Das neueste Urteil des Europäischen Gerichtshofs (EuGH) in der Rechtssache C-340/21 hat bedeutende Auswirkungen auf die Haftung und den Schutz personenbezogener Daten nach Datenschutzverletzungen. 

Hintergrund

Datenleck bei der Bulgarischen Nationalen Agentur für Einnahmen (NAP)

Die NAP, eine Behörde des bulgarischen Finanzministeriums, wurde im Juli 2019 Opfer eines Cyberangriffs. Hacker drangen in das IT-System der NAP ein und veröffentlichten personenbezogene Daten von Millionen Menschen im Internet. Die betroffenen Personen klagten auf Schadensersatz, basierend auf dem immateriellen Schaden durch die Befürchtung eines möglichen Datenmissbrauchs.

Kernpunkte des EuGH-Urteils

Das bulgarische Oberste Verwaltungsgericht stellte dem EuGH mehrere Fragen zur Auslegung der Datenschutz-Grundverordnung (DSGVO). Die Antworten des EuGH haben wegweisende Bedeutung:

• Geeignetheit von Schutzmaßnahmen: Gerichte dürfen nicht automatisch annehmen, dass getroffene Schutzmaßnahmen ungeeignet waren. Die Effektivität muss konkret beurteilt werden.
• Beweislast des Verantwortlichen: Der für die Datenverarbeitung Verantwortliche muss nachweisen, dass die ergriffenen Schutzmaßnahmen angemessen waren.
• Haftung bei Dritten (Cyberkriminelle): Der Verantwortliche kann haftbar sein, es sei denn, er kann nachweisen, dass er nicht für den Schaden verantwortlich ist.
• Immaterieller Schaden: Die Furcht vor möglichem Datenmissbrauch kann als “immaterieller Schaden” betrachtet werden.

Praxisrelevante Implikationen

1. Befürchtungen als immaterieller Schaden

Das EuGH-Urteil verdeutlicht, dass die bloße Befürchtung eines möglichen Datenmissbrauchs als “immaterieller Schaden” anerkannt wird. Diese Entscheidung eröffnet Verbrauchern die Möglichkeit, Schadensersatzansprüche geltend zu machen, selbst wenn kein konkreter Missbrauch stattgefunden hat, sondern lediglich die Furcht vor einem möglichen künftigen Datenmissbrauch besteht.

Handlungsempfehlungen für Unternehmen:

• Transparente Datenschutzrichtlinien: Unternehmen sollten klare und transparente Datenschutzrichtlinien erstellen und kommunizieren. Dies schafft Vertrauen und ermöglicht es den Betroffenen, besser zu verstehen, wie ihre Daten geschützt werden.
• Proaktive Risikominderung: Identifikation potenzieller Risiken und proaktive Maßnahmen zur Risikominderung sind von entscheidender Bedeutung. Hierzu gehören regelmäßige Sicherheitsüberprüfungen, Penetrationstests und Schulungen für Mitarbeiter, um auf mögliche Bedrohungen vorbereitet zu sein.
• Kommunikation und Aufklärung: Unternehmen sollten aktiv über ihre Datenschutzpraktiken kommunizieren. Aufklärungskampagnen können dazu beitragen, das Bewusstsein der Benutzer für die ergriffenen Schutzmaßnahmen zu schärfen und somit das Vertrauen zu stärken.
• Datenverschlüsselung und Anonymisierung: Die Implementierung von Technologien wie Datenverschlüsselung und Anonymisierung kann dazu beitragen, die Auswirkungen von Datenlecks zu minimieren und den Datenschutz zu stärken.
• Regelmäßige Schulungen: Mitarbeiter sollten regelmäßig in Datenschutzpraktiken geschult werden. Dies umfasst nicht nur das Verständnis der Richtlinien, sondern auch die Sensibilisierung für potenzielle Risiken und die besten Praktiken zur Vermeidung von Datenschutzverletzungen.

2. Angemessene Schutzmaßnahmen und Beweislast

Das EuGH-Urteil stellt klar, dass der Verantwortliche für die Datenverarbeitung die Beweislast dafür trägt, dass die ergriffenen Schutzmaßnahmen angemessen waren.

