Immaterieller Schadensersatz nach Cyberangriffen („Nationale Agentur für Einnahmen (Bulgarien)“)Tenor 1. Die Art. 24 und 32 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind dahin auszulegen, dass eine unbefugte Offenlegung von bzw. ein unbefugter Zugang zu personenbezogenen Daten durch „Dritte“ i.S.v. Art. 4 Nr. 10 dieser Verordnung allein nicht ausreicht, um anzunehmen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht „geeignet“ i.S.d. Art. 24 und 32 dieser Verordnung waren. 2. Art. 32 der Verordnung 2016/679 ist dahin auszulegen, dass die Geeignetheit der vom Verantwortlichen nach diesem Artikel getroffenen technischen und organisatorischen Maßnahmen von den nationalen Gerichten konkret zu beurteilen ist, wobei die mit der betreffenden Verarbeitung verbundenen Risiken zu berücksichtigen sind und zu beurteilen ist, ob Art, Inhalt und Umsetzung dieser Maßnahmen diesen Risiken angemessen sind. 3. Der in Art. 5 Abs. 2 der Verordnung 2016/679 formulierte und in Art. 24 dieser Verordnung konkretisierte Grundsatz der Rechenschaftspflicht des Verantwortlichen ist dahin auszulegen, dass im Rahmen einer auf Art. 82 der Verordnung gestützten Schadenersatzklage der für die betreffende Verarbeitung Verantwortliche die Beweislast dafür trägt, dass die von ihm getroffenen Sicherheitsmaßnahmen i.S.v. Art. 32 dieser Verordnung geeignet waren. 4. Art. 32 der Verordnung 2016/679 und der unionsrechtliche Effektivitätsgrundsatz sind dahin auszulegen, dass für die Beurteilung der Geeignetheit der Sicherheitsmaßnahmen, die der Verantwortliche nach diesem Artikel getroffen hat, ein gerichtliches Sachverständigengutachten kein generell notwendiges und ausreichendes Beweismittel sein kann. 5. Art. 82 Abs. 3 der Verordnung 2016/679 ist dahin auszulegen, dass der Verantwortliche von seiner nach Art. 82 Abs. 1 und 2 dieser Verordnung bestehenden Pflicht zum Ersatz des einer Person entstandenen Schadens nicht allein deshalb befreit werden kann, weil dieser Schaden die Folge einer unbefugten Offenlegung von bzw. eines unbefugten Zugangs zu personenbezogenen Daten durch „Dritte“ i.S.v. Art. 4 Nr. 10 dieser Verordnung ist, wobei der Verantwortliche dann nachweisen muss, dass er in keinerlei Hinsicht für den Umstand, durch den der betreffende Schaden eingetreten ist, verantwortlich ist. 6. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen diese Verordnung befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, einen „immateriellen Schaden“ im Sinne dieser Bestimmung darstellen kann. - A.
