EuGH-Entscheidung vom 14.12.2023, Rechtssache C\u2011340\/21<\/p>\n
<\/p>\n
Sachverhalt:<\/strong><\/p>\n Die NAP ist eine dem bulgarischen Finanzminister unterstellte Beh\u00f6rde. Im Rahmen ihrer Aufgaben ist sie f\u00fcr die Verarbeitung personenbezogener Daten verantwortlich.<\/p>\n 2019 wurde in den Medien dar\u00fcber berichtet, dass in das IT-System der NAP eingedrungen worden sei und infolge dieses Cyberangriffs in diesem System enthaltene personenbezogene Daten von Millionen von Menschen im Internet ver\u00f6ffentlicht worden seien. Zahlreiche Personen verklagten die NAP auf Ersatz des immateriellen Schadens, der ihnen aus der Bef\u00fcrchtung eines m\u00f6glichen Missbrauchs ihrer Daten entstanden sein soll.<\/p>\n Das bulgarische Oberste Verwaltungsgericht legt das Verfahren dem EuGH zur Vorabentscheidung vor.<\/p>\n <\/p>\n Entscheidung:<\/strong><\/p>\n Der EuGH hielt zun\u00e4chst fest, dass sich aus dem Wortlaut der Art.\u00a024 und 32 DSGVO ergibt, dass diese Bestimmungen dem Verantwortlichen lediglich vorschreiben, technische und organisatorische Ma\u00dfnahmen<\/strong> zu treffen, die darauf gerichtet sind, jede Verletzung des Schutzes personenbezogener Daten so weit wie m\u00f6glich zu verhindern<\/strong>. Die Geeignetheit solcher Ma\u00dfnahmen ist konkret zu bewerten, indem gepr\u00fcft wird, ob der Verantwortliche diese Ma\u00dfnahmen unter Ber\u00fccksichtigung der verschiedenen in den genannten Artikeln aufgef\u00fchrten Kriterien und der Datenschutzbed\u00fcrfnisse<\/strong> getroffen hat, die speziell mit der betreffenden Verarbeitung sowie den davon ausgehenden Risiken verbunden sind. Art.\u00a024 und 32 DSGVO sind dahin auszulegen, dass eine unbefugte Offenlegung von bzw. ein unbefugter Zugang<\/strong> zu personenbezogenen Daten durch \u201eDritte\u201c allein nicht ausreicht, um anzunehmen, dass die technischen und organisatorischen Ma\u00dfnahmen nicht \u201egeeignet\u201c<\/strong> waren. Der Verantwortliche tr\u00e4gt die Beweislast<\/strong> daf\u00fcr, dass die getroffenen Schutzma\u00dfnahmen geeignet waren.<\/p>\n Der Verantwortliche muss grunds\u00e4tzlich einen Schaden ersetzen<\/strong>, der durch einen mit dieser Verarbeitung im Zusammenhang stehenden Versto\u00df gegen die DSGVO verursacht wurde. Er kann nur dann von seiner Haftung befreit<\/strong> werden, wenn er den Nachweis<\/strong> erbringt, dass er in keinerlei Hinsicht f\u00fcr den Umstand, durch den der Schaden eingetreten ist, verantwortlich<\/strong> ist.<\/p>\n Wenn, wie im vorliegenden Fall, eine Verletzung des Schutzes personenbezogener Daten von Cyberkriminellen und damit von \u201eDritten\u201c<\/strong> im Sinne von Art.\u00a04 Nr.\u00a010 DSGVO begangen wurde, kann diese Verletzung dem Verantwortlichen nur dann zugerechnet werden, wenn dieser die Verletzung unter Missachtung einer Verpflichtung aus der DSGVO<\/strong> erm\u00f6glicht hat. Somit kann sich der Verantwortliche bei einer Verletzung des Schutzes personenbezogener Daten durch einen Dritten von seiner Haftung befreien, indem er nachweist, dass es keinen Kausalzusammenhang<\/strong> zwischen der etwaigen Verletzung der Verpflichtung zum Datenschutz durch ihn und dem der nat\u00fcrlichen Person entstandenen Schaden gibt.<\/p>\n Allein der Umstand, dass eine betroffene Person infolge eines Versto\u00dfes gegen die DSGVO bef\u00fcrchtet, dass ihre personenbezogenen Daten durch Dritte missbr\u00e4uchlich verwendet werden k\u00f6nnten, kann einen \u201eimmateriellen Schaden\u201c darstellen.<\/strong> Wenn eine Person auf dieser Grundlage Schadenersatz fordert, und sich auf die Bef\u00fcrchtung beruft, dass ihre personenbezogenen Daten in Zukunft missbr\u00e4uchlich verwendet werden, hat das nationale Gericht zu pr\u00fcfen, ob diese Bef\u00fcrchtung unter den gegebenen besonderen Umst\u00e4nden und im Hinblick auf die betroffene Person als begr\u00fcndet angesehen werden kann.<\/p>\n <\/p>\n <\/p>\n Link zur Entscheidung<\/a><\/p>\n Link zur Pressemitteilung<\/a><\/p>\n <\/p>\n Weitere Blog-Beitr\u00e4ge zum Thema Datenschutzrecht:<\/strong><\/p>\n Immaterieller Schadenersatz bei Verst\u00f6\u00dfen gegen die DSGVO? Versto\u00df allein gen\u00fcgt nicht. Schaden erforderlich. Aber: Keine \u201eErheblichkeitsschwelle\u201c.<\/a><\/p>\n EuGH zu DSGVO-Geldbu\u00dfen: Versto\u00df muss schuldhaft begangen worden sein. H\u00f6he richtet sich nach weltweitem Jahresumsatz.<\/a><\/p>\n DSGVO-Schadenersatz f\u00fcr Schulwart, der irrt\u00fcmlich in Lehrerbewertungs-App aufgenommen wurde.<\/a><\/p>\n Erfassen des Stromverbrauchs durch \u201eSmart Meter\u201c: Kein Anspruch auf Schadenersatz auf Grundlage der DSGVO aufgrund Sorgen allgemeiner Natur<\/a><\/p>\n \u201eEin Idiotenhaufen \u2026 zum Durchdrehen\u201c. Berechtigtes Interesse und Erforderlichkeit der Einsichtnahme eines Arbeitgebers in das E-Mail-Konto von Mitarbeitern.<\/a><\/p>\n EuGH: DSGVO gew\u00e4hrt Recht auf Auskunft \u00fcber Zeitpunkt und Grund f\u00fcr Abfrage personenbezogener Daten. Jedoch zumeist keine Auskunft \u00fcber konkreten Arbeitnehmer, der die Abfrage vornimmt.<\/a><\/p>\n EuGH: Recht auf \u201eKopie\u201c von verarbeiteten personenbezogenen Daten = Ausfolgung originalgetreuer und verst\u00e4ndlicher Reproduktion aller dieser Daten.<\/a><\/p>\n