Bereits die Befürchtung eines Datenmissbrauchs kann einen immateriellen Schaden darstellen und zu Schadenersatzforderungen führen.
Der Europäische Gerichtshof (EuGH) hat festgestellt das bereits bei einem möglichen Missbrauch von persönlichen Daten einen Schadenersatz durch den/die betroffene eingefordert werden kann.
Für Verantwortliche (Unternehmen) bedeutet dieses:
- Um einen Schadenersatzanspruch abzuwehren, muss das Unternehmen welches Opfer eines Cyberangriffs wurde nachweisen können, dass die getroffenen Schutzmaßnahmen geeignet waren, um einen solchen Angriff zu verhindern. Der Verantwortliche muss nachweisen können das er “in keinerlei Hinsicht für den Schaden verantwortlich” ist.
Für Betroffenen bedeutet dieses:
- Betroffenen können nicht einfach behaupten, dass sie einen immateriellen Schaden erlitten haben. Sie müssen nachweisen das sie bereits durch eine mögliche zukünftige missbrauchs ihrer personenbezogenen Daten geschädigt wurden. Hierzu könnte bereits der Verlust von Lebensqualität oder Zukunftsängste ausreichend sein.
Für die hiesigen Gerichte bedeutet dieses:
- Sie müssen bei der Beurteilung, ob ein Verantwortlicher für den Schaden verantwortlich ist, die ex ante Risiken (Betrachtet nach der Ausgangssituation) und die Angemessenheit der getroffenen Maßnahmen prüfen.
Fazit:
Mit dieser Feststellung hat die EuGh die Rechte von Verbrauchern in der EU enorm gestärkt. Auf Verantwortliche (Unternehmer bzw. Datenverarbeiter) wird im Fall eines Hackerangriffs schwierig sein nachzuweisen, dass ihre Schutzmaßnahmen geeignet waren und sie in keinerlei Hinsicht für den Schaden verantwortlich sind. Da sich die EuGH bei dieser Feststellung nicht auf eine “größere” Menge von betroffenen Daten bezieht, wird es zukünftig vorallem für kleinere Unternehmen, ein großes Risiko für Schadenersatzansprüche bei einem Cyberangriffs geben.
Die Verantwortlichen dieser Unternehmen werden zukünftig Ihre Dokumentierungs- und Nachweispflicht weitaus sorgfältiger nachkommen müssen.