Problemstellung Art. 82 DSGVO eröffnet den von Datenschutzverstößen betroffenen Personen einen eigenständigen deliktischen Anspruch auf Schadensersatz. Die Bedeutung dieses Anspruchs wächst stetig, denn in den letzten Jahren hat sich hierzu eine regelrechte Klageindustrie entwickelt. Unternehmen drohen bei Datenschutzverstößen daher nicht nur Interventionen von Aufsichtsbehörden, sondern auch massenhafte zivilrechtliche Klagen auf Ausgleich materieller und immaterieller Schäden in Höhe von bis zu mehreren Tausend Euro pro Person. Über den Erfolg dieser Klagen entscheidet eine Vielzahl von Auslegungsfragen zu Art. 82 DSGVO, die zusammen den wohl größten Komplex ungeklärter Rechtsfragen zur Anwendung der DSGVO bilden. Im Vorabentscheidungsersuchen C-340/21 widmet sich der EuGH mehreren dieser Fragen in einem Bereich mit erheblicher Praxisrelevanz: dem Anspruch auf Ersatz immaterieller Schäden gegen Unternehmen, die Opfer von Cyberangriffen geworden sind. Im Einzelnen stellten sich folgende Fragen: Art. 82 DSGVO verlangt auf der Ebene der Haftungsbegründung einen Verstoß gegen die DSGVO, der auf unzureichenden technischen und organisatorischen Sicherheitsmaßnahmen des Anspruchsgegners nach Art. 32 DSGVO beruhen kann. Ist die Ungeeignetheit von Sicherheitsmaßnahmen aber allein deshalb anzunehmen, weil ein Cyberangriff erfolgreich war (Frage 1)? Welche Maßgaben gelten darüber hinaus für nationale Gerichte, wenn sie die Geeignetheit von Sicherheitsmaßnahmen bewerten (Frage 2), und welche Partei trägt hierbei die Beweislast (Frage 3)? Neben einem Verstoß setzt Art. 82 DSGVO voraus, dass dem Anspruchsteller aus diesem ein Schaden entstanden ist. Liegt ein ersatzfähiger Schaden bereits dann vor, wenn die betroffene Person lediglich einen möglichen zukünftigen Missbrauch ihrer personenbezogenen Daten befürchtet, die infolge eines Cyberangriffs verbreitet wurden (Frage 5)? Auf der Ebene der Haftungsbefreiung ermöglicht Art. 82 Abs. 3 DSGVO dem Anspruchsgegner den Nachweis, dass er für den Umstand, durch den der Schaden eingetreten ist, in keinerlei Hinsicht verantwortlich ist. Reicht es für diesen Nachweis aus, dass der Cyberangriff von einem Dritten, dem Hacker, begangen wurde (Frage 4)?
- B.
Inhalt und Gegenstand der Entscheidung I. Der EuGH beantwortet diese fünf Vorlagefragen des Obersten Verwaltungsgerichts Bulgariens in der Rechtssache „Nationale Agentur für Einnahmen (NAP)“. Die NAP ist eine dem bulgarischen Finanzminister unterstellte Behörde. Im Rahmen ihrer Aufgaben, die u.a. in der Feststellung, Sicherung und Einziehung öffentlicher Forderungen bestehen, ist sie für die Verarbeitung personenbezogener Daten datenschutzrechtlich Verantwortliche. Am 15.07.2019 wurde in den Medien darüber berichtet, dass ein unbefugter Zugang zum IT-System der NAP erfolgt sei und dass infolge dieses Cyberangriffs in diesem System enthaltene personenbezogene Daten im Internet veröffentlicht worden seien. Von diesen Ereignissen waren mehr als sechs Millionen natürliche Personen betroffen. Vor diesem Hintergrund erhob die Klägerin des Ausgangsverfahrens beim Verwaltungsgericht der Stadt Sofia, Bulgarien, auf Grundlage von Art. 82 DSGVO und Bestimmungen des bulgarischen Rechts Klage auf Verurteilung der NAP zur Zahlung von etwa 510 Euro an sie als Schadensersatz. Die NAP habe gegen die in Art. 5 Abs. 1 Buchst. f, Art. 24 und 32 DSGVO begründete Pflicht zur Gewährleistung der Sicherheit personenbezogener