Der Europäische Gerichtshof macht in einem Urteil klar: Wer von einem Datenleck betroffen ist, kann Schadensersatz verlangen – auch wenn kein materieller Schaden entstanden ist. In Verfahren müssen dabei die Unternehmen und Behörden nachweisen, dass sie ausreichende Schutzmaßnahmen getroffen haben.
Wer Opfer eines Datenlecks wird, kann Schadensersatz gegenüber dem Unternehmen oder der Behörde geltend machen, das die Daten verloren hat. Hierfür hat der Europäische Gerichtshof den Nutzer:innen in einem Urteil den Rücken gestärkt. Geklagt hatten mehrere Personen, deren Daten 2019 bei einem Hack der bulgarischen Steuerbehörde unbefugt kopiert wurden. Kriminelle hatten Millionen von Datensätzen erbeutet, mehr als die Hälfte aller Bulgar:innen war betroffen.
Das Gericht urteilte jetzt, dass schon ein immaterieller Schaden ausreiche, um Schadensersatz zu fordern. Ein solcher könne entstehen, wenn eine betroffene Person infolge eines Verstoßes gegen die Datenschutzgrundverordnung (DSGVO) befürchte, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten.
Gerichte müssen dann prüfen, ob die Schutzmaßnahmen der jeweiligen Datenhalter geeignet waren und diese konkret beurteilen. Hierbei hätten die Verantwortlichen die Beweislast zu tragen, dass sie die Daten genügend geschützt hätten. Auch wenn Dritte (wie Hacker) sich unbefugten Zugang verschafft hätten, kann die betroffene Stelle ersatzpflichtig sein – außer sie weist nach, dass sie in keinerlei Hinsicht für den Schaden verantwortlich ist.
„Sehr sinnvolle Herangehensweise“
Max Schrems von der Datenschutzorganisation noyb begrüßt das Urteil gegenüber netzpolitik.org. Deutsche Juristen und Gerichte seien beim Schadenersatz extrem kritisch, das sei in Europa eher eine extreme Ansicht. Im Gegensatz dazu lege der EuGH zum Glück die DSGVO einfach nach deren Wortlaut und ursprünglicher Bedeutung aus.
„Bei Databreaches ist eben genau die Unklarheit und Angst, dass die Daten missbraucht werden der immaterielle Schaden, der geradezu typisch ist. Materiellen Schaden kann man oft nur sehr schwer nachweisen“, so der Datenschützer. Deswegen sei wichtig, dass auch immaterielle Schäden zu Schadensersatz führen könnten, damit so etwas überhaupt jemals eine Konsequenz habe.
„Gleichzeitig ist wichtig, dass der EuGH betont, dass es eben auch keine perfekte Sicherheit gibt. Unternehmen müssen aber nach dem Stand der Technik alle angemessenen Dinge unternommen haben um ihre Systeme sicher zu halten. Insgesamt ist das eine sehr sinnvolle Herangehensweise“, so Schrems weiter.
Millionen von Menschen sind jedes Jahr von so genannten Datenlecks betroffen. Hierbei geraten personenbezogene Daten von Menschen, die Unternehmen oder Behörden über diese angelegt haben, an Unbefugte. Ursachen für die Datenlecks sind oftmals Hacking, nicht bezahlte Ransomware-Erpressungen oder technische Unfähigkeit bei den Datenhaltern wegen Sicherheitslücken.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
0 Commentaires