Blog-Übersicht
Datenschutz: Schadenersatz bei Hackerangriff
Schadenersatz bei Hackerangriff?
Der Generalanwalt beim EuGH setzte sich mit folgender spannenden Frage auseinander (Schlussanträge vom 27.4.2023, C-340/21): Besteht ein Anspruch auf immateriellen Schadenersatz bei einem Hackerangriff?
Gesetzliche Grundlage für den Schadenersatzanspruch bildet Art 82 DSGVO iVm § 29 DSG (nach nationalem österreichischen Recht).
Dabei gelangt er zu folgender wesentlichen Erkenntnis: Der Schaden, der in der Befürchtung eines möglichen künftigen Missbrauchs von personenbezogenen Daten besteht und dessen Vorhandensein die betroffene Person nachgewiesen hat, kann einen immateriellen Schaden darstellen, der einen Schadenersatzanspruch begründet.
Kurzum: Im Falle eines Hackingsangriffes kann ein Anspruch auf immateriellen Schadenersatz aufgrund einer Datenschutzverletzung entstehen.
Immaterieller Schaden bei Cyber-Attacke: Worauf kommt es an?
Ob der Schadenersatzanspruch begründet ist, hängt auch davon ab, ob vom Unternehmer angemessene technische und organisatorische Maßnahmen ("TOMs") ergriffen wurden, ob eine erfolgreiche Hackerattacke abzuwenden. Bei einem Cyberangriff ist der vorwerfbare Verstoß gegenüber dem Verantwortlichen nicht in der Offenlegung der Daten zu sehen, sondern vielmehr in den möglicherweise unzureichenden Schutzmaßnahmen, die eine unberechtigte Offenlegung erst ermöglichen.
Datenschutzverletzung aufgrund Hacker-Angriff: Worauf kommt es vor Gericht an?
Vor Gericht kommt es demnach darauf an, ob der (potentielle) Schädiger angemessene Maßnahmen zur Abwehr einer Offenlegung von Daten im Wege eines Hackerangriffes umgesetzt hat. Gelingt ihm dieser Beweis nicht, drohen empfindliche Klagen der betroffenen Opfer (deren Daten beispielsweise im Darknet landen könnten). Der Generalanwalt deutet auch an, dass Zertifizierungen (etwa nach ISO 27001) zu einer Exkulpierung des Schädigers führen können. Er misst diesen Zertifizierungen eine übergeordnete Bedeutung bei und geht so weit, dass bei ihrem Vorliegen grundsätzlich von einer Datenschutzkonformität der Verarbeitung im Regelfall ausgegangen werden kann.
Angesicht der Zunahme von Cyberangriffen stellt der gegenständliche Sachverhalt sowie deren rechtliche Enschätzung durch den Generalanwalt eine richtungsweisende Erkenntnis dar.
Lese-Empfehlung: Private Enforcement - Immaterieller Schadenersatz bei Datenschutzverletzungen, Tretzmüller im Jahrbuch Datenschutzrecht
Blog-Übersicht