Daten verstoßen. Ihr immaterieller Schaden bestehe in der Befürchtung, dass ihre personenbezogenen Daten, die ohne ihre Einwilligung veröffentlicht worden seien, künftig missbräuchlich verwendet würden oder dass sie selbst erpresst, angegriffen oder sogar entführt werde. Gegen die Abweisung der Klage durch das Verwaltungsgericht der Stadt Sofia legte die Klägerin Kassationsbeschwerde beim Obersten Verwaltungsgericht Bulgariens ein, das dem EuGH die in der Problemstellung beschriebenen fünf Fragen zur Vorabentscheidung vorlegte. II. 1. Der EuGH hat entschieden, dass eine unbefugte Offenlegung von bzw. ein unbefugter Zugang zu personenbezogenen Daten durch „Dritte“ i.S.v. Art. 4 Nr. 10 DSGVO allein nicht ausreicht, um anzunehmen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht „geeignet“ i.S.d. Art. 24 und 32 DSGVO waren. Art. 24 DSGVO erfordere von Verantwortlichen, geeignete technische und organisatorische Maßnahmen umzusetzen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß der DSGVO erfolgt. Art. 32 Abs. 1 DSGVO lege die Pflichten in Bezug auf die Sicherheit dieser Verarbeitung fest. Die Bezugnahme in Art. 32 Abs. 1 und 2 DSGVO auf „ein dem Risiko angemessenes Schutzniveau“ und ein „angemessenes Schutzniveau“ zeige, dass mit der DSGVO ein Risikomanagementsystem eingeführt und in ihr in keiner Weise behauptet werde, dass sie das Risiko von Verletzungen des Schutzes personenbezogener Daten beseitige. Dies werde auch durch den 83. Erwägungsgrund der DSGVO bestätigt, in dem der Unionsgesetzgeber seine Absicht zum Ausdruck gebracht habe, die Risiken einer Verletzung des Schutzes personenbezogener Daten „einzudämmen“, ohne zu behaupten, dass sie beseitigt werden könnten. Der Verantwortliche müsse gemäß Art. 24 Abs. 1 DSGVO den Nachweis dafür erbringen können, dass die von ihm umgesetzten Maßnahmen im Einklang mit der DSGVO stünden; diese Möglichkeit würde ihm verwehrt bleiben, wenn eine unwiderlegbare Vermutung angenommen würde. 2. Die Geeignetheit der vom Verantwortlichen nach Art. 32 DSGVO getroffenen technischen und organisatorischen Maßnahmen sei von den nationalen Gerichten konkret zu beurteilen. Bei der Festlegung von Sicherheitsmaßnahmen verfüge der Verantwortliche über einen gewissen Entscheidungsspielraum, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten. Dessen Prüfung durch nationale Gerichte habe in zwei Schritten zu erfolgen: Erstens seien die von der betreffenden Verarbeitung ausgehenden Risiken einer Verletzung des Schutzes personenbezogener Daten und ihre möglichen Folgen für die Rechte und Freiheiten natürlicher Personen zu ermitteln. Zweitens sei zu prüfen, ob die vom Verantwortlichen getroffenen Maßnahmen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung diesen Risiken angemessen sind. 3. Im Rahmen einer auf Art. 82 DSGVO gestützten Schadensersatzklage trage der für die betreffende Verarbeitung Verantwortliche die Beweislast dafür, dass die von ihm getroffenen Sicherheitsmaßnahmen i.S.v. Art. 32 DSGVO geeignet waren. Dies folge aus dem in Art. 5 Abs. 2 DSGVO formulierten und in Art. 24 DSGVO konkretisierten Grundsatz der Rechenschaftspflicht des Verantwortlichen, der in Bezug auf Art. 32 DSGVO auch im Rahmen einer auf Art. 82 DSGVO gestützten Schadensersatzklage anzuwenden sei. Durch diese Verteilung der Beweislast würden Verantwortliche angehalten, Verarbeitungsvorgänge im Einklang mit der DSGVO auszugestalten, und es würde auch die