Cyber-Angriffe können für die betroffenen Unternehmen nicht nur hohe eigene Kosten und Ertragsausfälle nach sich ziehen, sondern auch erhebliche Haftungsrisiken gegenüber Dritten. In vielen Fällen werden personenbezogene Daten, die vom betroffenen Unternehmen verarbeitet werden, entwendet und veröffentlicht oder damit gedroht. Sofern eine Datenschutzverletzung vorliegt, können die hiervon Betroffenen Haftungsansprüche gemäß Art. 82 DSGVO gegen das Unternehmen geltend machen. Die Voraussetzungen einer Haftung nach Art. 82 DSGVO waren lange Zeit sehr umstritten. Der europäische Gerichtshof hat in jüngster Zeit in gleich sechs Urteilen, deren Kernaussagen im Folgenden dargestellt werden, für weitgehende Klarheit gesorgt.

EuGH, Urteil vom 04.05.2023 – C-300/21 „Österreichische Post“

Ein bloßer Verstoß gegen die DSGVO reicht für eine Haftung nicht aus. Vielmehr ist der Eintritt eines materiellen oder immateriellen Schadens erforderlich. Nicht jede negative Folge eines DSGVO-Verstoßes stellt einen immateriellen Schaden dar.

Der DSGVO-Verstoß muss für den Eintritt des Schadens kausal gewesen sein.

Art. 82 DSGVO bietet keine Grundlage für Strafschadenersatz. Ausschließlich tatsächlich erlittene Beeinträchtigungen sind auszugleichen.

Es gibt keine Erheblichkeitsschwelle bezüglich des Vorliegens eines immateriellen Schadens, d.h. auch Bagatellschäden sind nach Art. 82 DSGVO ersatzfähig.

EuGH, Urteil vom 14.12.2023 – C-340/21 „Natsionalna agentsia za prihodite“

Die Offenlegung personenbezogener Daten oder der unbefugte Zugang zu diesen stellt für sich genommen noch keinen DSGVO-Verstoß dar.

Die Beweislast für das Vorliegen eines immateriellen Schadens liegt bei der von der Datenschutzverletzung betroffenen Person.

Das von einem Cyber-Angriff betroffene Unternehmen muss bei entsprechendem Klägervortrag darlegen und beweisen, dass die von ihm ergriffenen Sicherheitsmaßnahmen risikoangemessen waren.

Die Beweislast für das Fehlen der Kausalität zwischen DSGVO-Verstoß und Schaden liegt beim Unternehmen.

Bereits die Furcht vor dem Missbrauch entwendeter Daten kann im Einzelfall einen immateriellen Schaden begründen.

EuGH, Urteil vom 14.12.2023 – C-456/22 „Gemeinde Ummendorf“

Die von einer Datenschutzverletzung betroffene Person muss den Nachweis erbringen, dass die Folgen des DSGVO-Verstoßes ursächlich für den Schaden waren.

Auch der kurzzeitige Verlust der Hoheit über die eigenen personenbezogenen Daten kann im Ausnahmefall einen immateriellen Schaden darstellen

EuGH, Urteil vom 21.12.2023 – C-667/21 „Krankenversicherung Nordrhein“

Voraussetzung für die Haftung des die Datenschutzverletzung begehenden Unternehmens im Rahmen von Art. 82 DSGVO ist dessen Verschulden. Das Unternehmen muss sich aber exkulpieren, d.h. die Beweislast für ein Fehlen des Verschuldens liegt beim Unternehmen.

EuGH, Urt. v. 25.01.2024 – C 687/21 „MediaMarkt Saturn“

Die Beweislast für das Vorliegen eines DSGVO-Verstosses liegt beim Kläger.

Unternehmen haften nicht für Versehen der Mitarbeiter, sondern nur für eigene technische und organisatorische Versäumnisse.

Der Begriff „Immaterieller Schaden“ ist unionsrechtlich und weit auszulegen. Auch die bloße Befürchtung der betroffenen Person, dass ihre personenbezogenen Daten missbräuchlich verwendet werden könnten, kann für die Annahme eines ersatzfähigen Schadens ausreichen.
Die Darlegung eines immateriellen Schadens bedarf aber einer begründeten Befürchtung. Rein hypothetische Szenarien reichen nicht aus.

In einem weiteren Urteil vom 11.4.2024, Az. C741/21, hat der EuGH die oben dargestellten Grundsätze bekräftigt und anhand des zu entscheidenden Einzelfalles konkretisiert.

Bei einer Zusammenschau der vom EuGH für Art. 82 DSGVO entwickelten Tatbestandsmerkmale lässt sich feststellen, dass zum einen durch die Zulassung immateriellen Schadenersatzes ohne Bagatellgrenze die Haftung des für personenbezogene Daten Verantwortlichen grundsätzlich sehr weit gefasst ist. Zum anderen ist aber zu berücksichtigen, dass der von einer Datenschutzverletzung Betroffene eine durchaus hohe Darlegungs- und Beweislast bezüglich der Voraussetzungen von Art. 82 DSGVO trägt. Von einem Cyber-Angriff betroffene Unternehmen haben im Hinblick auf Schadenersatzansprüche, die Dritte gem. Art. 82 DSGVO geltend machen, einige Abwehrmöglichkeiten.

Sowohl die Berufshaftpflichtversicherung als auch eine Cyber–Versicherung bietet bei beruflich verursachten Datenschutzverletzungen Versicherungsschutz bezüglich von Dritten geltend gemachten Haftpflichtansprüchen. Eine Cyber-Versicherung bietet zusätzlich Versicherungsschutz für vom Berufsträger zu tragende eigene Aufwendungen und gewährt Zugriff auf IT–Dienstleister, deren Kosten vom Versicherer getragen werden. Der zusätzliche Abschluss einer Cyber–Versicherung neben der Berufshaftpflichtversicherung bietet sich daher an. Hierzu beraten wir Sie gerne.

Mitglied der Geschäftsleitung, Prokurist

Stephan Kohlhaas

+49 (0)2234.95354-50
s.kohlhaas@vlub.de

Stephan Kohlhaas

Wirtschaftsjuristin (L.L.M.)

Alina Hermes

+49 (0)2234.95354-16
a.hermes@vlub.de

Alina Hermes

Sie haben Fragen?

Wir freuen uns auf Ihre Nachricht.

Jetzt kontaktieren