EuGH-Entscheidung vom 14.12.2023, Rechtssache C‑340/21
Sachverhalt:
Die NAP ist eine dem bulgarischen Finanzminister unterstellte Behörde. Im Rahmen ihrer Aufgaben ist sie für die Verarbeitung personenbezogener Daten verantwortlich.
2019 wurde in den Medien darüber berichtet, dass in das IT-System der NAP eingedrungen worden sei und infolge dieses Cyberangriffs in diesem System enthaltene personenbezogene Daten von Millionen von Menschen im Internet veröffentlicht worden seien. Zahlreiche Personen verklagten die NAP auf Ersatz des immateriellen Schadens, der ihnen aus der Befürchtung eines möglichen Missbrauchs ihrer Daten entstanden sein soll.
Das bulgarische Oberste Verwaltungsgericht legt das Verfahren dem EuGH zur Vorabentscheidung vor.
Entscheidung:
Der EuGH hielt zunächst fest, dass sich aus dem Wortlaut der Art. 24 und 32 DSGVO ergibt, dass diese Bestimmungen dem Verantwortlichen lediglich vorschreiben, technische und organisatorische Maßnahmen zu treffen, die darauf gerichtet sind, jede Verletzung des Schutzes personenbezogener Daten so weit wie möglich zu verhindern. Die Geeignetheit solcher Maßnahmen ist konkret zu bewerten, indem geprüft wird, ob der Verantwortliche diese Maßnahmen unter Berücksichtigung der verschiedenen in den genannten Artikeln aufgeführten Kriterien und der Datenschutzbedürfnisse getroffen hat, die speziell mit der betreffenden Verarbeitung sowie den davon ausgehenden Risiken verbunden sind. Art. 24 und 32 DSGVO sind dahin auszulegen, dass eine unbefugte Offenlegung von bzw. ein unbefugter Zugang zu personenbezogenen Daten durch „Dritte“ allein nicht ausreicht, um anzunehmen, dass die technischen und organisatorischen Maßnahmen nicht „geeignet“ waren. Der Verantwortliche trägt die Beweislast dafür, dass die getroffenen Schutzmaßnahmen geeignet waren.
Der Verantwortliche muss grundsätzlich einen Schaden ersetzen, der durch einen mit dieser Verarbeitung im Zusammenhang stehenden Verstoß gegen die DSGVO verursacht wurde. Er kann nur dann von seiner Haftung befreit werden, wenn er den Nachweis erbringt, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.
Wenn, wie im vorliegenden Fall, eine Verletzung des Schutzes personenbezogener Daten von Cyberkriminellen und damit von „Dritten“ im Sinne von Art. 4 Nr. 10 DSGVO begangen wurde, kann diese Verletzung dem Verantwortlichen nur dann zugerechnet werden, wenn dieser die Verletzung unter Missachtung einer Verpflichtung aus der DSGVO ermöglicht hat. Somit kann sich der Verantwortliche bei einer Verletzung des Schutzes personenbezogener Daten durch einen Dritten von seiner Haftung befreien, indem er nachweist, dass es keinen Kausalzusammenhang zwischen der etwaigen Verletzung der Verpflichtung zum Datenschutz durch ihn und dem der natürlichen Person entstandenen Schaden gibt.
Allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, kann einen „immateriellen Schaden“ darstellen. Wenn eine Person auf dieser Grundlage Schadenersatz fordert, und sich auf die Befürchtung beruft, dass ihre personenbezogenen Daten in Zukunft missbräuchlich verwendet werden, hat das nationale Gericht zu prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet angesehen werden kann.
Weitere Blog-Beiträge zum Thema Datenschutzrecht:
DSGVO-Schadenersatz für Schulwart, der irrtümlich in Lehrerbewertungs-App aufgenommen wurde.