praktische Wirksamkeit des Schadensersatzanspruchs gewahrt. Der EuGH führt in Frage 3 zusätzlich aus, dass ein gerichtliches Sachverständigengutachten kein generell notwendiges und ausreichendes Beweismittel sein könne. Einem generellen Rückgriff auf ein solches Gutachten stehe entgegen, dass sich ein Rückgriff in Anbetracht anderer Beweise, die dem angerufenen Gericht vorliegen, als überflüssig erweisen könne. Aus einem Sachverständigengutachten dürfe auch nicht automatisch abgeleitet werden, dass Sicherheitsmaßnahmen (un)geeignet seien. Art. 79 Abs. 1 DSGVO erfordere, dass ein unparteiisches Gericht eine objektive Beurteilung der Geeignetheit der betreffenden Maßnahmen vornehme, anstatt sich auf eine solche Ableitung zu beschränken. 4. Die vierte Frage beantwortet der EuGH dahin gehend, dass der Verantwortliche im Rahmen von Art. 82 Abs. 3 DSGVO von seiner nach Art. 82 Abs. 1 und 2 DSGVO bestehenden Pflicht zum Ersatz des entstandenen Schadens nicht allein deshalb befreit werden kann, weil dieser Schaden die Folge einer unbefugten Offenlegung von bzw. eines unbefugten Zugangs zu personenbezogenen Daten durch „Dritte“ i.S.v. Art. 4 Nr. 10 DSGVO ist. Wenn eine Verletzung des Schutzes personenbezogener Daten von Cyberkriminellen und damit von „Dritten“ i.S.v. Art. 4 Nr. 10 DSGVO begangen würde, könne diese Verletzung dem Verantwortlichen zugerechnet werden, wenn dieser die Verletzung unter Missachtung einer Verpflichtung aus der DSGVO, insbesondere der Verpflichtung zum Datenschutz, die ihm nach Art. 5 Abs. 1 Buchst. f, Art. 24 und Art. 32 DSGVO obliegt, ermöglicht habe. Hieraus folge aber auch, dass sich der Verantwortliche bei einer Verletzung des Schutzes personenbezogener Daten durch einen Dritten von seiner Haftung befreien könne, indem er gemäß Art. 82 Abs. 3 DSGVO nachweise, dass es keinen Kausalzusammenhang zwischen der etwaigen Verletzung der Verpflichtung zum Datenschutz durch ihn und dem der natürlichen Person entstandenen Schaden gebe. 5. Auf die letzte Frage antwortet der EuGH, dass allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, einen „immateriellen Schaden“ im Sinne dieser Bestimmung darstellen kann. Der Wortlaut von Art. 82 Abs. 1 DSGVO schließe dies nicht aus. Eine Auslegung des Begriffs „immaterieller Schaden“, die nicht die Fälle umfasse, in denen die von einem Verstoß gegen die DSGVO betroffene Person sich auf die Befürchtung beruft, dass ihre eigenen personenbezogenen Daten in Zukunft missbräuchlich verwendet werden könnten, widerspräche einer weiten Auslegung dieses Begriffs, wie sie vom Unionsgesetzgeber beabsichtigt sei. Aus der beispielhaften Aufzählung der „Schäden“ in Erwägungsgrund 85 DSGVO, die den betroffenen Personen entstehen können, gehe hervor, dass der Unionsgesetzgeber unter den Begriff „Schaden“ in bestimmten Fällen auch den „Verlust der Kontrolle“ über ihre eigenen Daten infolge eines Verstoßes gegen die DSGVO fassen wollte. Diese Auslegung gewährleiste ein hohes Schutzniveau für betroffene Personen. Jedoch sei darauf hinzuweisen, dass eine Person, die von einem Verstoß gegen die DSGVO betroffen ist, der für sie negative Folgen gehabt hat, nachweisen müsse, dass diese Folgen einen immateriellen Schaden i.S.v. Art. 82 DSGVO darstellen. Der EuGH weist in diesem Kontext darauf hin, dass das angerufene nationale Gericht in derartigen Fällen zu prüfen hat, ob die behauptete Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann.
- C.
