Haftungsfragen bei Cyber-Attacken: Neue Entscheidung des Europäischen Gerichtshofs

Wirtschaftsunternehmen stehen mehr und mehr im Fokus von Cyber-Attacken, die für betroffene Unternehmen nicht nur komplizierte Verhaltens-, sondern auch essenzielle Haftungsfragen mit sich bringen. Eine sich immer mehr etablierende Klägerindustrie spezialisiert sich auf die Geltendmachung von Schadensersatzansprüchen nach der Datenschutz-Grundverordnung („DSGVO“). Antworten auf einige haftungsrelevante Fragen gab der Europäische Gerichtshof („EuGH“) nun in seinem Urteil vom 14. Dezember 2023 in der Rechtssache C-340/21, dem ein Vorabentscheidungsverfahren aus Bulgarien vorausgegangen ist. Hintergrund dieses Verfahrens war ein Vorfall aus 2019, bei dem Dritte widerrechtlich Zugang zum IT-System der bulgarischen Nationalen Agentur für Einnahmen („NAP“) erlangten. Infolgedessen kam es zur Veröffentlichung von Steuer- sowie Sozialversicherungsdaten im Internet. Auf die Berichterstattung bulgarischer Medien hin erhob die Klägerin des Ausgangsverfahrens Schadensersatzklage gegen die NAP und begründete diese mit unterlassenen technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der verarbeiteten personenbezogenen Daten.

Die bisher uneinheitliche Rechtsprechung auch der deutschen Gerichte wird nun mit dem aktuellen Urteil des EuGH eine Vereinheitlichung erfahren. In der Gesamtbetrachtung ist davon auszugehen, dass das Urteil des EuGH aufgrund der nachfolgenden Entscheidungspunkte weitreichende Folgen für von einer Cyber-Attacke betroffene Unternehmen mit sich bringt:

• Zwar hat der EuGH entschieden, dass nicht allein aus dem Umstand einer unbefugten Offenlegung bzw. des unbefugten Zugangs zu personenbezogenen Daten abgeleitet werden kann, dass der für die Verarbeitung Verantwortliche ungeeignete Maßnahmen zum Schutz der personenbezogenen Daten ergriffen hat. Nach der Auffassung des EuGH trägt jedoch der für die Verarbeitung Verantwortliche die Beweislast dafür, dass die getroffenen Schutzmaßnahmen tatsächlich geeignet waren.

• Um einer Schadensersatzpflicht gegenüber betroffenen Personen entgehen zu können, muss ein für die Verarbeitung Verantwortlicher nachweisen, dass er in keinerlei Hinsicht für einen entstandenen Schaden in Folge einer Cyber-Attacke verantwortlich ist.

• Allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, kann einen immateriellen Schadensersatz darstellen.

In der Praxis ist es daher für Unternehmen unerlässlich, die implementierten technischen und organisatorischen Schutzmaßnahmen regelmäßig zu überprüfen und umfassend zu dokumentieren. Dies gerade vor dem Hintergrund, dass der EuGH hohe Anforderungen für eine Exkulpation eines Verantwortlichen aufgestellt hat. Zudem sollten Unternehmen über geeignete Prozesse und Notfallpläne verfügen, um angemessen auf eine Cyber-Attacke reagieren und einen möglichen Schaden minimieren zu können. Es ist aufgrund des Urteils des EuGH zu erwarten, dass die Klägerindustrie weiteren Aufwind bekommt und Cyber-Attacken zukünftig regelmäßig eine Vielzahl von Schadensersatzforderungen betroffener Personen nach sich ziehen werden.

Gerne unterstützen wir Sie dabei, für den Fall einer Cyber-Attacke auf Ihr Unternehmen bestmöglich vorbereitet zu sein.