Schadensersatzpflicht im Fall der unrechtmäßigen Offenlegung personenbezogener Daten durch Dritte
Im vorliegenden Fall hatte der EuGH eine ihm vom Obersten Verwaltungsgericht Bulgariens vorgelegte Frage zur Auslegung der Datenschutz-Grundverordnung zu beantworten. Durch einen Cyberangriff waren verschiedene Steuer- und Sozialversicherungsdaten von Millionen von Menschen im Netz veröffentlicht worden. Dabei war zu betrachten, unter welchen Voraussetzungen eine Person, deren personenbezogene Daten, die sich im Besitz einer öffentlichen Agentur befinden, nach einem Angriff von Cyberkriminellen im Internet veröffentlicht wurden, Ersatz des immateriellen Schadens verlangen kann. Ein solcher Fall ist nicht nur in Deutschland auf Verwaltungsebene, sondern eben auch im Bezug auf Unternehmen, die mit personenbezogenen Daten arbeiten, denkbar.
Hierzu lehnte der EuGH unter Auslegung des Art. 24 und 32 DS-GVO ab, dass eine unbefugte Offenlegung von bzw. ein unbefugter Zugang zu personenbezogenen Daten durch „Dritte“ im Sinne des Art. 4 Nr. 10 DS-GVO allein ausreicht, um anzunehmen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht „geeignet“ im Sinne des Art. 24 und 32 DS-GVO waren. Ein erfolgreicher Hackerangriff kann also nicht schon Rückschluss auf die Geeignetheit der technischen und organisatorischen Maßnahmen geben. Vielmehr ist Art. 32 DS-GVO dahingehend auszulegen, dass die Geeignetheit der vom Verantwortlichen nach diesem Artikel getroffenen technischen und organisatorischen Maßnahmen von den nationalen Gerichten konkret zu beurteilen ist. Dabei sind insbesondere die mit der betreffenden Verarbeitung verbundenen Risiken zu berücksichtigen und es ist zu beurteilen, ob Art, Inhalt und Umsetzung dieser Maßnahmen diesen Risiken angemessen gegenüberstehen.
Im Detail ist die Geeignetheit der Maßnahmen, die der Verantwortliche zu beweisen hat, in zwei Schritten zu beurteilen. Zum einen sind die von der betreffenden Verarbeitung ausgehenden Risiken einer Verletzung des Schutzes personenbezogener Daten und ihre möglichen Folgen für die Rechte und Freiheiten natürlicher Personen zu ermitteln. Diese Beurteilung hat konkret unter Berücksichtigung der Eintrittswahrscheinlichkeit und Schwere der ermittelten Risiken zu erfolgen. Zum anderen ist zu prüfen, ob die vom Verantwortlichen getroffenen Maßnahmen unter Berücksichtigung des Standes der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke dieser Verarbeitung diesen Risiken angemessen sind.
Weiterhin hatte der EuGH den Art. 82 Abs. 3 DS-GVO auszulegen und kam dahingehend zu dem Ergebnis, dass der Verantwortliche von seiner nach Art. 82 Abs. 1 und 2 DS-GVO bestehenden Pflicht zum Ersatz des einer Person entstandenen Schadens nicht allein deshalb befreit werden kann, weil dieser Schaden die Folge einer unbefugten Offenlegung von bzw. eines unbefugten Zugangs zu personenbezogenen Daten durch „Dritte“ im Sinne von Art. 4 Nr. 10 DS-GVO ist, wobei der Verantwortliche dann nachweisen muss, dass er in keinerlei Hinsicht für den Umstand, durch den der betreffende Schaden eingetreten ist, verantwortlich ist. Die betroffene Person hat hingegen den Verstoß gegen die DS-GVO, den ihr entstandenen Schaden und den kausalen Zusammenhang zwischen vorbenannten Umständen darzulegen und zu beweisen.
Absolut praxisrelevant ist schlussendlich die Auslegung des EuGH dahingehend, dass Art. 82 Abs. 1 DS-GVO so zu verstehen ist, dass allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DS-GVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, einen „immateriellen Schaden“ im Sinne dieser Bestimmung darstellen kann. Allein die Angst vor Datenmissbrauch kann also schon einen Schaden darstellen - wobei hierfür die betroffene Person darlegungs- und beweisbelastet ist.