Der EuGH hat in einem aktuellen Urteil Spektakuläres entschieden, das die Rechte von Millionen von Verbrauchern in der EU enorm stärkt. Wurden die eigenen Daten infolge eines Hackerangriffs missbraucht, so stehen die Chancen, dafür immateriellen DSGVO-Schadensersatz zu erhalten, besser denn je. Denn zum einen reicht bereits die Befürchtung eines Datenmissbrauchs aus, um Schadensersatz zu erhalten. Und zum anderen können Unternehmen, deren Systeme gehackt wurden, praktisch kaum noch vortragen, dass sie daran keine Schuld tragen. Die Urteilsgründe und Folgen erläutert Rechtsanwalt Christian Solmecke von WBS.LEGAL:
„Wir vertreten bereits zehntausende Betroffene im Fall des Facebook-Datenlecks. Ihre Chancen auf bis zu 1000 Euro Schadensersatz wurden mit diesem EuGH-Urteil enorm gestärkt. Das motiviert uns, auch zukünftig Verbraucher, deren Daten bei Hackerangriffen und Datenlecks abhandengekommen sind, zu unterstützen und dadurch zu mehr Datensicherheit in Deutschland und Europa beizutragen.“
In dem Fall war eine bulgarische Behörde im Jahr 2019 Opfer eines Hackerangriffs geworden. In der Folge wurden personenbezogene Daten von Millionen von Menschen im Internet veröffentlicht. Zahlreiche Personen verklagten die Behörde aus Art. 82 Abs. 1 Datenschutzgrundverordnung (DSGVO) auf Ersatz des immateriellen Schadens, der ihnen aus der Befürchtung eines möglichen Missbrauchs ihrer Daten entstanden sein soll. Das bulgarische Gericht wollte vom EuGH wissen, wann eine Person, deren personenbezogene Daten nach einem Angriff von Cyberkriminellen im Internet veröffentlicht wurden, Ersatz des immateriellen Schadens verlangen kann. Und der EuGH hat nun auf ganzer Linie für die Verbraucher entschieden (Urt. v. 14.12.2023, Rs. C-340/21)!
Facebook-Datenleck – jetzt prüfen
Jetzt Handynummer eingeben und sofort zeigt der Checker Ihnen an, ob Sie betroffen sind:
Hinweis: Wir verwenden deine Mobilfunknummer zur Überprüfung, ob du von dem Facebook-Datenleak betroffen bist. Der Abgleich deiner Mobilfunknummer erfolgt auf unserem Server. Eine Weitergabe an Dritte erfolgt nicht. Unmittelbar nach dem Abgleich und Ausspielung des Ergebnisses an dich, wird deine Mobilfunknummer bei uns gelöscht. Die Verarbeitung ist im Rahmen unserer Vertragserfüllung erforderlich, da die beauftragte Überprüfung sonst nicht möglich ist, Art. 6 (1) lit. b DS-GVO.
Angst vor Missbrauch reicht aus, um DSGVO-Schadensersatz zu begründen
Das Wichtigste, das der EuGH entschieden hat, ist: Es kann bereits einen „immateriellen Schaden“ darstellen, wenn eine von einem Hackerangriff betroffene Person befürchtet, dass ihre personenbezogenen Daten durch Dritte missbraucht werden.
RA Christian Solmecke: „Dies ist meiner Meinung nach das einzige richtige Ergebnis. Schließlich ist in der DSGVO ein weites Verständnis des Schadensbegriffs festgelegt. Den Gesetzgebern der DSGVO ging es darum, die Rechte von Verbrauchern zu stärken. Im Einklang mit diesen Zielen der DSGVO hat der EuGH nun entschieden und in seinen Urteilsgründen dieses Verständnis auch noch einmal betont.
Zwar hatte der Generalanwalt in seinen Schlussanträgen ebenfalls betont, dass allein die Befürchtung eines künftigen Missbrauchs Schadensersatz begründen könne. Er wollte dies aber einschränken, indem er forderte, es müsse sich um einen ‚realen und sicheren emotionalen Schaden und nicht nur um ein Ärgernis oder eine Unannehmlichkeit‘ handeln. Diese unscharfe Differenzierung nachzuweisen, hätte es für Verbraucher vor Gericht schwieriger gemacht. Der EuGH hat sich jedoch gegen eine solche Einschränkung entschieden.
Bereits im Mai hatte der EuGH die Rechte von Verbrauchern gestärkt, als er entschied, dass es keine ‚Erheblichkeitsschwelle‘ für die Schwere des Schadens geben dürfe, um immateriellen Schadensersatz zu verlangen (Urt. v. 04.05.2023, Rs. C-300/21).“
Unternehmen können sich praktisch nicht mehr entlasten
Auch die weiteren Vorlagefragen hat der EuGH sehr verbraucherfreundlich entschieden und damit die Geltendmachung von Schadensersatz erleichtert: Denn im Fall eines Hackerangriffs tragen die vom Angriff betroffenen Behörden bzw. Unternehmen die Beweislast dafür, dass ihre Schutzmaßnahmen geeignet waren. Und nicht nur das: Sie müssen nachweisen, dass sie „in keinerlei Hinsicht für den Schaden verantwortlich“ sind.
RA Christian Solmecke: „Unternehmen, die Kundendaten nicht ausreichend gegen Hackerangriffe gesichert haben, werden es infolge des EuGH-Urteils sehr schwer haben, sich zu entlasten. Schon jetzt zeigt unsere Praxiserfahrung, dass diese Beweisführung Unternehmen kaum gelingt. Dass sie ‚in keinerlei Hinsicht‘ verantwortlich sind, ist praktisch fast unmöglich, nachzuweisen. Denn schließlich zeigt es sich oft erst im Nachhinein, welche Sicherheitslücke man ganz offensichtlich doch übersehen hat.“