Werbung
Ein wegweisendes Urteil des EuGH könnte die Rechte von Bürgern innerhalb Europas gegenüber Unternehmen aber auch Behörden deutlich stärken. Erstmals entschied das oberste Gericht der EU, dass durch Dritte entwendete persönliche Daten einen Schadensersatz zugunsten der Betroffenen auslösen können.
Plattformen, die persönliche Daten speichern und diese nur unzureichend sichern, gibt es viel zu viele. Oft haben es Angreifer sogar ziemlich leicht, an die begehrten Datensätze heranzukommen. Abwehrmaßnahmen kosten viel Geld und nennenswerte Sanktionen gab es bisher kaum. Bestenfalls wurde man im Anschluss von dem Betreiber schriftlich über das Datenleck informiert. Ein neues Urteil des Europäische Gerichtshof könnt diese bisher gängige Praxis aber auf den Kopf stellen.
Denn das Gericht stellt klar, dass schon allein die Befürchtung eines Missbrauchs der entwendeten personenbezogenen Daten einen ersatzpflichtigen Schaden darstellen kann. In dem Fall richtet sich der Anspruch gegen den sogenannten Datenverantwortlichen, also dem Plattforminhaber, der die personenbezogenen Daten erhoben und/oder verarbeitet hat.
Dem Urteil vorausgegangen ist ein umfangreicher Hackerangriff auf die bulgarische Finanzbehörde im Jahr 2019. Seinerzeit wurden Datensätze von Millionen Menschen entwendet und wenig später im Internet veröffentlicht. Einige Betroffene verklagten die Behörde im Anschluss und begründeten dies mit der Sorge, dass ihre Daten in Zukunft missbräuchlich verwendet werden könnten.
Grundsätzlich gibt die DSGVO den Bürgern der EU bereits ein Mittel an die Hand, um einen Ersatzanspruch bei materiellen und immateriellen Schäden durch einem Datenschutzverstoß zu begründen. Neu ist, dass die bloße Sorge um den Missbrauch der eigenen Daten bereits einen solchen immateriellen Schaden darstellen kann. Die Datenverantwortlichen können sich dagegen nur wehren, wenn sie beweisen können, dass sie alle geeigneten Schutzmaßnahmen gegen Cyberangriffe umgesetzt haben.