Haftung bei unbefugtem Zugang zu personenbezogenen Daten durch Dritte

Bei einem unbefugten Zugang zu personenbezogenen Daten durch Dritte haftet der Verantwortliche für mutmaßliches Verschulden und es kommt eventuell ein Ersatz des immateriellen Schadens in Betracht. Für eine Haftungsbefreiung muss der Verantwortliche nachweisen, dass er für den Umstand, durch den der Schaden eingetreten ist, in keinerlei Hinsicht verantwortlich ist. Die Befürchtung eines künftigen Missbrauchs personenbezogener Daten kann jedoch nur dann einen immateriellen Schaden darstellen, wenn es sich um einen realen und sicheren emotionalen Schaden und nicht nur um ein Ärgernis oder eine Unannehmlichkeit handelt.

Der Sachverhalt:
Am 15. Juli 2019 verbreiteten die bulgarischen Medien die Nachricht, dass ein unbefugter Zugang zum Informationssystem der bulgarischen Nationalen Agentur für Einnahmen (NAP) erfolgt sei und dass verschiedene Steuer- und Sozialversicherungsdaten von Millionen von Menschen im Internet veröffentlicht worden seien. Mehrere Personen, darunter V.B., verklagten die NAP auf Ersatz des immateriellen Schadens, der sich in Sorgen und Befürchtungen des künftigen Missbrauchs ihrer personenbezogenen Daten äußere. Nach Ansicht von V.B. hatte die NAP gegen nationale Vorschriften und ihre Verpflichtung verstoßen, geeignete Maßnahmen zu ergreifen, um als Verantwortliche bei der Verarbeitung personenbezogener Daten angemessene Sicherheitsstandards zu gewährleisten. Das erstinstanzliche Gericht wies die Klage mit der Begründung ab, dass die Veröffentlichung der Daten nicht der NAP zuzurechnen sei, dass die Beweislast für die Geeignetheit der Maßnahmen bei V.B. liege und dass kein immaterieller Schaden geltend gemacht werden könne. Das mit der Kassationsbeschwerde befasste Oberste Verwaltungsgericht hat dem Gerichtshof einige Fragen zur Auslegung der DSGVO zur Vorabentscheidung vorgelegt, um zu klären, unter welchen Bedingungen eine Person, deren personenbezogene Daten, die sich im Besitz einer öffentlichen Agentur befinden, nach einem Hackerangriff im Internet veröffentlicht wurden, Ersatz des immateriellen Schadens verlangen kann.

In seinen Schlussanträgen weist Generalanwalt Giovanni Pitruzzella zunächst darauf hin, dass der Verantwortliche geeignete technische und organisatorische Maßnahmen umsetzen müsse, um sicherzustellen, dass die Verarbeitung personenbezogener Daten gemäß der Verordnung erfolge. Die Geeignetheit dieser Maßnahmen werde unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen auf der Grundlage einer Einzelfallprüfung bestimmt.

Die Gründe:
Das Vorliegen einer „Verletzung des Schutzes personenbezogener Daten“ an sich reicht nicht aus, um anzunehmen, dass die vom Verantwortlichen ergriffenen technischen und organisatorischen Maßnahmen nicht „geeignet" gewesen sind, um den Schutz der Daten zu gewährleisten. Bei der Auswahl der Maßnahmen muss der Verantwortliche eine Reihe von Faktoren berücksichtigen, darunter den „Stand der Technik“, der eine Begrenzung des technologischen Niveaus der Maßnahmen auf das, was zum Zeitpunkt des Ergreifens der Maßnahmen vernünftigerweise möglich ist, zulässt, wobei auch die Implementierungskosten zu berücksichtigen sind. Die Entscheidung des Verantwortlichen unterliegt einer möglichen gerichtlichen Prüfung der Vereinbarkeit mit der Verordnung. Die Beurteilung der Geeignetheit der Maßnahmen muss auf einer Abwägung zwischen den Interessen der betroffenen Person und den wirtschaftlichen Interessen und technischen Möglichkeiten des Verantwortlichen unter Wahrung des allgemeinen Verhältnismäßigkeitsgrundsatzes beruhen.

Zweitens muss das nationale Gericht bei der Prüfung der Frage, ob die Maßnahmen geeignet gewesen sind, eine Überprüfung vornehmen, die sich auf eine konkrete Analyse sowohl des Inhalts der Maßnahmen als auch der Art und Weise ihrer Durchführung und ihrer praktischen Auswirkungen erstreckt. Bei der gerichtlichen Überprüfung müssen daher alle Faktoren berücksichtigt werden, die in der Verordnung enthalten sind. Unter diesen Faktoren kann die Einführung von Verhaltensregeln oder Zertifizierungssystemen ein nützliches Element der Bewertung zum Zweck der Erfüllung der Beweispflicht sein, wobei der Verantwortliche nachweisen muss, dass er die in den Verhaltensregeln vorgesehenen Maßnahmen tatsächlich ergriffen hat, während die Zertifizierung als solche den Beweis für die Übereinstimmung der durchgeführten Verarbeitungen mit der Verordnung darstellt. Da diese Maßnahmen erforderlichenfalls überprüft und aktualisiert werden müssen, hat das Gericht auch diesen Umstand zu würdigen.

Drittens obliegt dem Verantwortlichen der Nachweis, dass die Maßnahmen geeignet sind. Gemäß dem Grundsatz der Verfahrensautonomie ist es Sache der innerstaatlichen Rechtsordnung jedes Mitgliedstaats, die zulässigen Beweismittel und deren Beweiskraft, einschließlich der Ermittlungsmaßnahmen, zu bestimmen.

Viertens stellt der Umstand, dass der Verstoß gegen die Verordnung von einem Dritten begangen worden ist, für sich genommen keinen Grund dar, den Verantwortlichen von der Haftung zu befreien. Für eine Haftungsbefreiung muss der Verantwortliche mit hohem Beweisniveau nachweisen, dass er für den Umstand, durch den der Schaden eingetreten ist, in keinerlei Hinsicht verantwortlich ist. Bei der Haftung für die unrechtmäßige Verarbeitung personenbezogener Daten handelt es sich nämlich um eine verschärfte Haftung für mutmaßliches Verschulden. Der Verantwortliche hat daher die Möglichkeit, einen Entlastungsbeweis vorzulegen.

Der Schaden, der in der Befürchtung eines möglichen künftigen Missbrauchs der personenbezogenen Daten besteht und dessen Vorhandensein die betroffene Person nachgewiesen hat, kann einen immateriellen Schaden darstellen, der einen Schadensersatzanspruch begründet. Dies gilt aber nur, wenn es sich um einen realen und sicheren emotionalen Schaden und nicht nur um ein Ärgernis oder eine Unannehmlichkeit handelt.

Mehr zum Thema:

Aufsatz:
Der EuGH und die DSGVO – ein Nadelöhr zur Rechtssicherheit
Philippe Heinzke / Kevin Leibold, CR 2023, 90

Aufsatz:
Aktuelle Entwicklungen bei der (prozessualen) Rechtsdurchsetzung im Datenschutzrecht
Daniel Schlemann, DB 2023, 879

Beratermodul Computer und Recht - CR:
Die umfassende Datenbank zum Recht der Informationstechnologie. Inklusive Selbststudium nach § 15 FAO. Wann immer es zeitlich passt: Für Fachanwälte bietet dieses Modul Beiträge zum Selbststudium mit Lernerfolgskontrolle und Fortbildungszertifikat. 4 Wochen gratis nutzen!