5976397

EuGH zu Schadenersatz bei Datenleaks: Geld für Angst

Bereits bei einem möglichen Missbrauch persönlicher Daten können Betroffene Schadenersatz einklagen. Das hat der Europäische Gerichtshofs entschieden.

Gebäude des europäischen Gerichtshof

Der europäische Gerichtshof Foto: Becker Bredel/imago

LEIPZIG taz | Wenn private Daten nach einen Hackerangriff auf Behörden oder Unternehmen offengelegt werden, haben die Betroffenen grundsätzlich Anspruch auf Schadenersatz. Dies entschied jetzt der Europäische Gerichtshof (EuGH).

Konkret ging es um einen Fall aus Bulgarien. Unbekannte Hacker hatten die Computer der Nationalen Einnahmebehörde, wohl einer Art Steuerbehörde, infiltriert und anschließend sensible Daten von 6 Millionen Menschen im Netz veröffentlicht. Hunderte Betroffene verlangten Schadenersatz, doch die Behörde lehnte ab, sie habe die Daten ausreichend geschützt.

Das Verwaltungsgericht Sofia nahm den Fall zum Anlass und legte dem EuGH grundsätzliche Fragen zur Haftung bei Hacker­angriffen vor. Wichtigstes Ergebnis: Wer nach einer Hackerattacke befürchten muss, dass seine Daten missbraucht werden können, hat grundsätzlich Anspruch auf Schadenersatz.

Der EuGH setzte sich damit über das Votum des unabhängigen Generalanwalts Giovanni Pitruzella hinweg, der „Sorgen, Befürchtungen und Ängste vor einem möglichen Missbrauch“ nicht ausreichen lassen wollte. Dagegen entschied der EuGH nun, es sei nicht erforderlich, dass der psychische Schaden „einen bestimmten Grad an Erheblichkeit erreicht hat“.

Beweislast trägt die Behörde

Allerdings müssen Hacking-Betroffene zumindest nachweisen, dass sie solche Befürchtungen haben. Und sie müssen nachweisen, dass der Inhaber der Daten, hier die bulgarische Behörde, die Daten nicht ausreichend gegen Hacker geschützt hat. Die Beweislast, dass ein angemessener Schutz realisiert wurde, trägt laut EuGH aber die Behörde. Ob und wie viel Schadenersatz verlangt werden kann, entscheiden dann jeweils die na­tio­nalen Gerichte nach den Umständen des Einzelfalls.

Der EuGH setzte diesmal andere Akzente als im Mai bei einem Fall aus Österreich. Damals hatte der EU-Gerichtshof betont, dass eine bloße Verletzung der EU-Datenschutzgrundverordnung (DSGV) noch keinen Anspruch auf Schadenersatz verschafft. Es müsse zumindest ein realer Schaden eingetreten sein. Im Ergebnis entspricht dem auch das aktuelle Urteil. Die Tonlage ist aber eine deutlich andere.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

So können Sie kommentieren:

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.

Den ersten Beitrag schreiben

Geben Sie Ihren Kommentar hier ein