Staatliche Stellen sowie Unternehmen werden zunehmender Opfer von Cyberangriffen. Das Bundesamt für Sicherheit in der Informationstechnik ermittelte 20.174 Schwachstellen in digitalen Infrastrukturen des Staates und von Unternehmen allein im Jahr 2021. Viele der Daten, die bei Unternehmen oder dem Staat gespeichert sind, sind privater Natur und umfassen Gehaltsabrechnungen und Krankheitsbilder. Greifen Hacker auf diese Daten zu, ist selbstredend die Sorge groß. Was können die Hacker mit den Daten anstellen? Der Generalanwalt beim Europäischen Gerichtshof gibt jetzt Geschädigten Hoffnung: Ihnen könnten Schadensersatzansprüche zustehen (Rs.: C-340-21).
Schadensersatz nach DSGVO
Die Datenschutzgrundverordnung („DSGVO„) sieht vor, dass jeder, der gegen die DSGVO verstößt, einen aus diesem Verstoß eventuell resultierenden Schaden zu ersetzen hat:
Artikel 82 DSGVO Haftung und Recht auf Schadenersatz
(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
(2) Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. […]
(3) Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.(4) […]
Damit besteht ein weitreichender Schadensersatzanspruch. Allerdings kann sich ein eventuell Schadensersatzpflichtiger nach Artikel 82 Abs. 3 DSGVO exkulpieren (also entschuldigen). Zudem muss der DSGVO Verstoß, das gibt die Vorschrift nicht ausdrücklich her, gravierend sein, damit die Schadensersatzpflicht ausgelöst werden muss.
Ferner kann prinzipiell gegen jede Bestimmung aus der DSGVO verstoßen werden, die eine Verhaltenspflicht mit Daten stipuliert, jedoch wirkt der Schadensersatzanspruch besonders mit Verstößen gegen Artikel 6 DSGVO zusammen. Dieser regelt, wann eine Datenverarbeitung von personenbezogenen Daten rechtmäßig ist. Personenbezogen sind Daten, wenn sie Rückschlüsse auf eine Person zulassen (Art. 4 Nr. 1 DSGVO). Eine Verarbeitung von ihnen ist rechtmäßig, wenn beispielsweise:
- Die betroffene Person in die Verarbeitung eingewilligt hat,
- Die Verarbeitung Teil eines Vertrages ist,
- Die Verarbeitung durch eine rechtliche Verpflichtung diktiert ist,
- Die Verarbeitung für den Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen Person zu schützen,
- Die Verarbeitung dafür erforderlich ist, eine Aufgabe, die im öffentlichen Interesse liegt, zu erfüllen,
- Die Verarbeitung zur Wahrung der Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht der Schutz der personenbezogenen Daten im Einzelfall überwiegt.
Bei Hackerangriffen geht es aber vornehmlich darum, dass die Daten ausreichend abgesichert sind. Nach Artikel 32 DSGVO müssen Verantwortliche geeignete Sicherheitsstandards für die Daten ausführen. Sie müssen unter anderem:
- Personenbezogene Daten pseudonymisieren,
- Die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste sicherstellen,
- Den Zugang zu personenbezogenen Daten wieder herzustellen,
- Die Sicherheitssysteme zu updaten.
Wird ein System gehacked steht in Frage, ob das System ausreichend durch den Verantwortlichen gesichert war.
Schon gewusst? Unterlassungsanspruch bei Verstoß gegen den Datenschutz?
Generalanwalt: Datenleack ungleich kein ausreichender Schutzstandard
Der Generalanwalt klärte zunächst, dass seines Erachtens ein hackerbedingtes Datenleak nicht automatisch den Vorwurf mit sich bringt, dass Sicherheitsstandards nicht entsprochen werde. Dies müsse im Hinblick auf den jeweiligen Einzelfall erfolgen. Dabei müssten eine Reihe von Faktoren, wie etwa der Stand der Technik und die Impletementierungskosten berücksichtigt werden. Gerichte müssten schlussendlich eine Abwägung durchführen zwischen dem Interesse der geschädigten Personen am Schutz ihrer Daten und den wirtschaftlichen Interessen und technischen Möglichkeiten des Verantwortlichen.
Schon gewusst? Google muss Links zu „unrichtigen“ Daten löschen!
Generalanwalt: Beweislast
Der Generalanwalt wies ferner darauf hin, dass der Verantwortliche den Beweis erbringen müsse, dass er alle technischen Voraussetzungen für den Schutz der personenbezogenen Daten getroffen habe.
Schon gewusst? Schufa-Scoring verstößt gegen DSGVO?
Generalanwalt: Haftungsbefreiung
Ferner wies der Generalanwalt darauf hin, dass nur weil Dritte, also die Hacker, in das System eindringen, nicht niedrigere Voraussetzungen für die Exkulpation gelten. Falls der Verantwortliche sich exkulpieren wolle, müsse er nachweisen, dass er in keinerlei Hinsicht für den Eintritt des Schadens verantwortlich sei.
Schon gewusst? Keine anlasslose Videoüberwachung im Stadion!
Generalanwalt: Tatsächlicher Zugriff auf Daten notwendig?
Zudem vertritt der Generalanwalt die Ansicht, dass die reine Befürchtung, dass die Daten eventuell benutzt werden können, für die Begründung eines Schadens ausreiche. Das sei aber insofern einzuschränken, als es sich um einen realen und sicheren emotionalen Schaden und nicht nur reine Unannehmlichkeiten handle.
Schon gewusst? Was ist ein Hinweisgebersystem?
Bekannt werden des Hackerangriffs
Von vielen Datenleaks erfahren Betroffene erst deutlich später oder sogar nie. Sobald ein Leak auftritt, könnte es sich aber lohnen genau zu prüfen (mithilfe des Auskunftsanspruches) über welche Daten das Unternehmen verfügt und welche Schäden sich daraus begründen lassen.
Schon gewusst? Verletzung des allgemeinen Persönlichkeitsrechts durch geschlechtsbezogene Anrede
Fazit
Alle oben dargestellten Fragen sind noch ungeklärt. Aber es lohnt sich die rechtliche Entwicklung im Auge zu haben. Wegen der fortschreitenden Digitalisierung ist die Wahrscheinlichkeit sehr hoch, dass alle Nutzer*innen mindestens einmal von einem Datenleak betroffen sind.
Bei weiteren Fragen zum Thema IT- und Datenschutzrecht, stehen wir Ihnen gerne auch persönlich zur Seite. Terminvereinbarungen können Sie während unserer Bürozeiten unter der Telefonnummer 0201-24030 oder per Email unter vornehmen.
Ihre Kanzlei Schumacher & Partner
Rechtsanwälte für IT- und Datenschutzrecht in Essen