Kontext der Entscheidung Die Entscheidung ergänzt die bisherige Rechtsprechung des EuGH zum Schadensersatz im Datenschutzrecht und trägt damit zu einer zunehmend gefestigten unionsrechtlichen Rechtsprechungslinie bei. Bislang wurden dem EuGH bereits in mehr als einem Dutzend Verfahren Vorlagefragen zur Auslegung von Art. 82 DSGVO vorgelegt, die dieser seit dem vergangenen Jahr nach und nach beantwortet hat (für einen Überblick siehe Leibold, ZD-Aktuell 2024, Heft 3). Inzwischen zeichnet sich ein Gesamtbild ab, das bei näherer Betrachtung wesentliche Hürden für den Ersatz immaterieller Schäden erkennen lässt. Art. 82 DSGVO erfordert einen Verstoß gegen die Verordnung. Der EuGH stellt – insoweit übereinstimmend mit der deutschen Rechtsprechung (LG Karlsruhe, Urt. v. 09.02.2021 - 4 O 67/20) – klar, dass der Erfolg eines Cyberangriffs nicht zu einer unwiderleglichen Vermutung der Ungeeignetheit der Sicherheitsmaßnahmen nach Art. 32 DSGVO führt. Ein anderes Ergebnis war nicht zu erwarten, da es die Pflicht zu einem unmöglichen Verhalten begründet hätte. Cyberangriffe lassen sich aufgrund der Vielzahl der Angriffspunkte und Angriffswege auch bei größtmöglicher Sorgfalt nie vollständig verhindern. Die DSGVO hat dies erkannt und verlangt von den Verantwortlichen die Herstellung eines „dem Risiko angemessenen Schutzniveaus“, wobei der EuGH den in diesem risikobasierten Ansatz angelegten „gewisse[n] Entscheidungsspielraum“ des Verantwortlichen ausdrücklich anerkennt. Diesen haben auch die nationalen Gerichte im Rahmen ihrer Überprüfung zu berücksichtigen, welche anhand der in Art. 32 DSGVO genannten Kriterien im Einzelfall zu erfolgen hat. Die Ausführungen des EuGH zur Beweislastverteilung bei Cyberangriffen bedürfen einer näheren Betrachtung. Denn im Grundsatz gilt, dass die betroffene Person die Beweislast für das Vorliegen eines Verstoßes gegen die DSGVO, eines Schadens und eines Kausalzusammenhangs zwischen den beiden trägt (EuGH, Urt. v. 04.05.2023 - C-300/21; EuGH, Urt. v. 25.01.2024 - C-687/21). In der gegenständlichen Entscheidung leitet der EuGH aus dem Grundsatz der Rechenschaftspflicht in Art. 5 Abs. 2, Art. 24 Abs. 1 DSGVO i.V.m. Art. 32 DSGVO jedoch ab, dass der Verantwortliche die Beweislast dafür tragen solle, dass die von ihm verwendeten Sicherheitsmaßnahmen gemäß Art. 32 DSGVO geeignet waren. Hierbei handelt es sich in Anbetracht des obenstehenden Grundsatzes um eine bereichsspezifische Beweislastumkehr, die über diesen speziellen Kontext nicht hinausgeht. Für eine restriktive Anwendung dieser Beweislastumkehr spricht auch, dass ihre Begründung nicht zu überzeugen vermag. Die „praktische Wirksamkeit“ des Anspruchs auf Schadensersatz erfordert keine Beweislastumkehr, da bei erheblichen Beweisproblemen im Rahmen der Sicherheitsmaßnahmen nach Art. 32 DSGVO bereits die Annahme einer sekundären Darlegungslast des Verantwortlichen genügt (Paal, ZfDR 2023, 325, 332). Zudem sieht Art. 82 Abs. 3 DSGVO eine Beweislastumkehr in Bezug auf das (vermutete) Verschulden des Verantwortlichen vor (EuGH, Urt. v. 21.12.2023 - C-667/21). Daraus folgt im Umkehrschluss der Grundsatz, dass der Anspruchsteller die Beweislast für alle anderen Haftungsvoraussetzungen (d.h. Verstoß, Schaden und Kausalität) tragen soll. Eine Haftungsbefreiung nach Art. 82 Abs. 3 DSGVO kann der Verantwortliche durch den Nachweis erreichen, dass es keinen Kausalzusammenhang zwischen seiner etwaigen Verletzung der DSGVO und dem der Person entstandenen Schaden gibt. Dies dürfte auch Fälle einschließen, in denen die Sicherheitsmaßnahmen nach Art. 32 DSGVO zwar Defizite aufweisen (z.B. beim Schutz vor Phishing), ein Hacker aber