18. Dezember 2023
Karsten Füllhaase

EuGH: Unbefugte Offenbarung kann einen immateriellen Schaden darstellen

Am 14.12.2023 urteilte der EuGH in der Rechtssache C-340/21. Darin klagte eine betroffene Person in Bulgarien auf immateriellen Schadenersatz, weil die bulgarische Nationale Agentur für Einnahmen (NAP, dem bulgarischen Finanzminister unterstellte Agentur) im Rahmen eines Cyberangriffs personenbezogene Daten im Internet veröffentlicht wurden.

Das bulgarische Oberste Verwaltungsgericht hatte dem EuGH mehrere Fragen vorgelegt, verkürzt ausgedrückt u.a.

  • Trägt der Verantwortliche die Beweislast dafür, dass die getroffenen technischen und organisatorischen Maßnahmen nach Art. 32 der Verordnung geeignet sind?
  • Sind Art. 82 Abs. 1 und Abs. 2 in Verbindung mit den Erwägungsgründen 85 und 146 DS-GVO  dahin auszulegen, dass allein die von der betroffenen Person erlittenen Sorgen, Befürchtungen und Ängste vor einem möglichen künftigen Missbrauch personenbezogener Daten unter den weit auszulegenden Begriff des immateriellen Schadens fallen und zum Schadensersatz berechtigen?

Der EuGH urteilte:

  1. Im Fall der unbefugten Offenlegung von bzw. des unbefugten Zugangs zu personenbezogenen Daten können die Gerichte aus diesem Umstand allein nicht ableiten, dass die Schutzmaßnahmen, die der für die Datenverarbeitung Verantwortliche ergriffen hat, nicht geeignet waren. Die Gerichte müssen die Geeignetheit dieser Maßnahmen konkret beurteilen.
  2. Der Verantwortliche trägt die Beweislast dafür, dass die getroffenen Schutzmaßnahmen geeignet waren.
  3. Im Fall der unbefugten Offenlegung von bzw. des unbefugten Zugangs zu personenbezogenen Daten durch „Dritte“ (wie Cyberkriminelle) kann der Verantwortliche gegenüber den Personen, denen ein Schaden entstanden ist, ersatzpflichtig sein, es sei denn, er weist nach, dass er in keinerlei Hinsicht für den Schaden verantwortlich ist.
  4. Allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, kann einen „immateriellen Schaden“ darstellen.

Da deutsche Gerichte schon mehrfach urteilten, dass eine unrechtmäßige Offenbarung personenbezogener Daten gegenüber Dritten alleine keinen Schaden darstellt, könnte das Urteil künftige Schadensersatzklagen beeinflussen.

Weiterführende Links: