln­de Daten­si­cher­heit ermög­licht wurde;
  • dabei muss das Gericht kon­kret die Risi­ken (ex ante) und die Ange­mes­sen­heit der getrof­fe­nen Mass­nah­men prü­fen, ggf. unter Bei­zug eines Sachverständigengutachtens;
  • falls die Mass­nah­men unzu­rei­chend waren und der Angriff dadurch kau­sal ermög­licht wur­de, kann der Ver­ant­wort­li­che auch für imma­te­ri­el­len Scha­den haften;
  • die­ser Scha­den kann in der Befürch­tung bestehen, dass Daten in Zukunft miss­braucht wer­den könnten.

Im Ein­zel­nen:

  • Art. 24 und 32 DSGVO sind so aus­zu­le­gen, dass eine unbe­fug­te Offen­le­gung von Daten durch Drit­te noch nicht belegt, dass die Sicher­heits­mass­nah­men des Ver­ant­wort­li­chen nicht „geeig­net“ waren. Das erge­be sich dar­aus, dass Art. 32 DSGVO nur „ein dem Risi­ko ange­mes­se­nes Schutz­ni­veau“ ver­langt und
    […] zeigt, dass mit der DSGVO ein Risi­ko­ma­nage­ment­sy­stem ein­ge­führt und in ihr in kei­ner Wei­se behaup­tet wird, dass sie das Risi­ko von Ver­let­zun­gen des Schut­zes per­so­nen­be­zo­ge­ner Daten beseitigt.
  • Wenn eine Stel­le wie z.B. ein Gericht die Ange­mes­sen­heit der Sicher­heits­mass­nah­men prüft, muss es zwei­stu­fig vor­ge­hen – zuerst muss es die Risi­ken bestim­men und danach prü­fen, ob die TOMs ange­mes­sen sind. Der Ver­ant­wort­li­che ver­fügt dabei über einen gewis­sen Ent­schei­dungs­spiel­raum.
  • Ein Gericht muss die Beur­tei­lung des Ver­ant­wort­li­chen aber den­noch bewer­ten kön­nen. Dazu muss es eine “mate­ri­el­le Prü­fung die­ser Mass­nah­men” vor­neh­men, durch eine

    kon­kre­te Unter­su­chung sowohl der Art als auch des Inhalts der vom Ver­ant­wort­li­chen getrof­fe­nen Maß­nah­men, der Art und Wei­se, in der die­se Maß­nah­men ange­wandt wur­den, und ihrer prak­ti­schen Aus­wir­kun­gen auf das Sicher­heits­ni­veau, das der Ver­ant­wort­li­che in Anbe­tracht der mit die­ser Ver­ar­bei­tung ver­bun­de­nen Risi­ken zu gewähr­lei­sten hatte

  • Die Beweis­last für die Ange­mes­sen­heit liegt aber beim Ver­ant­wort­li­chen:

    Aus dem Wort­laut von Art. 5 Abs. 2, Art. 24 Abs. 1 und Art. 32 Abs. 1 DSGVO geht ein­deu­tig her­vor, dass die Beweis­last dafür, dass per­so­nen­be­zo­ge­ne Daten in einer Wei­se ver­ar­bei­tet wer­den, die eine ange­mes­se­ne Sicher­heit die­ser Daten […] gewähr­lei­stet, dem für die betref­fen­de Ver­ar­bei­tung Ver­ant­wort­li­chen obliegt […]. Die­se drei Arti­kel for­mu­lie­ren somit eine all­ge­mein anwend­ba­re Regel, die man­gels gegen­tei­li­ger Anhalts­punk­te in der DSGVO auch im Rah­men einer auf Art. 82 DSGVO gestütz­ten Scha­den­er­satz­kla­ge anzu­wen­den ist.

  • Wenn ein Gericht die Ange­mes­sen­heit von Sicher­heits­mass­nah­men beur­teilt, kann es ein Sach­ver­stän­di­gen­gut­ach­ten berück­sich­ti­gen. Das Beweis­ver­fah­ren unter­liegt dem mit­glied­staat­li­chem Recht; das Uni­ons­recht ver­langt nur, dass die natio­na­len Ver­fah­rens­re­ge­lun­gen bei uni­ons­recht­lich gere­gel­ten Sach­ver­hal­ten nicht ungün­sti­ger sind als für gleich­ar­ti­ge Sach­ver­hal­te, die inner­staat­li­chem Recht unter­lie­gen (Äqui­va­lenz­grund­satz), und sie dür­fen die Aus­übung der Rech­te nach dem Uni­ons­recht nicht prak­tisch unmög­lich machen oder über­mä­ßig erschwe­ren (Effek­ti­vi­täts­grund­satz). Man darf ein Gut­ach­ten des­halb zwar natür­lich bei­zie­hen, aber es nicht als gene­rell not­wen­dig und aus­rei­chend betrachten.
  • Scha­den­er­satz setzt vor­aus, dass ein Scha­den erstand, dass er kau­sal durch einen mit der Ver­ar­bei­tung im Zusam­men­hang ste­hen­den Ver­stoss gegen die DSGVO ver­ur­sacht wur­de, und dass der Ver­ant­wort­li­che nicht nach­weist, dass er nicht für den Scha­den­ver­ant­wort­lich ist.
  • Im Fall einer Cyber­at­tacke kann die Ver­let­zung der DSGVO dem Ver­ant­wort­li­chen nur zuge­rech­net wer­den, wenn er die Ver­let­zung unter Ver­let­zung der DSGVO ermög­licht hat. Er kann bzw. muss daher nach­wei­sen, dass es kei­ne Ver­let­zung der DSGVO gab oder aber dass die­se nicht kau­sal war für den Scha­den. Dass Drit­te einen Angriff ver­übt haben, genügt dafür aller­dings noch nicht.
  • Ein imma­te­ri­el­ler Scha­den kann nicht nur dar­in lie­gen, dass Per­so­nen­da­ten miss­bräuch­lich ver­wen­det wer­den, son­dern auch in der Angst, dass Daten in Zukunft miss­braucht wer­den könn­ten, denn aus der

    bei­spiel­haf­ten Auf­zäh­lung der „Schä­den“, die den betrof­fe­nen Per­so­nen ent­ste­hen kön­nen, geht her­vor, dass der Uni­ons­ge­setz­ge­ber unter den Begriff „Scha­den“ ins­be­son­de­re auch den blo­ßen „Ver­lust der Kon­trol­le“ über ihre eige­nen Daten infol­ge eines Ver­sto­ßes gegen die DSGVO fas­sen woll­te, selbst wenn kon­kret kei­ne miss­bräuch­li­che Ver­wen­dung der betref­fen­den Daten zum Nach­teil die­ser Per­so­nen erfolgt sein sollte.

  • Behaup­tet eine betrof­fe­ne Per­son einen imma­te­ri­el­len Scha­den, muss sie die­sen nach­wei­sen. Behaup­tet sie zu befürch­ten, ein Miss­brauch ihrer Daten dro­he in Zukunft,ist zu prü­fen, ob die­se Befürch­tung “unter den gege­be­nen beson­de­ren Umstän­den und im Hin­blick auf die betrof­fe­ne Per­son als begrün­det ange­se­hen wer­den” kann.