auf anderem Wege in das System gelangt (z.B. über eine technische Sicherheitslücke eines Servers, die auch bei größter Sorgfalt nicht zu vermeiden war). Der Anspruch aus Art. 82 DSGVO erfordert weiter das Vorliegen eines Schadens, wobei es sich um eine eigene Anspruchsvoraussetzung handelt, die nicht mit dem „Verstoß gegen die DSGVO“ gleichzusetzen ist (EuGH, Urt. v. 04.05.2023 - C-300/21). Ein folgenloser Kontrollverlust stellt ebenfalls keinen Schaden dar (OLG Oldenburg, Beschl. v. 20.02.2024 - 13 U 43/23). Art. 82 Abs. 1 DSGVO erfasst sowohl materielle als auch immaterielle Schäden. Der EuGH hat nun festgestellt, dass es einen immateriellen Schaden darstellen „kann“, wenn eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten. Zuvor hatte der EuGH bereits geurteilt, dass die Auslegung des Begriffs des „Schadens“ in Art. 82 Abs. 1 DSGVO weder eine Erheblichkeitsschwelle noch eine Bagatellgrenze vorsieht (EuGH, Urt. v. 14.12.2023 - C-456/22). Allerdings führt er nun zugleich zwei wesentliche Einschränkungen ein, die in der Praxis einen Ersatz von Befürchtungen als immateriellen Schaden erheblich erschweren dürften: 1. Zunächst stellt der EuGH fest, dass eine Befürchtung einen Schaden darstellen „kann“. Daraus folgt, dass es Fälle gibt, in denen eine Befürchtung keinen Schaden darstellt. Dies ist insbesondere dann der Fall, wenn nur ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen Dritten besteht, etwa weil kein Dritter die fraglichen personenbezogenen Daten zur Kenntnis nehmen konnte (EuGH, Urt. v. 25.01.2024 - C-687/21). Die Annahme eines Schadens dürfte auch in Fällen ausscheiden, die weniger eingriffsintensiv als der des Ausgangsverfahrens sind. Dort war es infolge eines Cyberangriffs zu einer Veröffentlichung von personenbezogenen Daten einschließlich Steuer- und Sozialversicherungsinformationen gekommen. Insbesondere wenn nur Kontaktdaten wie Name, Wohnort, E-Mail-Adresse und Telefonnummer betroffen sind, dürften sich diese aufgrund ihres niedrigen Missbrauchspotentials oftmals nicht als Anknüpfungspunkt einer ersatzfähigen Befürchtung eignen, sondern zum allgemeinen Lebensrisiko eines Internetnutzers gehören. 2. In diesem Zusammenhang wird auch die zweite Einschränkung des EuGH wichtig: Die betroffene Person muss den immateriellen Schaden nachweisen. Beruft sie sich dazu auf die Befürchtung eines künftigen Missbrauchs ihrer personenbezogenen Daten, muss das nationale Gericht prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als „begründet“ angesehen werden kann. Da das Merkmal „begründet“ weiterer Auslegung bedarf, können die Schlussanträge des Generalanwalts Pitruzzella insoweit eine erste Orientierung bieten. Danach sollte die Annahme einer „begründeten“ Befürchtung den Nachweis durch die betroffene Person voraussetzen, dass sie in ihrer physischen oder psychischen Sphäre oder in ihrem Beziehungsleben beeinträchtigt ist und die Befürchtung eines Missbrauchs ihr tatsächlich und konkret einen realen und sicheren emotionalen Schaden zufügt (Generalanwalt beim EuGH (Pitruzzella), Schlussantr. v. 27.04.2023 - C-340/21). Für den Nachweis gilt im deutschen Recht der Grundsatz der freien richterlichen Beweiswürdigung nach § 286 ZPO. Ein formelhafter Vortrag abstrakter Befürchtungen ohne einen tauglichen Beweisantritt durch die betroffene Person wird dabei kaum genügen, insbesondere wenn hierfür Textbausteine verwendet werden (vgl. zuletzt OLG Oldenburg, Beschl. v. 20.02.2024 - 13 U 43/23). Vielmehr obliegt es dem Kläger, konkrete Missbrauchsfolgen darzulegen, die dem Gericht eine einzelfallbezogene Beurteilung ermöglichen (OLG Hamm, Urt. v. 15.08.2023 - 7 U 19/23).
