Der Generalanwalt am EuGH hat am 27.4.2023 seine Schlussanträge im Verfahren C-340/21 über die Voraussetzungen des Ersatzes eines immateriellen Schadens und der Beweislast für die Geeignetheit von technisch organisatorischen Maßnahmen nach Art. 32 DSGVO (TOMs) im Zusammenhang mit einem Hackerangriff veröffentlicht.

Das Verfahren weist einen für die Praxis wichtigen Bezug zu den Themen Datenschutz und IT Security auf, sodass die künftige Entscheidung des EuGH für die Umsetzung der TOMs durch den Verantwortlichen relevant sein wird.

Hintergrund

Ausgangspunkt des verhandelten Falles war ein Hackerangriff, in dessen Zuge ein unbefugter Zugriff zum Informationssystem der Nationalen Agentur für Einnahmen (NAP) Bulgariens erfolgte und in der Folge Steuer- und Sozialversicherungsdaten von Millionen Menschen im Internet veröffentlicht wurden. Daraufhin verklagten mehrere Personen die NAP auf Ersatz eines immateriellen Schadens.

Das Oberste Verwaltungsgericht Bulgarien legte dem EuGH dazu mehrere Vorlagefragen vor. Besonderer Bedeutung kommt dabei der Frage zu, ob in einem Fall der gesicherten Verletzung des Schutzes personenbezogener Daten allein die von der betroffenen Person erlittenen Sorgen, Befürchtungen und Ängste vor einem möglichen künftigen Missbrauch personenbezogener Daten unter den weit auszulegenden Begriff des immateriellen Schadens fallen, wenn ein solcher Missbrauch nicht festgestellt wurde und/oder kein weiterer Schaden der betroffenen Person entstanden ist. Ferner wurden dem EuGH Fragen zur Geeignetheit von TOMs, deren gerichtlicher Überprüfung und der Beweislast vorgelegt.

Vorlagefragen und Ansicht des Generalanwalts

Folgende Vorlagefragen wurden dem EuGH gestellt, zu denen der Generalanwalt die dargelegten Ansichten vertritt.

1. Gelten TOMs als ungeeignet, wenn eine unbefugte Offenlegung / Zugang zu personenbezogenen Daten durch Dritte erfolgt?

Kernaussage: Die Verletzung des Schutzes personenbezogener Daten führt nicht dazu, dass die TOMs per se als ungeeignet gelten.

• Der Verantwortliche verfügt über ein Ermessen bei der Auswahl des TOMs. Jedoch muss er die in Art. 24 und Art. 32 DSGVO vorgegebenen Faktoren bei der Auswahl berücksichtigen (u.a. Verarbeitungszwecke, Schwere der Risiken für die Betroffenen).
• Die Geeignetheit der getroffenen Maßnahmen kann gerichtlich überprüft werden.
• Der Verantwortliche muss nach Art. 32 DSGVO den Stand der Technik berücksichtigen. Es kann also nur das an technischen Maßnahmen von dem Verantwortlichen verlangt werden, was zum Zeitpunkt der Umsetzung der TOMs dem Stand der Technik entspricht und vernünftigerweise umsetzbar ist, wobei eine Abwägung zwischen der Gefahrenabwehr, des aktuellen Stands der Technik (worunter auch der aktuelle Stand von Wissenschaft, Technologie und Forschung fällt) sowie der Implementierungskosten für den Verantwortlichen stattfinden muss.
• Auch geeignete Maßnahmen können nach Ansicht des Generalanwalts trotzdem von Cyberkriminellen umgangen werden. Hierfür verweist er zurecht auf Art. 32 Abs. 1 lit. c) DSGVO, wonach zu den umzusetzenden TOMs auch Maßnahmen zur raschen Wiederherstellung von personenbezogenen Daten nach physischen oder technischen Zwischenfällen zu ergreifen sind. Dieser Regelung hätte es nicht bedurft, wenn eine Verletzung des Schutzes personenbezogener Daten stets ausgeschlossen werden muss. Deswegen kann es nicht die Intention des Gesetzgebers sein, dass der Verantwortliche jede Verletzung personenbezogener Daten verhindern Vielmehr muss der Nachweis des Verantwortlichen ausreichen, dass er die ihm auferlegten Pflichten ordnungsgemäß erfüllt hat.
• Die Beurteilung der Geeignetheit erfolgt im Rahmen einer Verhältnismäßigkeitsprüfung, bei der einerseits die Interessen der Betroffenen an ein hohes Schutzniveau und andererseits die wirtschaftlichen Interessen und technischen Möglichkeiten des Verantwortlichen zu berücksichtigen sind.

2. Welchen Umfang soll die gerichtliche Prüfung der getroffenen TOMs im Hinblick auf ihre Geeignetheit nach Art. 32 DSGVO haben?

Kernaussage: Das nationale Gericht muss eine Überprüfung vornehmen, welche die konkrete Analyse, den Inhalt der TOMs sowie die Art und Weise ihrer Durchführung und praktischen Auswirkungen beinhaltet.

• Die DSGVO enthält keine verbindlichen Vorschriften für die Bestimmung der TOMs, die der Verantwortliche zu treffen hat.
• Das Gericht überprüft nicht, ob der Verantwortliche formal bestimmte TOMs vorgesehen hat, sondern die Art und Weise der Umsetzung, deren Auswirkungen sowie die Erfüllung der in Art. 24 und 32 DSGVO genannten Anforderungen nach Maßgabe der vorliegenden Beweismittel und der Umstände des Einzelfalls.

