Ein wegweisendes Urteil des Europäischen Gerichtshofs vom 7. Dezember 2023 (C-340/21) bestätigt das Recht auf Schadensersatz für Betroffene von Datenlecks, selbst wenn kein finanzieller Schaden vorliegt. Dieses Urteil stärkt die Position von Personen, deren Daten aufgrund von Sicherheitsverstößen kompromittiert wurden. Unternehmen und Behörden, die Daten verwalten, müssen beweisen, dass sie angemessene Maßnahmen zum Schutz dieser Daten ergriffen haben.
Im Detail legt das Urteil fest, dass Personen, die durch ein Datenleck geschädigt wurden, das Recht haben, Schadensersatz von der Organisation zu fordern, die die Daten nicht ausreichend geschützt hat. Diese Entscheidung folgt auf eine Klage von mehreren Betroffenen, deren persönliche Informationen im Jahr 2019 während eines Hackerangriffs auf die bulgarische Steuerbehörde entwendet wurden. Dieses Leck betraf mehr als die Hälfte der bulgarischen Bevölkerung, wodurch das Ausmaß des Problems deutlich wurde.
Das Gericht urteilte, dass bereits die Sorge um den potenziellen Missbrauch persönlicher Daten als immaterieller Schaden ausreichend ist, um Schadensersatzansprüche zu rechtfertigen. Dieses Urteil basiert auf der Datenschutz-Grundverordnung (DSGVO), die den Schutz personenbezogener Daten in der EU regelt und die Rechte von Individuen bei Datenschutzverletzungen stärkt.
In der Praxis müssen Gerichte nun bewerten, ob die Schutzmaßnahmen, die von den Datenverantwortlichen implementiert wurden, adäquat waren. Die Verantwortlichen tragen die Beweislast, dass sie angemessene und wirksame Vorkehrungen getroffen haben, um die Daten zu schützen. Selbst wenn Dritte wie Hacker unberechtigten Zugriff auf die Daten erlangt haben, kann der Datenhalter haftbar gemacht werden, es sei denn, er kann nachweisen, dass er in keiner Weise für den entstandenen Schaden verantwortlich ist.
Die Bedeutung dieses Urteils wird von Datenschutzexperten, wie Max Schrems von der Organisation noyb, gelobt. Schrems betont, dass das Erkennen von immateriellen Schäden bei Datenverletzungen entscheidend ist, da materielle Schäden oft schwer nachweisbar sind. Er begrüßt, dass der EuGH die DSGVO nach ihrem ursprünglichen Wortlaut und Zweck auslegt und nicht die in manchen europäischen Ländern übliche restriktive Interpretation von Schadenersatzansprüchen anwendet.
Schrems hebt hervor, dass es keine perfekte Sicherheit gibt, aber Unternehmen und Behörden sind verpflichtet, alle nach dem Stand der Technik angemessenen Maßnahmen zu treffen, um ihre Systeme zu sichern. Das EuGH-Urteil bietet eine praktische und ausgewogene Lösung für ein zunehmend wichtiges Problem, da Millionen von Menschen jedes Jahr von Datenlecks betroffen sind. Diese Lecks entstehen häufig durch Hacking, unbezahlte Ransomware-Erpressungen oder technisches Versagen aufgrund von Sicherheitslücken, wobei persönliche Daten an Unbefugte gelangen.