- D.
Auswirkungen für die Praxis Das Urteil verdeutlicht, dass Ansprüche nach Art. 82 DSGVO auf Ersatz immaterieller Schäden ein erhebliches Haftungsrisiko für Unternehmen nach Cyberangriffen darstellen können. Dieses Risiko potenziert sich mit der Anzahl der von dem Angriff betroffenen Personen. Fälle wie das Ausgangsverfahren mit über sechs Millionen betroffenen Personen können daher die Existenz eines Unternehmens gefährden. Der EuGH zeigt jedoch Wege auf, wie dieses Risiko im Falle von streitigen Auseinandersetzungen eingedämmt werden kann: Zum einen kann ein Verstoß gegen die DSGVO bereits dann ausgeschlossen werden, wenn Verantwortliche geeignete technische und organisatorische Sicherheitsmaßnahmen gemäß Art. 32 DSGVO etabliert haben und dies auch nachweisen können. Diesen Nachweis können u.a. interne Sicherheitschecks, externe Audits und die Einhaltung von IT-Sicherheitszertifizierungen erleichtern. Bei der Implementierung risikoadäquater Sicherheitsstrukturen sollten Verantwortliche auch die weiteren EU-Rechtsakte zur Cybersicherheit im Blick haben, deren Verpflichtungen untereinander und mit der DSGVO Synergien aufweisen, die im Rahmen eines ganzheitlichen Compliance-Frameworks ausgenutzt werden können. Hierzu zählen insbesondere die Vorgaben der NIS-2-Richtlinie (Richtlinie (EU) 2022/2555), die bis zum 17.10.2024 in nationales Recht umzusetzen ist, aber auch weitere, teils branchenspezifische Regelungen wie die Verordnung über digitale operationale Resilienz im Finanzsektor (DORA; Verordnung (EU) 2022/2554) und die Verordnung über Cyberresilienz (Cyber Resilience Act, zuletzt legislative Entschließung des Europäischen Parlaments v. 12.03.2024, P9_TA(2024)0130). Zum anderen bestehen die oben aufgezeigten hohen Hürden für den Ersatz immaterieller Schäden nach Art. 82 DSGVO, die Schadensersatzansprüchen von betroffenen Personen entgegengehalten werden können. Diese Ansprüche dürften künftig zwar immer häufiger massenhaft, aber dennoch in Individualverfahren geltend gemacht werden. Denn das Urteil des EuGH erschwert die Geltendmachung solcher Schadensersatzansprüche im Rahmen einer kollektiven Abhilfeklage (§ 14 VDuG). Diese setzt nämlich voraus, dass die Schadensersatzansprüche „im Wesentlichen gleichartig“ sind (vgl. § 15 Abs. 1 VDuG). Da immaterielle Schäden nach dem EuGH individuell darzulegen und von den Gerichten „unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person“ (d.h. im konkreten Einzelfall) zu beurteilen sind, dürfte diese „Gleichartigkeit“ in der Regel fehlen.
|