EU-Recht - 14. Dezember 2023

Cyberkriminalität: Die Befürchtung eines möglichen Missbrauchs personenbezogener Daten kann für sich genommen einen immateriellen Schaden darstellen

EuGH, Pressemitteilung vom 14.12.2023 zum Urteil C-340/21 vom 14.12.2023

Die bulgarische Nationale Agentur für Einnahmen (NAP) ist dem bulgarischen Finanzminister unterstellt. Sie ist u. a. mit der Feststellung, Sicherung und Einziehung öffentlicher Forderungen betraut. In diesem Rahmen ist sie für die Verarbeitung personenbezogener Daten verantwortlich. Am 15. Juli 2019 wurde in den Medien darüber berichtet, dass in das IT-System der NAP eingedrungen worden sei und infolge dieses Cyberangriffs in diesem System enthaltene personenbezogene Daten von Millionen von Menschen im Internet veröffentlicht worden seien. Zahlreiche Personen verklagten die NAP auf Ersatz des immateriellen Schadens, der ihnen aus der Befürchtung eines möglichen Missbrauchs ihrer Daten entstanden sein soll.

Das bulgarische Oberste Verwaltungsgericht legt dem Gerichtshof mehrere Fragen zur Auslegung der Datenschutz-Grundverordnung (DSGVO) zur Vorabentscheidung vor1. Es möchte klären lassen, unter welchen Bedingungen eine Person, deren personenbezogene Daten, die sich im Besitz einer öffentlichen Agentur befinden, nach einem Angriff von Cyberkriminellen im Internet veröffentlicht wurden, Ersatz des immateriellen Schadens verlangen kann.

In seinem Urteil antwortet der Gerichtshof wie folgt:

  1. Im Fall der unbefugten Offenlegung von bzw. des unbefugten Zugangs zu personenbezogenen Daten können die Gerichte aus diesem Umstand allein nicht ableiten, dass die Schutzmaßnahmen, die der für die Datenverarbeitung Verantwortliche ergriffen hat, nicht geeignet waren. Die Gerichte müssen die Geeignetheit dieser Maßnahmen konkret beurteilen.
  2. Der Verantwortliche trägt die Beweislast dafür, dass die getroffenen Schutzmaßnahmen geeignet waren.
  3. Im Fall der unbefugten Offenlegung von bzw. des unbefugten Zugangs zu personenbezogenen Daten durch „Dritte“ (wie Cyberkriminelle) kann der Verantwortliche gegenüber den Personen, denen ein Schaden entstanden ist, ersatzpflichtig sein, es sei denn, er weist nach, dass er in keinerlei Hinsicht für den Schaden verantwortlich ist.
  4. Allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, kann einen „immateriellen Schaden“ darstellen.

Fußnote

1 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG

Quelle: Europäischer Gerichtshof

Meistgelesene Artikel

Portrait von Marcus Ferchland.
Automatisierung und KI-Copilot

„Wir haben gar keine andere Wahl“

Steuerberater Marcus Ferchland erklärt im Interview, wie er seine Kanzlei über die vergangenen Jahre Schritt für Schritt digitalisiert hat.
100-Euro-Scheine, die zu einem Haus mit Dach gefaltet sind.
Immobilienbewertung

Omas Häuschen im Visier des Fiskus

Die Werte von Immobilien im Rahmen der Erbschafts- und Schenkungsteuer haben sich erhöht. Ein Übersteigen der Freibeträge droht.
49-Euro-Ticket

Job-Ticket statt Lohnerhöhung

Wenn Unternehmen ihren Beschäftigten das Deutschlandticket als Jobticket gewähren, sind in der Lohnabrechnung einige Details zu beachten.

Aktuelle Meldungen im Fokus

Produkte & Services 10.01.2024

Komplett digital im Rechnungswesen

Steuern 22.12.2023

Eilmeldung: Quasi-Fristverlängerung für die Offenlegung der Jahresabschlüsse 2022 verkündet!