Neues EuGH-Urteil setzt Meilenstein: Unternehmen, denen durch eine Cyberattacke Daten entwendet wurden, müssen nun beweisen, dass ihre Datenschutzmaßnahmen ausreichen, um Schadenersatzforderungen wegen der Angst vor Datenmissbrauch abzuwehren.
 |
| EuGH-Urteil: Angst vor Datenmissbrauch berechtigt zu Schadenersetz |
In der heutigen digitalen Ära ist Cyberkriminalität eine allgegenwärtige Bedrohung, besonders für Unternehmen. Ein interessanter Fall, der vor dem Europäischen Gerichtshof (EuGH) verhandelt wurde, beleuchtet das Thema Datenschutz und die damit verbundenen rechtlichen Komplexitäten.
Dieser Fall ist besonders relevant für Geschäftsführer mittelständischer Unternehmen, da er wichtige Erkenntnisse zum Umgang mit personenbezogenen Daten und den Folgen eines Datenlecks bietet.
Der Fall: Datenleck bei der Bulgarischen Nationalen Agentur für Einnahmen
Im Juli 2019 wurde bekannt, dass es einen unbefugten Zugriff auf das Informationssystem der Bulgarischen Steuerbehörde gab. Steuer- und Sozialversicherungsdaten von Millionen Menschen wurden im Internet veröffentlicht. Eine betroffene Person klagte auf Ersatz ihres immateriellen Schadens, ausgelöst durch die Angst vor Missbrauch ihrer Daten.
Die Entscheidung in Erster Instanz
Das bulgarische Gericht wies die Klage zunächst ab. Die Argumente: Die Veröffentlichung der Daten sei nicht der Finanzbehörde zuzuschreiben, es gab keinen Nachweis unzureichender staatlicher Schutzmaßnahmen, und immaterieller Schaden sei nicht ersatzfähig.
Die Vorlage beim EuGH und dessen Entscheidung
Das bulgarische Oberste Verwaltungsgericht legte dem EuGH Fragen zur Auslegung der Datenschutz-Grundverordnung (EU-DSGVO) vor. Der EuGH entschied, dass die Angst vor Missbrauch persönlicher Daten einen immateriellen Schaden darstellen kann. Entscheidend ist hierbei, dass der Verantwortliche für die Daten beweisen muss, dass angemessene Maßnahmen gegen Hackerangriffe ergriffen wurden.
Was bedeutet das für Ihr Unternehmen?
- Verantwortung für Datensicherheit: Dieses Urteil unterstreicht, dass Unternehmen für die Sicherheit der ihnen anvertrauten Daten verantwortlich sind. Sie müssen nachweisen können, dass effektive Sicherheitsmaßnahmen implementiert wurden.
- Immaterieller Schadensersatz: Der EuGH bestätigt, dass die Befürchtung eines Datenmissbrauchs einen immateriellen Schaden darstellen kann. Unternehmen müssen sich dieser Risiken bewusst sein und proaktiv handeln, um Datenlecks zu vermeiden.
- Nachweis der Sicherheitsmaßnahmen: Es reicht nicht aus, Sicherheitsmaßnahmen zu ergreifen; Unternehmen müssen auch dokumentieren und beweisen können, dass diese Maßnahmen angemessen und effektiv sind.
- Bedeutung der EU-DSGVO: Die Datenschutz-Grundverordnung spielt eine zentrale Rolle im Umgang mit personenbezogenen Daten. Unternehmen müssen sicherstellen, dass sie die Anforderungen der EU-DSGVO erfüllen.
- Proaktives Risikomanagement: Unternehmen sollten regelmäßig ihre Maßnahmen im Bereich Datenschutz & Informationssicherheit überprüfen, aktualisieren und dokumentieren, um potenziellen Risiken vorzubeugen.
Fazit
Dieser Fall zeigt deutlich, wie wichtig es ist, Datenschutz & Informationssicherheit ernst zu nehmen und proaktiv zu handeln. Für Geschäftsführer mittelständischer Unternehmen bedeutet dies, stets auf dem neuesten Stand zu sein und effektive Sicherheitsmaßnahmen zu implementieren. Nur so können Sie das Vertrauen Ihrer Kunden wahren und Ihr Unternehmen vor rechtlichen Konsequenzen im Falle eines Cyberangriffs schützen.
Wir können Ihnen bei der Umsetzung helfen:
