EuGH zur DSGVO: Beweislast der Eignung von Schutzmaßnahmen und immaterieller Schade

Der Europäische Gerichtshof hat in der Rechtssache C-340/21 entschieden, dass die Befürchtung eines möglichen Missbrauchs personenbezogener Daten einen immateriellen Schaden darstellen kann. Dieses Urteil bezieht sich auf den Fall der bulgarischen Nationalen Agentur für Einnahmen (NAP, Natsionalna agentsia za prihodite), deren IT-System Opfer eines Cyberangriffs wurde. Im Zuge dieses Angriffs wurden personenbezogene Daten von Millionen von Menschen im Internet veröffentlicht. Zahlreiche Personen verklagten die NAP auf Ersatz des immateriellen Schadens, der aus der Befürchtung eines möglichen Missbrauchs ihrer Daten resultieren soll.

Das bulgarische Oberste Verwaltungsgericht hatte dem Europäischen Gerichtshof folgende fünf Fragen zur Auslegung der Datenschutz-Grundverordnung (DSGVO) zur Vorabentscheidung vorgelegt:

1. Reicht ein unbefugter Zugriff auf Daten schon aus, um anzunehmen, dass die Schutzmaßnahmen nicht ausreichend sind? (Auslegung von Art. 24 und 32 DSGVO)
   EuGH: Ein unbefugter Zugang bzw. eine unbefugte Offenlegung reicht nicht aus, um Schutzmaßnahmen als nicht geeignet anzunehmen.
2. Wenn nicht 1., wie soll die gerichtliche Rechtmäßigkeitskontrolle prüfen, ob die Schutzmaßnahmen geeignet sind? (Auslegung von Art. 32 DSGVO)
   EuGH: Die nationalen Gerichte sollen bei der Beurteilung die mit der betreffenden Datenverarbeitung verbundenen Risiken berücksichtigen und beurteilen, ob die Schutzmaßnahmen diesen Risiken angemessen sind.
3. Wenn nicht 1., trägt dann der Verantwortliche die Beweislast, dass die Schutzmaßnahmen geeignet sind? Ist ein Sachverständigengutachten dann ein notwendiges und ausreichendes Beweismittel, wenn der unbefugte Zugriff durch einen Hackerangriff erfolgt?  (Auslegung Art. 5 Abs. 2 und Art. 24 in Verbindung mit dem 74. Erwägungsgrund der DSGVO)
   EuGH: Bei einer Schadenersatzklage trägt der für die Schutzmaßnahmen Verantwortliche die Beweislast, dass diese geeignet sind. Ein gerichtliches Sachverständigengutachten kann dabei kein generell notwendiges und ausreichendes Beweismittel sein.
4. Führt ein Hackerangriff zur Befreiung von Verantwortung und Haftung? (Auslegung Art. 82 Abs. 3 DSGVO)
   EuGH: Ein Verantwortlicher kann nicht allein deshalb von Schadenersatzpflicht befreit werden, weil der unbefugte Zugriff durch einen Hackerangriff erfolgt. Vielmehr muss der Verantwortliche nachweisen, dass er in keinerlei Hinsicht für den Umstand, durch den der betreffende Schaden eingetreten ist, verantwortlich ist.
5. Ist schon die Angst vor möglichem zukünftigen Missbrauch unrechtmäßig veröffentlichter persönlicher Daten ein ersatzfähiger immaterieller Schaden? (Auslegung Art. 82 Abs. 1 und 2 in Verbindung mit den Erwägungsgründen 85 und 146 der DSGVO)
   EuGH: Bereits die Sorge, dass personenbezogene Daten infolge eines Verstoßes gegen die DSGVO missbraucht werden könnten, stellt einen immateriellen Schaden dar. Allerdings muss dieser Schaden vom Kläger nachgewiesen werden.

Quellen:

• Pressemitteilung:
  https://curia.europa.eu/jcms/upload/docs/application/pdf/2023-12/cp230191de.pdf
• Urteil:
  https://curia.europa.eu/juris/document/document.jsf?text=&docid=280623&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=2597956