taz.de -- EuGH zu Schadenersatz bei Datenleaks: Geld für Angst

Bereits bei einem möglichen Missbrauch persönlicher Daten können Betroffene Schadenersatz einklagen. Das hat der Europäische Gerichtshofs entschieden.
Bild: Der europäische Gerichtshof

LEIPZIG taz | Wenn private Daten nach einen Hackerangriff auf Behörden oder Unternehmen offengelegt werden, haben die Betroffenen grundsätzlich Anspruch auf Schadenersatz. Dies entschied jetzt der Europäische Gerichtshof (EuGH).

Konkret ging es um einen Fall aus Bulgarien. Unbekannte Hacker hatten die Computer der Nationalen Einnahmebehörde, wohl einer Art Steuerbehörde, infiltriert und anschließend sensible Daten von 6 Millionen Menschen im Netz veröffentlicht. Hunderte Betroffene verlangten Schadenersatz, doch die Behörde lehnte ab, sie habe die Daten ausreichend geschützt.

Das Verwaltungsgericht Sofia nahm den Fall zum Anlass und legte dem EuGH grundsätzliche Fragen zur Haftung bei Hackerangriffen vor. Wichtigstes Ergebnis: Wer nach einer Hackerattacke befürchten muss, dass seine Daten missbraucht werden können, hat grundsätzlich Anspruch auf Schadenersatz.

Der EuGH setzte sich damit über das Votum des unabhängigen Generalanwalts Giovanni Pitruzella hinweg, der „Sorgen, Befürchtungen und Ängste vor einem möglichen Missbrauch“ nicht ausreichen lassen wollte. Dagegen entschied der EuGH nun, es sei nicht erforderlich, dass der psychische Schaden „einen bestimmten Grad an Erheblichkeit erreicht hat“.

Beweislast trägt die Behörde

Allerdings müssen Hacking-Betroffene zumindest nachweisen, dass sie solche Befürchtungen haben. Und sie müssen nachweisen, dass der Inhaber der Daten, hier die bulgarische Behörde, die Daten nicht ausreichend gegen Hacker geschützt hat. Die Beweislast, dass ein angemessener Schutz realisiert wurde, trägt laut EuGH aber die Behörde. Ob und wie viel Schadenersatz verlangt werden kann, entscheiden dann jeweils die nationalen Gerichte nach den Umständen des Einzelfalls.

Der EuGH setzte diesmal andere Akzente als im Mai bei einem Fall aus Österreich. Damals hatte der EU-Gerichtshof betont, dass eine bloße Verletzung der EU-Datenschutzgrundverordnung (DSGV) noch keinen Anspruch auf Schadenersatz verschafft. Es müsse zumindest ein realer Schaden eingetreten sein. Im Ergebnis entspricht dem auch das aktuelle Urteil. Die Tonlage ist aber eine deutlich andere.

14 Dec 2023

AUTOREN

Christian Rath

TAGS

Datenschutz
EuGH
Datenschutzgrundverordnung
Bulgarien
Schwerpunkt Krieg in der Ukraine
Hacker
Cybersicherheit
Digitalisierung
Bahncard
Datenschutz
Datenschutz

ARTIKEL ZUM THEMA

Schadsoftware „Kapeka“: Hintertür für Russland

Finnische Sicherheitsforscher*innen haben eine gefährliche Hintertür für Windows-Systeme gefunden. Die Schadsoftware tarnt sich als Add-In.

Lockbit zerschlagen: „Schädlichste Hackergruppe der Welt“

Ob Privatpersonen oder Firmen – Lockbit hat Tausende mit Daten erpresst und zu Opfern gemacht. Jetzt haben Ermittler*innen die Gruppe wohl zerschlagen.

IT-Berater über Sicherheit im Netz: „Ein fundamentales Unverständnis“

Künstliche Intelligenz bringt Hackern neue Möglichkeiten für Cyber-Angriffe. IT-Berater Linus Neumann erklärt, warum sich Menschen online schlecht schützen.

Rechtsexpertin über Verbraucherrechte: „Ein Akteur haftet immer“

Masterarbeit futsch, smartes Türschloss zu: Wenn Software Schäden verursacht, haben Verbraucher:innen schlechte Karten. Noch. Wird es besser?

App-Pflicht bei der Bahncard: Digitale Spaltung, hausgemacht

Die Plastik-Bahncard gehört bald der Vergangenheit an. Probleme sind damit vorprogrammiert und Kund:innen ohne digitale Affinität bleiben außen vor.

Umstrittenes EU-Überwachungsgesetz: Anlasslose Chatkontrolle abgesagt

Bürgerrechtler:innen jubeln: Das EU-Parlament will das Überwachungsgesetz entschärfen. Doch auch am jüngsten Entwurf gibt es Kritik.

Instagram und Facebook werbefrei nutzen: Win-win-Situation für Meta

Beim Facebook-Konzern zahlt man nun zweistellig, um keine Werbung zu sehen, Daten werden trotzdem gesammelt. Damit will Meta EU-Regeln umgehen.