3. Trägt der Verantwortliche die Beweislast dafür, dass die TOMs nach Art. 32 DSGVO geeignet sind? Reicht die Einholung eines Sachverständigengutachtens aus, wenn die der unbefugte Zugang / die Offenlegung Folge eines Hackerangriffs sind?

Kernaussage: Der Verantwortliche muss nachweisen, dass die von ihm ergriffenen TOMs gemäß Art. 32 DSGVO geeignet waren.

• Der Verantwortliche trägt die Beweislast dafür, dass die von ihm ergriffenen technischen und organisatorischen Maßnahmen geeignet waren, weil der Betroffene in der Praxis keinen Nachweis über die Ungeeignetheit der von dem Verantwortlichen implementierten TOMs erbringen können wird. Die Beweislast für den Verstoß, den daraus entstandenen Schaden und den Kausalzusammenhang zwischen beidem trägt aber weiterhin die betroffene Person.
• Hinsichtlich der Einholung eines Sachverständigengutachtens verweist der Generalanwalt auf die mitgliedstaatlichen Regelungen, da die DSGVO keine Vorschriften zur Festlegung der zulässigen Beweismittel und deren Beweiskraft trifft.

4. Schließt der Umstand, dass der unbefugte Zugang / die Offenlegung durch Dritte mittels Hackerangriffs erfolgt, die Haftung des Verantwortlichen aus?

Kernaussage: Der Umstand, dass der Verstoß von einem Dritten begangenen wurde, führt nicht zu einer Haftungsbefreiung des Verantwortlichen. Um die Haftung auszuschließen, muss er vielmehr nachweisen, dass er für den Verstoß in keinerlei Hinsicht verantwortlich ist.

• 82 Abs. 3 DSGVO gewährt dem Verantwortlichen die Möglichkeit eines Entlastungsbeweises, wonach er von der Haftung befreit werden kann, wenn ihm der Nachweis gelingt, dass er in keinerlei Hinsicht (hohes Beweisniveau) für das den Schaden auslösende Ereignis verantwortlich ist. Hierzu muss er nachweisen, dass er alles Mögliche getan hat, um die Verfügbarkeit und den Zugang zu den Daten rasch wiederherzustellen.
• Kein Haftungsausschluss bei einem Cyberangriff, da dieser Umstand auf der Nachlässigkeit des Verantwortlichen (z.B. durch ungeeignete TOMs) beruhen kann und eine Haftungsbefreiung für Angriffe Externe die Rechte der Betroffenen schwächt und unvereinbar mit dem Schutzziel der DSGVO ist.

5. Reichen die von dem Betroffenen erlittenen Sorgen, Befürchtungen und Ängste vor einem möglichen Missbrauch seiner personenbezogenen Daten für die Begründung eines immateriellen Schadensersatzanspruchs aus?

Kernaussage: Nur wenn die betroffene Person nachweist, dass sie individuell einen realen und sicheren emotionalen Schaden erlitten hat, kann bereits die Befürchtung eines möglichen künftigen Missbrauchs ihrer personenbezogenen Daten einen immateriellen Schaden darstellen.

• Der Schaden, der in der Befürchtung eines möglichen künftigen Missbrauchs ihrer personenbezogenen Daten infolge eines Hackerangriffs besteht und dessen Vorhandensein die betroffene Person nachgewiesen hat, kann einen immateriellen Schaden darstellen.
• Nach Ansicht des Generalanwalts ist jedoch nicht jeder immaterielle Schaden, unabhängig von seiner Schwere, ersatzfähig. Letztlich liegt die Grenze zwischen bloßen (nicht ersatzfähigen) Beunruhigungen und echten (ersatzfähigen) immateriellen Schäden. Der Umstand, dass ein Missbrauch noch nicht eingetreten ist, sondern nur möglich ist, kann für einen immateriellen Schaden ausreichen.
• Dazu muss die betroffene Person allerdings nachweisen, dass ihr bereits die bloße Befürchtung konkret einen realen und sicheren emotionalen Schaden zugefügt hat und die hierzu führenden Tatsachen konkret darlegen. Nach Auffassung des Generalanwalts ist hierfür entscheidend, dass es sich nicht um eine bloße subjektive und veränderliche Wahrnehmung handelt, sondern um die Objektivierung einer nachweisbaren Beeinträchtigung der physischen oder psychischen Sphäre oder des Beziehungslebens einer Person.

Ausblick und Empfehlung:

In dem Verfahren liegt noch keine abschließende Entscheidung des EuGH vor. Zwar sind die Anträge des Generalanwalts nicht bindend, die Vergangenheit zeigt aber, dass der EuGH dem Generalanwalt oft im Ergebnis folgt.

Zukünftig wird für die Praxis einerseits sehr relevant sein, welche Form von Nachweisen durch Betroffene nationale Gerichte als hinreichend erachten, um einen ersatzfähigen immateriellen Schaden anzunehmen. Hinsichtlich der nach Art. 24 und Art. 32 DSGVO zu ergreifenden TOMs ist zum anderen die Klarstellung des Generalanwalts, dass eine Datenschutzverletzung nicht deren Ungeeignetheit indiziert, für Verantwortliche ein positiver Aspekt. Gleichwohl obliegt Verantwortlichen die Beweislast für die Geeignetheit, sodass entsprechende Nachweise von elementarer Wichtigkeit sind.

Insofern empfehlen wir Unternehmen, lückenlose Nachweise der implementierten TOMs und insbesondere eine Bewertung der Geeignetheit dieser Maßnahmen vorzuhalten und im Falle von Datenschutzvorfällen umgehend die erforderlichen Maßnahmen einzuleiten sowie dies revisionssicher zu dokumentieren, um diesbezüglich das Haftungsrisiko auszuschließen.