Allein im Jahr 2023 gab es nach dem Bericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) zur Lage der IT-Sicherheit in Deutschland mindestens 68 erfolgreiche Ransomware-Angriffe auf Unternehmen. Für die betroffenen Unternehmen hat ein solcher Angriff oft erhebliche Folgen – neben Produktionsausfällen, dem Verlust von Betriebsgeheimnissen und Lösegeldforderungen drohen vor allem datenschutzrechtliche Risiken. Zum einen kann eine Datenschutzaufsichtsbehörde ein Bußgeld verhängen oder andere Maßnahmen erlassen, wenn die Cybersicherheitsmaßnahmen des Unternehmens nicht die gesetzlichen Anforderungen erfüllen oder es bei dem Umgang mit dem Cyber-Angriff gegen datenschutzrechtliche Vorgaben verstößt, z.B. verpflichtende Meldungen nicht oder zu spät abgibt. Zum anderen können betroffene Personen Ansprüche geltend machen.
In seinem Urteil vom 14. Dezember 2023 (C-340/21) äußert sich der Gerichtshof der europäischen Union („EuGH“) instruktiv zu den Rahmenbedingungen, die das datenschutzrechtliche Risiko bei Cyber-Angriffen beeinflussen. Besonders relevant sind die Ausführungen des EuGH zur Verantwortlichkeit von Unternehmen für datenschutzrechtliche Verstöße aufgrund von Handlungen Dritter, insbesondere der Urheber von Cyber-Angriffen, und zum immateriellen Schadensersatz.
Sachverhalt
Anlass für die Vorlage zum EuGH war ein Cyber-Angriff auf die bulgarische agentsia za prihodite (Nationale Agentur für Einnahmen, „NAP“). Die Finanzbehörde wurde 2019 Opfer eines Cyber-Angriffs, bei dem die personenbezogenen Daten von über sechs Millionen Individuen betroffen waren. Als eine von mehreren hunderten Klägerinnen erhob eine betroffene Person Klage auf immateriellen Schadensersatz in Höhe von BGN 1000 (ca. EUR 510). Nachdem sie in der Vorinstanz unterlag, legte das Oberste Verwaltungsgericht Bulgariens (das „Gericht“) im Rahmen der Berufung mehrere Fragen dem EuGH zu Vorabscheidung vor.
Vorlagefragen, Entscheidung und Einordnung
Geeignetheit der Datensicherheitsmaßnahmen
Zunächst wollte das Gericht wissen, ob allein die Tatsache, dass es bei einem Cyber-Angriff zu einer sog. „Datenpanne“ (d.h. einer „Verletzung des Schutzes personenbezogener Daten i.S.v. Art. 4 Nr. 12 DS-GVO) gekommen ist, schon den Schluss rechtfertigt, dass die Datensicherheitsmaßnahmen des Unternehmens den gesetzlichen Anforderungen (gem. Art. 24, 32 DS-GVO) nicht genügt.Der EuGH argumentiert überzeugend, dass dies nicht der Fall ist. Unternehmen, die personenbezogene Daten als Verantwortliche verarbeiten, müssen zwar geeignete und risikoangemessene Datensicherheitsmaßnahmen ergreifen. Dass diese Maßnahmen im Einzelfall durch einen Cyber-Angriff überwunden werden, bedeutet nicht notwendigerweise, dass das Unternehmen seine Pflichten verletzt hat. Im Gegenteil gewährt Art. 24 DS-GVO explizit die Möglichkeit, die Rechtskonformität der von ihm ergriffenen Maßnahmen nachzuweisen. Auch Art. 82 Abs. 2, 3 DS-GVO sieht eine Entlastungsmöglichkeit vor. Aus Erwägungsgründen 76, 83 lässt sich zudem ablesen, dass auch angemessene Datensicherheitsmaßnahmen das Unternehmen nicht absolut „unverwundbar“ machen müssen.
Um die Geeignetheit und Angemessenheit ihrer Datensicherheitsmaßnahmen darlegen zu können, ist eine sorgfältige Dokumentation dieser Maßnahmen zwingend erforderlich. Organisatorische Sicherheitsmaßnahmen (z.B. Anweisungen zum Berechtigungskonzept oder dem Umgang mit Passwörtern oder Sicherheitsvorfällen) sollten in jedem Fall schriftlich festgehalten und unternehmensintern verbindlich implementiert werden. Die Empfehlungen des BSI zur Standardisierung und Zertifizierung im Bereich Informationssicherheit bieten eine hilfreiche Orientierung.
Betroffenes Unternehmen trägt Beweislast für ausreichende Datensicherheitsmaßnahmen
Außerdem fragte das Gericht den EuGH, ob Unternehmen im Falle von Cyber-Angriffen die Beweislast für die Rechtskonformität ihrer Datensicherheitsmaßnahmen tragen.In seiner Antwort klärt der EuGH eine lange umstrittene Frage und stellt fest, dass der für die Datenverarbeitung Verantwortliche dafür die Beweislast trägt, dass die von ihm getroffenen technischen und organisatorischen Maßnahmen den gesetzlichen Anforderungen genügen. Diese prozessuale Beweislastregel finde auch im Rahmen von Schadensersatzansprüchen Anwendung und folge aus der sogenannten „Rechenschaftspflicht“ gemäß Art. 5 Abs. 2 DS-GVO (i.V.m. Artt. 24 Abs. 1, 32 Abs. 1 DS-GVO).
