RWB-Artikelreihe: Artikel 4 – Wegweisendes EUGH-Urteil zu DSGVO Schadenersatz bei Cyberschäden

Min­des­tens 68 er­folg­rei­che Ran­som­ware-An­grif­fe auf Kanz­lei­en hat es im Jahr 2023 in Deutsch­land ge­ge­ben, wie ei­nem Be­richt des Bun­des­amts für Si­cher­heit in der In­for­ma­ti­ons­tech­nik (BSI) zur La­ge der IT-Si­cher­heit zu ent­neh­men ist. Oft wa­ren die­se An­grif­fe mit schwe­ren Fol­gen für die be­trof­fe­nen Kanz­lei­en ver­bun­den.

Hamburg, 27.03.2024 – Un­ter­bre­chung des Kanz­lei­be­trie­bes, Ver­lust von Be­triebs­ge­heim­nis­sen oder Lö­se­geld­for­de­run­gen - die Fol­gen von Cy­ber-An­grif­fen wie­gen schwer und sind viel­fäl­tig. Zu­sätz­lich dro­hen er­heb­li­che da­ten­schutz­recht­li­che Ri­si­ken.


Urteil vom Dezember 2023

Ein weg­wei­sen­des Ur­teil des Ge­richts­hofs der Eu­ro­päi­schen Uni­on (EuGH) vom 14. De­zem­ber 2023 (C-340/21) gibt wich­ti­ge Ant­wor­ten zu den Rah­men­be­din­gun­gen und dem da­ten­schutz­recht­li­chen Ri­si­ko bei Cy­ber-An­grif­fen. Da­bei sind die Aus­füh­run­gen des EuGH zur Ver­ant­wort­lich­keit für da­ten­schutz­recht­li­che Ver­stö­ße so­wie zum im­ma­te­ri­el­len Scha­den be­son­ders re­le­vant. Wir ha­ben die Kern­aus­sa­gen des Ur­teils für Sie zu­sam­men­ge­fasst.
 

Geeignetheit der Datensicherheitsmaßnahmen

Der EuGH stellt fest, dass es nicht au­to­ma­tisch auf un­zu­rei­chen­de Da­ten­si­cher­heits­maß­nah­men hin­weist, wenn es bei ei­nem Cy­ber-An­griff zu ei­ner Da­ten­pan­ne kommt. Auch um­fang­rei­che Maß­nah­men könn­ten im Ein­zel­fall durch die An­grei­fer über­wun­den wer­den. Der Art. 24 DS-GVO ge­währt da­bei so­gar ex­pli­zit die Mög­lich­keit, die Rechts­kon­for­mi­tät er­grif­fe­ner Maß­nah­men nach­zu­wei­sen. Da­für ist ei­ne sorg­fäl­ti­ge Do­ku­men­ta­ti­on al­ler Da­ten­si­cher­heits­maß­nah­men, die vor­ge­nom­men wer­den, zwin­gend er­for­der­lich. (Ei­ne hilf­rei­che Ori­en­tie­rung bie­ten die Emp­feh­lun­gen des BSI zur Stan­dar­di­sie­rung und Zer­ti­fi­zie­rung im Be­reich In­for­ma­ti­ons­si­cher­heit).
 

Beweislast für ausreichende Datensicherheitsmaßnahmen

Die Be­weis­last da­für, dass die tech­ni­schen und or­ga­ni­sa­to­ri­schen Maß­nah­men den gest­z­li­chen An­for­de­run­gen ent­spre­chen, trägt die Kanz­lei als Ver­ant­wort­li­che für die Da­ten­ver­ar­bei­tung. Die­se Re­ge­lung gilt eben­falls im Rah­men von Scha­den­er­satz­an­sprü­chen.
 

Verantwortung nach der DSGVO

Er­folgt ein Cy­ber-An­griff, so be­deu­tet dies nicht au­to­ma­tisch die Ent­haf­tung der be­trof­fe­nen und ver­ant­wort­li­chen Kanz­lei von ih­rer da­ten­schutz­recht­li­chen Haf­tung. Auch wenn hier­bei der Ver­stoß ge­gen die DS­GVO durch ei­nen Drit­ten ma­ß­geb­lich ver­ur­sacht wur­de, reicht dies für die Exkul­pa­ti­on nicht aus. Viel­mehr lei­tet der EuGH aus Art. 82 Abs. 2, 3 DS­GVO ab, dass der Ver­ant­wort­li­che den Nach­weis er­brin­gen muss, dass er in kei­ner Hin­sicht für die Um­stän­de des Scha­den­ein­tritts ver­ant­wort­lich ist.
 

