Eine Hand bedient die Tastatur von einem Laptop.

Urteil des EuGH Datenlecks können zu Schadensersatz führen

Stand: 14.12.2023 16:43 Uhr

Das oberste Gericht der EU hat die Rechte von Bürgern gegenüber Firmen und Behörden gestärkt. Sollten bei Hackerangriffen persönliche Daten gestohlen werden, können Betroffene Schadensersatz geltend machen.

Christoph Kehlbach
Von Christoph Kehlbach, ARD-Rechtsredaktion, und Finn Hohenschwert, ARD-Rechtsredaktion

Immer wieder kommt es zu Hackerangriffen auf Unternehmen oder Behörden. Und regelmäßig sind davon auch persönliche Daten von Bürgerinnen und Bürgern betroffen, die dort gespeichert waren. Bislang war oft die einzige Konsequenz, dass diese Stellen dann die betroffenen Personen per Brief oder E-Mail über das Datenleck informiert haben.

Das könnte sich nun ändern. Denn der Europäische Gerichtshof (EuGH) hat in einem neuen Urteil klargestellt: Schon die Befürchtung eines Missbrauchs personenbezogener Daten kann einen ersatzpflichtigen Schaden darstellen.

Buchstaben und Zahlen leuchten auf einem Bildschirm, auf dem ein Hacker-Programm geöffnet ist
Buchstaben und Zahlen leuchten auf einem Bildschirm, auf dem ein Hacker-Programm geöffnet ist

Hackerangriff auf Bulgariens Finanzbehörde

Der Anspruch auf Schadensersatz richtet sich dann gegen den "Datenverantwortlichen". Das ist die Stelle, die die personenbezogenen Daten erhoben beziehungsweise verarbeitet hat. Also gegen die Unternehmen oder die Behörden, die Opfer von Cyberkriminalität wurden.

Im zugrundeliegenden Fall ging es um eine bulgarische Finanzbehörde, die Nationale Agentur für Einnahmen. Diese wurde im Jahr 2019 Opfer eines groß angelegten Hackerangriffs. Personenbezogene Daten von Millionen von Menschen wurden daraufhin im Internet veröffentlicht. Viele der betroffenen Bürgerinnen und Bürger verklagten die Behörde anschließend wegen der Sorge, es könne künftig zu einem Missbrauch ihrer Daten kommen.

Schriftzug der Hotelkette "Motel One"
Schriftzug der Hotelkette "Motel One"

Auch Anspruch bei immateriellen Schaden

Grundsätzlich steht laut europäischer Datenschutz-Grundverordnung Betroffenen bei materiellen oder immateriellen Schäden nach einem Datenschutzverstoß ein Ersatzanspruch gegen den Verantwortlichen zu. Der EuGH hat jetzt klargestellt: Allein die Sorge vor künftigen Datenmissbräuchen nach einem Hackerangriff kann einen solchen immateriellen Schaden darstellen.

Damit stärkt das oberste Gericht der EU die Datenschutzrechte von Bürgerinnen und Bürgern. Und nimmt zugleich Behörden und Unternehmen in die Pflicht, vermehrt auf die Einhaltung der Datenschutzstandards zu achten.

Ein Netzwerk-Kabelstecker leuchtet in der Netzwerkzentrale einer Firma zu Kontrollzwecken rot.

Pflicht zu geeigneten Schutzmaßnahmen

Diesen Anspruch auf Schadensersatz können die Datenverantwortlichen nur abwenden, wenn sie selbst beweisen, dass sie geeignete Schutzmaßnahmen gegen Cyberkriminalität getroffen haben. Sie sind also in der Pflicht.

Der EuGH stellte in diesem Zusammenhang klar: Allein der Umstand, dass es zu einem Datenleck gekommen ist, heißt nicht zwangsläufig, dass die Maßnahmen ungeeignet waren. Das müssen die Gerichte also stets im konkreten Einzelfall beurteilen.

Finn Hohenschwert, SWR, tagesschau, 14.12.2023 15:44 Uhr

Dieses Thema im Programm: Über dieses Thema berichtete Deutschlandfunk am 14. Dezember 2023 um 20:37 Uhr.

Zur Startseite
© ARD-aktuell / tagesschau.de