Verantwortung bei Cyber-Angriffen durch Dritte
Des Weiteren fragte das Gericht, ob Unternehmen von ihrer datenschutzrechtlichen Haftung für einen unbefugten Datenzugriff bzw. eine unbefugte Offenlegung befreit sind, wenn diese durch die Handlung eines Dritten, insbesondere durch einen Cyber-Angriff, herbeigeführt wurden.Der EuGH gibt hierauf eine nuancierte Antwort. Allein die Verursachung der Datenpanne durch einen Cyber-Angriff führe nicht zu einer Enthaftung des betroffenen verantwortlichen Unternehmens. Aus Art. 82 Abs. 2, 3 DS-GVO leitet der EuGH ab, dass der Verantwortliche nachweisen muss, „in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist“, verantwortlich zu sein. Richtigerweise hält der EuGH jedoch fest, dass die Folgen eines Cyber-Angriffs dem Unternehmen, das Opfer eines solchen Angriffs geworden ist, nur zuzurechnen ist, wenn eine Verletzung der Datensicherheitspflichten diesen Angriff ermöglicht hat.
Es genügt daher nicht jede Unterschreitung des gesetzlich geforderten Datensicherheitsniveaus, es muss auch ein Kausalzusammenhang zwischen der Pflichtverletzung und dem erfolgreichen Cyber-Angriff bestehen. Wenn der Angriff auch durch ordnungsgemäße technische und organisatorische Maßnahmen nicht zu verhindern gewesen wäre, besteht kein Anspruch auf Schadensersatz. Hier wird es auf eine sorgfältige Betrachtung des Einzelfalls ankommen.
Schwelle für immateriellen Schadensersatz
Schließlich legte das Gericht die Frage vor, ob allein die Befürchtung, personenbezogene Daten könnten in Zukunft aufgrund der Offenlegung durch Cyberkriminelle in Zukunft missbräuchlich verwendet werden, einen immateriellen Schaden (i.S.v. Art. 82 Abs. 1 DS-GVO) begründen könne.Am 4. Mai 2023 (C-300/21) hatte der EuGH geurteilt, dass es für den immateriellen Schaden i.S.d. Art. 82 Abs. 1 DS-GVO zwar keine „Erheblichkeitsschwelle“ gebe. Der Anspruchsteller müsse aber darlegen, dass ihm tatsächlich ein Schaden entstanden sei; allein das Vorliegen eines Verstoßes gegen die DS-GVO reiche für einen Schadensersatzanspruch nicht aus. Was genau für die Darlegung eines Schadens erforderlich sein soll, blieb dabei zunächst offen. Verbreitet wurde aus den Ausführungen des EuGH der Schluss gezogen, die bloße Offenlegung von personenbezogenen Daten durch einen Cyberangriff könne keinen immateriellen Schaden begründen, weil diese Folge solchen Datenschutzverletzungen immanent sei. Dem scheint der EuGH in seinem neuen Urteil entgegen zu treten. Der Gerichtshof bekennt sich ausdrücklich zu einem „weiten Schadensbegriff“ und lässt insbesondere auch den „bloßen ‚Verlust der Kontrolle‘“ über personenbezogene Daten für die Annahme eines Schadens ausreichen, auch wenn die Daten nicht missbräuchlich verwendet wurden.
Damit wird es in Zukunft sehr auf die Schadensdarlegung im Einzelfall ankommen. Auch wenn der EuGH unter Berufung auf den Schutzzweck der EuGH argumentiert, schon allein die Befürchtung eines Datenmissbrauchs könne einen immateriellen Schaden darstellen, erkennt er doch mit dem Hinweis auf die Nachweispflicht der betroffenen Person an, dass dies nicht stets der Fall ist. Außerdem wird zu klären sein, welche Rolle die objektive Begründetheit der Befürchtung spielt, ob z.B. eine subjektiv stark empfundene, aber faktisch unbegründete Befürchtung einer missbräuchlichen Verwendung keinen Schaden darstellt, eine ohne Beleg behauptete, aber tatsächlich begründete Befürchtung dagegen schon.
Fazit
Insgesamt birgt das Urteil des EuGH das Risiko, dass es von potentiellen Klägern bzw. auf entsprechende Klagen spezialisierten Rechtsdienstleistern als ermutigendes Signal wahrgenommen wird. Die explizite Anerkennung von (bloßen) „Befürchtungen“ eines Datenmissbrauchs als mögliche Grundlage eines immateriellen Schadensersatzes scheint zunächst die Hürden für entsprechende Klagen herabzusetzen.
Gleichzeitig wird eine zutreffende Anwendung der vom EuGH entwickelten Maßstäbe eine sorgfältige Prüfung des Einzelfalls erfordern, was eine massenweise Geltendmachung solcher Ansprüche erschweren dürfte.
In jedem Fall sollten Unternehmen sorgfältig prüfen, ob sie die für ihre Datenverarbeitungstätigkeiten angemessenen Datensicherheitsmaßnahmen getroffen und, angesichts der Beweislastverteilung, hinreichend dokumentiert haben. Die Verschärfung von Datensicherheitsregeln außerhalb des Datenschutzrechts sowie der Anstieg von Cyberkriminalität und anderen Cyberbedrohungen wird tendenziell eine Stärkung von sowohl technischen als auch organisatorischen Sicherheitsmaßnahmen erforderlich machen.