Schwelle für immateriellen Schadenersatz

Im Ge­gen­satz zu ei­nem ers­ten Ur­teil vom Mai 2023 hat der EuGH nun fest­ge­legt, dass be­reits die blo­ße Be­fürch­tung ei­nes Miss­brauchs per­so­nen­be­zo­ge­ner Da­ten ei­nen im­ma­te­ri­el­len Scha­den­er­satz­an­spruch be­grün­den kann, auch wenn die Da­ten tat­säch­lich nicht miss­bräuch­lich ver­wen­det wur­den. Al­ler­dings muss der An­spruch­stel­ler nach­wei­sen, dass ihm ein Scha­den ent­stan­den ist. Dies­be­züg­lich wird es künf­tig deut­lich auf die Scha­dens­dar­le­gung im Ein­zel­fall an­kom­men.

Fazit: Das ak­tu­el­le Ur­teil bringt ein ge­wis­ses Ri­si­ko mit sich, dass es ver­mehrt zu Kla­gen be­züg­lich der "Be­fürch­tun­gen ei­nes Da­ten­miss­brauchs" kommt, um ei­nen im­ma­te­ri­el­len Scha­den­er­satz zu er­wir­ken. Dem ste­hen die ent­wi­ckel­ten Maß­stä­be für ei­ne sorg­fäl­ti­ge Prü­fung im Ein­zel­fall ent­ge­gen. In je­dem Fall aber soll­ten Kanz­lei­en gründ­lich prü­fen, ob in­tern an­ge­mes­se­ne Da­ten­si­cher­heits­maß­nah­men ge­trof­fen und die­se auch aus­rei­chend do­ku­men­tiert wur­den.
 

Unsere GGW Cyber-Versicherung für Kanzleien

GGW bie­tet ei­ne spe­zi­ell auf die Be­dürf­nis­se von Kanz­lei­en zu­ge­schnit­te­ne Cy­ber-Ver­si­che­rung an, die Ih­nen als Bau­stein zur Ri­si­ko­ab­wäl­zung die­nen kann. Gern ste­hen wir Ih­nen zur Ver­fü­gung, um wei­te­re In­for­ma­tio­nen zu die­sem wich­ti­gen Schutz für Ih­re Kanz­lei dar­zu­le­gen oder Fra­gen zu Ih­rem in­di­vi­du­el­len Ver­si­che­rungs­be­darf so­wie zu den recht­li­chen As­pek­ten von Cy­ber-An­grif­fen zu be­ant­wor­ten.
 

Über die GGW Gruppe

Die Gossler, Gobert & Wolters Gruppe (GGW Gruppe) ist einer der großen unabhängigen und inhabergeführten Industrieversicherungsmakler in Deutschland. Als Experte für integriertes Risiko- und Versicherungsmanagement betreuen die rund 290 Mitarbeiter der GGW Gruppe mittelständische Unternehmen aus Industrie, Handel, Gewerbe sowie den rechts- und wirtschaftsberatenden Berufen. Deutschlandweit ist das Beratungshaus an neun Standorten vertreten und berät in Zusammenarbeit mit internationalen Netzwerken Kunden in über 60 Ländern.

Autor: Markus Hoffmann
Veröffentlicht: 27.03.2024
Share:

Ihre Ansprechpartner

Thimo Pampel
Leitung Betrieb
Sie möchten eine Publikation oder Pressematerial zugeschickt bekommen? Dann lassen Sie uns gern eine Nachricht zukommen.

Das könnte auch von Interesse sein

GLS Blog

Aktuelles aus unserem Haus

Hamburg, 30.10.2024
Fairness-Preis 2024 für GGW

Das Deut­sche In­sti­tut für Ser­vice-Qua­li­tät und der...

…lesen

Hamburg, 17.07.2024
Gemeinsam GGW

Ham­bur­ger Tra­di­ti­ons­mak­ler un­ter...

…lesen

Hamburg, 21.12.2023
Frohe Weihnachten und ein gesundes neues Jahr!

Die ver­gan­ge­nen Mo­na­te stan­den im Zei­chen vie­ler...

…lesen

Hamburg, 21.09.2023
UPDATE – INFORMATION FÜR UNSERE GESCHÄFTSPARTNER: WIR SIND WIEDER ERREICHBAR!

Am 16. Sep­tem­ber 2023 kam es zu ei­nem Cy­ber-An­griff auf die...

…lesen

Hamburg, 19.09.2023
Information für unsere Geschäftspartner

Seit dem 16. Sep­tem­ber 2023 sind wir von ei­nem Cy­ber-An­griff...

…lesen

Hamburg, 11.05.2023
Moment der Wahrheit – Regulierung eines Vertrauensschadens in der Praxis

Bei Wirt­schafts- oder Cy­ber­kri­mi­na­li­tät spricht man häu­fig...

…lesen

GLS Blog

GLS Schadenmeldung

Im Falle eines Falles

Ein Schaden hält sich nicht an Bürozeiten. Darum haben Sie hier die Möglichkeit, uns einen Schaden zeitlich unabhängig auch jederzeit online zu melden.

Zum Schadenformular