Der Europäische Gerichtshof hat entschieden, dass bereits die Befürchtung eines möglichen Missbrauchs personenbezogener Daten ausreichen kann, um bei Datenlecks Schadensersatz geltend zu machen. In dem Urteil wird betont, dass die Beweislast für geeignete Maßnahmen beim Verantwortlichen für die Datenverarbeitung liegt.
Konkretisierung der Datenschutz-Grundverordnung durch EuGH
Nachdem bei einem Cyberangriff auf die bulgarische Nationale Agentur für Einnahmen (NAP) personenbezogene Daten von Millionen von Menschen im Internet veröffentlicht worden sein sollen, hatten mehrere Personen die NAP auf Ersatz des immateriellen Schadens verklagt. Das bulgarische Oberste Verwaltungsgericht ging daraufhin mit mehreren Fragen zur Auslegung der Datenschutz-Grundverordnung (DSGVO) an den Europäischen Gerichtshof (EuGH).
Nun entschied der EuGH, dass bei Datenlecks die Gerichte konkret beurteilen müssten, ob die Maßnahmen, die der für die Datenverarbeitung Verantwortliche ergriffen hat, geeignet waren. Die Beweislast dafür liegt nach dem Urteil beim Verantwortlichen.
Missbrauchsbefürchtungen als immaterieller Schaden
Der EuGH deutete weiterhin an, dass die Person, die für die Datenverarbeitung verantwortlich ist, den Personen, denen ein Schaden entstanden ist, ersatzpflichtig sein kann – es sei denn, er weist nach, dass er in keinerlei Hinsicht für den Schaden verantwortlich ist. Der Gerichtshof betonte zudem, dass bereits die Befürchtung eines Missbrauchs personenbezogener Daten einen „immateriellen Schaden“ darstellen kann. „Allerdings könne allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, einen ‚immateriellen Schaden‘ darstellen“, so der EuGH. Diese Rechtsauffassung könnte weitreichende Konsequenzen für die Haftung bei Datenschutzverstößen haben.