Handlungsempfehlungen für Unternehmen:

• Regelmäßige Überprüfungen der Sicherheitsinfrastruktur: Implementieren Sie regelmäßige Überprüfungen Ihrer Sicherheitsinfrastruktur. Dies umfasst technologische Lösungen, Netzwerksicherheit, Zugriffskontrollen und andere relevante Schutzmaßnahmen. Die Überprüfungen sollten sicherstellen, dass die Sicherheitsmaßnahmen den aktuellen Bedrohungen standhalten können.
• Aktualisierung von Schutzmechanismen: Die Bedrohungslandschaft verändert sich ständig. Daher ist es entscheidend, dass Unternehmen ihre Schutzmechanismen kontinuierlich aktualisieren, um auf neue Angriffsmethoden und Sicherheitslücken zu reagieren. Dies kann die Implementierung neuer Sicherheitssoftware, die Aktualisierung von Sicherheitsrichtlinien und die Anpassung von Prozessen umfassen.
• Dokumentation der Schutzmaßnahmen: Halten Sie eine detaillierte Dokumentation über die ergriffenen Schutzmaßnahmen. Diese Dokumentation sollte nicht nur die technologischen Aspekte, sondern auch Schulungsprogramme, interne Richtlinien und andere präventive Maßnahmen umfassen. Eine klare Dokumentation erleichtert den Nachweis der Angemessenheit der Schutzmaßnahmen.
• Schulungen und Sensibilisierung der Mitarbeiter: Mitarbeiter sind oft eine Schwachstelle in der Sicherheitskette. Schulen Sie Ihre Mitarbeiter regelmäßig in den neuesten Sicherheitspraktiken und sensibilisieren Sie sie für potenzielle Bedrohungen. Dies kann dazu beitragen, menschliche Fehler zu minimieren und die Gesamtsicherheit zu stärken.
• Zusammenarbeit mit Sicherheitsexperten: Arbeiten Sie mit Datenschutz- und Sicherheitsexperten zusammen, um sicherzustellen, dass Ihre Sicherheitsvorkehrungen auf dem neuesten Stand sind. Externe Experten können eine unabhängige Bewertung durchführen und wertvolle Einblicke bieten.

3. Haftung bei Datenlecks durch Dritte

Das EuGH-Urteil betont außerdem, dass der Verantwortliche für die Datenverarbeitung haftbar sein kann, es sei denn, er kann nachweisen, dass er nicht für den Schaden durch Dritte verantwortlich ist.

Handlungsempfehlungen für Unternehmen:

• Identifikation kritischer Dritter: Identifizieren Sie Dritte, die Zugang zu Ihren Systemen und Daten haben, insbesondere wenn es sich um Dienstleister, Partner oder Auftragnehmer handelt. Dies kann Unternehmen umfassen, die IT-Dienstleistungen erbringen, Cloud-Services bereitstellen oder anderweitig mit Ihren sensiblen Daten in Berührung kommen.
• Definition von Sicherheitsstandards: Legen Sie klare Sicherheitsstandards für Dritte fest, die mit Ihren Daten in Kontakt kommen. Diese Standards sollten die notwendigen technischen, organisatorischen und rechtlichen Anforderungen enthalten, um die Sicherheit der Daten zu gewährleisten.
• Einführung in vertraglichen Vereinbarungen: Integrieren Sie die definierten Sicherheitsstandards in vertragliche Vereinbarungen mit Dritten. Klären Sie darin genau, welche Sicherheitsmaßnahmen erwartet werden und wie die Verantwortlichkeiten verteilt sind. Dies kann auch Haftungsklauseln für den Fall von Datenschutzverletzungen durch Dritte umfassen.
• Regelmäßige Überprüfung und Aktualisierung: Sicherheitsstandards sollten nicht statisch sein. Implementieren Sie Mechanismen für regelmäßige Überprüfungen der Sicherheitspraktiken Ihrer Drittanbieter. Diese Überprüfungen sollten sicherstellen, dass die vereinbarten Standards weiterhin erfüllt werden und bei Bedarf aktualisiert werden können.
• Transparenz und Kommunikation: Stellen Sie sicher, dass die Kommunikation mit Dritten transparent ist. Klären Sie Erwartungen und Anforderungen bereits im Vorfeld und fördern Sie eine offene Kommunikation bezüglich Sicherheitspraktiken. Dies schafft Verständnis für die Bedeutung von Datensicherheit auf beiden Seiten.
• Schulungen für Dritte: Bieten Sie Schulungen und Ressourcen für Dritte an, um sicherzustellen, dass sie die festgelegten Sicherheitsstandards verstehen und umsetzen können. Eine geschulte Partnerschaft trägt dazu bei, potenzielle Risiken zu minimieren.

Fazit

Das EuGH-Urteil stärkt die Position von Personen, deren Daten durch Datenschutzverletzungen gefährdet sind, erheblich. Unternehmen müssen proaktiv handeln, um die Sicherheit von Daten zu gewährleisten und angemessene Schutzmaßnahmen nachweisen zu können. Verbraucher können nun leichter Schadensersatzansprüche geltend machen, selbst bei bloßer Befürchtung eines möglichen Missbrauchs. Dies unterstreicht die Notwendigkeit einer umfassenden Herangehensweise an Datenschutz und Datensicherheit in der digitalen Ära.