taz.de -- EuGH zu Schadenersatz bei Datenleaks: Geld für Angst
Bereits bei einem möglichen Missbrauch persönlicher Daten können Betroffene Schadenersatz einklagen. Das hat der Europäische Gerichtshofs entschieden.
Bild: Der europäische Gerichtshof
LEIPZIG taz | Wenn private Daten nach einen Hackerangriff auf Behörden oder Unternehmen offengelegt werden, haben die Betroffenen grundsätzlich Anspruch auf Schadenersatz. Dies entschied jetzt der Europäische Gerichtshof (EuGH).
Konkret ging es um einen Fall aus Bulgarien. Unbekannte Hacker hatten die Computer der Nationalen Einnahmebehörde, wohl einer Art Steuerbehörde, infiltriert und anschließend sensible Daten von 6 Millionen Menschen im Netz veröffentlicht. Hunderte Betroffene verlangten Schadenersatz, doch die Behörde lehnte ab, sie habe die Daten ausreichend geschützt.
Das Verwaltungsgericht Sofia nahm den Fall zum Anlass und legte dem EuGH grundsätzliche Fragen zur Haftung bei Hackerangriffen vor. Wichtigstes Ergebnis: Wer nach einer Hackerattacke befürchten muss, dass seine Daten missbraucht werden können, hat grundsätzlich Anspruch auf Schadenersatz.
Der EuGH setzte sich damit über das Votum des unabhängigen Generalanwalts Giovanni Pitruzella hinweg, der „Sorgen, Befürchtungen und Ängste vor einem möglichen Missbrauch“ nicht ausreichen lassen wollte. Dagegen entschied der EuGH nun, es sei nicht erforderlich, dass der psychische Schaden „einen bestimmten Grad an Erheblichkeit erreicht hat“.
Beweislast trägt die Behörde
Allerdings müssen Hacking-Betroffene zumindest nachweisen, dass sie solche Befürchtungen haben. Und sie müssen nachweisen, dass der Inhaber der Daten, hier die bulgarische Behörde, die Daten nicht ausreichend gegen Hacker geschützt hat. Die Beweislast, dass ein angemessener Schutz realisiert wurde, trägt laut EuGH aber die Behörde. Ob und wie viel Schadenersatz verlangt werden kann, entscheiden dann jeweils die nationalen Gerichte nach den Umständen des Einzelfalls.
Der EuGH setzte diesmal andere Akzente als im Mai bei einem Fall aus Österreich. Damals hatte der EU-Gerichtshof betont, dass eine bloße Verletzung der EU-Datenschutzgrundverordnung (DSGV) noch keinen Anspruch auf Schadenersatz verschafft. Es müsse zumindest ein realer Schaden eingetreten sein. Im Ergebnis entspricht dem auch das aktuelle Urteil. Die Tonlage ist aber eine deutlich andere.
14 Dec 2023
AUTOREN
TAGS
Schwerpunkt Krieg in der Ukraine
ARTIKEL ZUM THEMA
Schadsoftware „Kapeka“: Hintertür für Russland
Finnische Sicherheitsforscher*innen haben eine gefährliche Hintertür für Windows-Systeme gefunden. Die Schadsoftware tarnt sich als Add-In.
Lockbit zerschlagen: „Schädlichste Hackergruppe der Welt“
Ob Privatpersonen oder Firmen – Lockbit hat Tausende mit Daten erpresst und zu Opfern gemacht. Jetzt haben Ermittler*innen die Gruppe wohl zerschlagen.
IT-Berater über Sicherheit im Netz: „Ein fundamentales Unverständnis“
Künstliche Intelligenz bringt Hackern neue Möglichkeiten für Cyber-Angriffe. IT-Berater Linus Neumann erklärt, warum sich Menschen online schlecht schützen.
Rechtsexpertin über Verbraucherrechte: „Ein Akteur haftet immer“
Masterarbeit futsch, smartes Türschloss zu: Wenn Software Schäden verursacht, haben Verbraucher:innen schlechte Karten. Noch. Wird es besser?
App-Pflicht bei der Bahncard: Digitale Spaltung, hausgemacht
Die Plastik-Bahncard gehört bald der Vergangenheit an. Probleme sind damit vorprogrammiert und Kund:innen ohne digitale Affinität bleiben außen vor.
Umstrittenes EU-Überwachungsgesetz: Anlasslose Chatkontrolle abgesagt
Bürgerrechtler:innen jubeln: Das EU-Parlament will das Überwachungsgesetz entschärfen. Doch auch am jüngsten Entwurf gibt es Kritik.
Instagram und Facebook werbefrei nutzen: Win-win-Situation für Meta
Beim Facebook-Konzern zahlt man nun zweistellig, um keine Werbung zu sehen, Daten werden trotzdem gesammelt. Damit will Meta EU-Regeln umgehen.