Infolge des Bekanntwerdens eines Cyberangriffs auf eine dem bulgarischen Finanzminister unterstellten Behörde im Juli 2019 wurden diverse im System der Behörde enthaltenen personenbezogenen Daten im Internet veröffentlicht. Daraufhin wurde die Behörde von Millionen Menschen auf Ersatz des immateriellen Schadens, den sie durch Offenlegung ihrer personenbezogenen Daten erlitten haben wollen, verklagt. Im Rahmen der Entscheidung über diesen Fall taten sich zahlreiche grundsätzliche Fragen zum Datenschutzrecht auf, denen sich nun der EuGH in seinem Urteil vom 14.12.2023 widmen durfte (Rs. C-340/21).
Vorlagefrage 1 – Geeignetheit technischer und organisatorischer Schutzmaßnahmen bei unbefugter Offenlegung von bzw. unbefugtem Zugang zu personenbezogenen Daten
Gemäß Art. 24 DSGVO sind Verantwortliche zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen verpflichtet, um sicherzustellen und Nachweis dafür erbringen zu können, dass die Datenverarbeitung gemäß der DSGVO erfolgt. Art. 32 DSGVO legt dazu die Pflichten des Verantwortlichen hinsichtlich der Sicherheit der Datenverarbeitung fest, um ein dem Risiko angemessenes Schutzniveau zu erreichen. Der Wortlaut impliziert nach Auffassung des EuGH, dass das Risiko von Verletzungen des Schutzes personenbezogener Daten gerade nicht vollkommen beseitigt, sondern nur so weit wie möglich vermindert werden muss. Statt also die unbefugte Offenlegung bzw. den unbefugten Zugang zu personenbezogenen Daten durch einen Dritten für eine Ungeeignetheit der technischen und organisatorischen Maßnahmen ausreichen zu lassen, seien die getroffenen Maßnahmen konkret zu bewerten. Dazu müssten die in Artt. 24, 32 DSGVO genannten Kriterien in Verbindung mit den von der Verarbeitung ausgehenden Risiken herangezogen werden.
Hinzu komme, dass die ausdrückliche Möglichkeit des Verantwortlichen, den Nachweis dafür erbringen zu können, dass die von ihm getroffenen Maßnahmen im Einklang mit der DSGVO stehen, im Widerspruch mit einer unwiderleglichen Vermutung der Ungeeignetheit bei unbefugter Offenlegung stünden. Dem Verantwortlichen müsse laut dem Gerichtshof demnach auch in diesem Fall die Möglichkeit zum Nachweis, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist, gegeben werden.
Vorlagefrage 2 – Konkrete Beurteilung der Geeignetheit der getroffenen technischen und organisatorischen Maßnahmen durch nationale Gerichte
Die Geeignetheit technischer und organisatorischer Maßnahmen sind daran zu beurteilen, ob die getroffenen Maßnahmen unter Berücksichtigung bestimmter Kriterien der Art, Inhalt und Umsetzung dieser Maßnahmen gegenüber den von der betreffenden Verarbeitung ausgehenden Risiken einer Verletzung des Schutzes personenbezogener Daten und deren Folgen angemessen sind. Dabei steht dem Verantwortlichen ein gewisser Entscheidungsspielraum zu, jedoch müsse dem nationalen Gericht die Beurteilung des Verantwortlichen über die Angemessenheit seiner Maßnahmen aufgrund der Grundsätze der Wirksamkeit des Schutzes personenbezogener Daten und des Rechts Betroffener auf einen wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche möglich sein. Demnach hielt der EuGH fest, dass nationale Gerichte die technischen und organisatorischen Maßnahmen anhand des dargestellten Schemas konkret zu beurteilen haben.
Vorlagefrage 3 – Beweislast hinsichtlich der Geeignetheit getroffener Sicherheitsmaßnahmen
Nach Art. 5 Abs. 2 DSGVO muss der Verantwortliche nachweisen können, dass die Grundsätze für die Verarbeitung personenbezogener Daten eingehalten werden. Dieser Grundsatz des Nachweises vonseiten des Verantwortlichen wird, wie bereits dargestellt, in Artt. 24, 32 DSGVO hinsichtlich der Geeignetheit technischer und organisatorischer Maßnahmen wieder aufgegriffen. Demnach ergibt sich an verschiedenen Stellen aus dem Wortlaut der DSGVO, dass dem Verantwortlichen die Beweislast für die innerhalb der Verarbeitung stattfindenden angemessenen Sicherheit von Daten obliegen soll, was mangels entgegenstehender Anhaltspunkte auch hinsichtlich der Schadensersatzklage nach Art. 82 DSGVO der Fall sein soll. Dies stünde laut EuGH auch mit den Zielen der DSGVO, nämlich einem angemessenen Schutzniveau und der Gewährleistung der praktischen Wirksamkeit des Rechtsbehelfs der Schadensersatzklage im Einklang.
