Zur Startseite gehen
Bitte geben Sie mindestens 3 Zeichen ein!

Menü

Menü

EuGH urteilt über Schadensersatz beim Diebstahl personenbezogener Daten

News
Datendiebstahl_Header
Bildquelle: Gargonia (Adobe Stock)
01/08/2024 | Datendiebstahl | IT und Cybersicherheit

Welche rechtlichen Folgen hat Datendiebstahl und wie können Unternehmen sich gegen Datenlecks schützen?

Immer wieder werden Unternehmen zum Ziel von Cyberangriffen, bei denen Hacker personenbezogene Daten von Kunden erbeuten. Auch wenn die Betroffenen noch keine konkreten Schäden feststellen, ist doch die Kontrolle über die persönlichen Daten verloren gegangen, der Verlust lässt sich nicht mehr rückgängig machen. Der Europäische Gerichtshof (EuGH) hat sich kürzlich in einem derartigen Fall zum Thema datenschutzrechtlicher Schadensersatz bei Diebstahl personenbezogener Daten geäußert. Im Mittelpunkt stand die Frage, ob und in welchem Umfang immaterielle Schäden ausgeglichen werden können, wenn personenbezogene Daten in einer Trading-App gestohlen werden.
Das Urteil des EuGH zeigt, dass bei Datendiebstahl Schadensersatzansprüche der Betroffenen denkbar sind, auch wenn es in der Folge nicht zu einem Identitätsdiebstahl gekommen ist. Für Unternehmen und Wirtschaftsprüfer, die mit Kundendaten zu tun haben, unterstreicht das Urteil nochmals die Bedeutung von umfassenden Sicherheitsmaßnahmen zum Schutz vor Cyberangriffen. Die Plattform SOLON X bietet Tools und Services rund um die Digitalisierung in der Wirtschaftsprüfung, u. a. zu Thema Cyberversicherung.

Hintergrund des Falls


In dem Fall klagten Nutzer gegen die Scalable Capital GmbH, nachdem Unbekannte persönliche Daten der Kläger wie Anschrift, E-Mail-Adresse, Geburtsdatum sowie eine digitale Kopie ihrer Personalausweise gestohlen hatten. Soweit bekannt, wurden die Daten bislang nicht in betrügerischer Weise verwendet. Die Kläger forderten Schadensersatz für ihren immateriellen Schaden. Das Amtsgericht München hat dem Europäischen Gerichtshof in diesem Zusammenhang bestimmte Rechtsfragen zur Vorabentscheidung vorgelegt.

Entscheidung des Gerichts


In den verbundenen Rechtssachen C-182/22 und C-189/22 entschied der EuGH, dass der Anspruch auf Schadensersatz gemäß Artikel 82 der Datenschutz-Grundverordnung (DSGVO) ausschließlich eine Ausgleichsfunktion erfüllt: Eine Entschädigung in Geld soll den erlittenen Schaden - vollumfänglich - ausgleichen. Eine Straf- oder Abschreckungsfunktion soll damit aber nicht bezweckt werden.

Was die Höhe eines immateriellen Schadenersatzanspruchs angeht, so urteilte der EuGH, dass die Verletzung des Schutzes personenbezogener Daten gleich schwer wiegt wie eine Körperverletzung. 

Allerdings erinnerte der EuGH daran, dass allein ein Verstoß gegen die DSGVO nicht ausreicht, um einen Schadensersatzanspruch zu begründen: Vielmehr müssen die Betroffenen darüber hinaus

  • einen materiellen oder immateriellen Schaden nachweisen (der aber nicht besonders schwer zu sein braucht) sowie
  • den Ursachenzusammenhang zwischen dem Verstoß und dem Schaden.

 Außerdem legte der Gerichtshof in seinem Urteil den Begriff des „Identitätsdiebstahls“ aus: Ein Identitätsdiebstahl liege nur vor, wenn ein Dritter tatsächlich die Identität der betroffenen Person angenommen habe (was im vorliegenden Fall nicht zutraf). Aber auch wenn kein Identitätsdiebstahl vorliege, könnten datenschutzrechtliche Schadenersatzansprüche gegeben sein.

Was tun bei einem Datenleck?


Wirtschaftsprüfungsgesellschaften müssen sich zum einen selbst vor Cyberangriffen schützen und zum anderen die Cybersicherheit und -resilienz ihrer Mandanten beurteilen und prüfen. Lesen Sie hierzu unseren Beitrag "Cyberresilienz: Unternehmen müssen mehr tun". 

Unternehmen und ihre Berater sollten daher ihre Schutzmaßnahmen stets aktuell halten Welche Maßnahmen das Bundeskriminalamt und der Digitalverband Bitkom empfehlen, finden Sie in unserem Beitrag "Cybercrime - aktuelle Bedrohungslage und Schutzmaßnahmen". 

Sind im umgekehrten Fall Ihre Daten bei einem Datenleck in die Hände von Unbefugten gelangt, so sollten Sie bei Kontaktversuchen besonders wachsam sein, auf Phishing-E-Mails achten und Ihre Passwörter zügig ändern, Die Verbraucherzentrale bietet Betroffenen die Möglichkeit, ihre Rechte zu prüfen und gibt Empfehlungen, was zu tun ist.

Weitere Artikel

Wir setzen auf unserer Webseite Cookies ein, die zur Sicherheit und Funktionalität der Webseite erforderlich sind. Soweit Sie auf die Schaltfläche „Alle Cookies akzeptieren“ klicken, werden alle von uns gesetzten Cookies angenommen.

Ihre Einwilligung umfasst auch den Einsatz von Matomo Cookies, die uns Informationen über die Webseitennutzung geben. Weitere ausführliche Informationen dazu finden Sie in unserer Datenschutzerklärung.

Natürlich können Sie eine abgegebene Einwilligung auch jederzeit ohne Angabe von Gründen widerrufen.

Soweit Sie auf die Schaltfläche Konfigurieren klicken, können Sie Ihre jeweilige Zustimmung zum Einsatz nicht erforderlicher Cookies im Einzelfall wählen.