Weiterhin hielt der EuGH fest, dass ein gerichtliches Sachverständigengutachten kein generell notwendiges und ausreichendes Beweismittel für die Beurteilung der Geeignetheit der Sicherheitsmaßnahmen sein kann. Zwar lägen verfahrensrechtliche Modalitäten der Rechtsbehelfe mangels Entgegenstehenden nach Grundsatz der Verfahrensautonomie in der Regelungskompetenz der Nationalstaaten, allerdings im Rahmen des Äquivalenz- und Effektivitätsgrundsatzes. Gegen Letzteren würde die Notwendigkeit eines Sachverständigengutachtens verstoßen, da auch andere Beweismittel sich als ausreichend erweisen könnten (z. B. kürzlich durchgeführte Kontrollen durch Behörden). Ebenfalls könne nicht verallgemeinert auf das Ausreichen eines Sachverständigengutachtens als Nachweis der Geeignetheit abgestellt werden, sondern es sei aufgrund des Rechts des Betroffenen auf einen wirksamen gerichtlichen Rechtsbehelf eine weitergehende objektive Beurteilung des Gerichts, die über ein solches Gutachten hinausgeht, erforderlich.
Vorlagefrage 4 – Haftungsausschluss bei Einwirkung Cyberkrimineller?
Aus dem Wortlaut des Art. 82 DSGVO, der den Schadensersatzanspruch kodifiziert, sowie aus zugehörigen Erwägungsgründen der DSGVO ergibt sich, dass der Verantwortliche nur von der Haftung befreit werden kann, wenn er nachweisen kann, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Haben Cyberkriminelle eine Verletzung des Schutzes personenbezogener Daten begangen, sei dies dem Verantwortlichen also zuzurechnen, sofern dieser durch Missachtung seiner Verpflichtungen aus der DSGVO die Verletzung überhaupt erst ermöglicht hat – es komme demnach entscheidend auf den Kausalzusammenhang an. Ein pauschaler Haftungsausschluss des Verantwortlichen bei Einfluss Cyberkriminelle lehnt der EuGH zu Recht ab.
Vorlagefrage 5 – Befürchtung missbräuchlicher Verwendung personenbezogener Daten durch Dritte infolge DSGVO-Verstoßes als ersatzfähiger immaterieller Schaden
Weiterhin wurde der EuGH gefragt, ob die betroffenenseitige Befürchtung missbräuchlicher Verwendung personenbezogener Daten durch Dritte infolge eines DSGVO-Verstoßes des Verantwortlichen einen nach Art. 82 DSGVO ersatzfähigen immateriellen Schaden darstellt. Der Wortlaut des Artikels schließt dies aufgrund fehlender Einschränkung des Begriffs des immateriellen Schadens nicht aus. Auch aus dem zugehörigen 146. Erwägungsgrund der DSGVO geht hervor, dass der Schadensbegriff möglichst weit ausgelegt werden soll, was auch dem hohen Schutzniveau für natürliche Personen ausgehend von der DSGVO entspreche. Im 85. Erwägungsgrund der DSGVO wird sogar explizit der „Verlust der Kontrolle“ über die eigenen Daten der Betroffenen infolge eines Verstoßes gegen die DSGVO als möglicher Schaden aufgezählt, was impliziere, dass dieser Schadensbegriff auch Grundlage des Begriffs in Art. 82 DSGVO sein müsse, weshalb die Befürchtung missbräuchlicher Verwendung von Daten ersatzfähig sei.
Der Gerichtshof weist jedoch darauf hin, dass der Betroffene die Beweislast für das Erleiden eines immateriellen Schadens trägt und das nationale Gericht zu prüfen hat, ob die Befürchtung missbräuchlicher Datenverwendung durch Dritte unter den Umständen des Einzelfalls als begründet angesehen werden kann.