Wessen Daten nach einem Hackerangriff im Datenleck auftauchen, kann deswegen Schadensersatz fordern, erklärt Anwalt Christian Solmecke.
Facebook, EasyPark, Motel OneOpfer von Datenlecks haben Anspruch auf Schadensersatz
Bei Facebook ist es schon passiert, beim Musik-Streaming-Dienst Deezer, bei der App „Easy Park“, der Kette „Motel One“ und bei vielen weiteren großen Unternehmen: Hacker haben die Firmen-Systeme angegriffen und Millionen von Nutzerdaten abgegriffen. Meist tauchten diese Daten später im Darknet auf. Spätestens dann sind die Tore für Schindluder weit offen: Opfer von Datenlecks berichten zum Beispiel über betrügerische Spam-Nachrichten mit Links zu Malware – also Software, die Geräten Schaden zufügen kann. Da Kriminelle nun über originale Vertragsdaten verfügen, können sie auch täuschend echt wirkende „Phishing“-E-Mails verschicken, um zum Beispiel an fremde Zahlungsdaten zu kommen.
Im Grundsatz soll die Datenschutzgrundverordnung (DSGVO) Betroffene davor bewahren, dass ihre Daten missbraucht werden. Zunächst, indem sie alle Unternehmen dazu verpflichtet, personenbezogene Daten angemessen zu schützen. Sind Unternehmen dabei den technischen Standards nicht gerecht geworden und wurden deshalb Daten „gestohlen“, können Betroffene deswegen einen Anspruch auf „immateriellen Schadensersatz“ gemäß Artikel 82 Absatz 1 DSGVO haben.
Schon die berechtigte Sorge vor einem Missbrauch kann reichen
Nun stellt sich aber das Problem: Nicht immer lassen sich solche betrügerischen Angriffe eindeutig auf ein konkretes Datenleck zurückführen. Zumal die Daten – einmal im Netz – auch viele Jahre später noch missbraucht werden können. Kann man als Betroffener dennoch das Unternehmen verklagen, das die eigenen Daten nicht ausreichend gegen Cyberangriffe geschützt hat? Selbst, wenn man nur die Befürchtung hat, die eigenen Daten könnten missbraucht werden?
Die Antwort des Europäischen Gerichtshof (EuGH) im Dezember 2023 lautete: Ja, allein diese Befürchtung kann einen „Schaden“ darstellen. Zumindest, sofern das Risiko des Missbrauchs real ist, stellte der EuGH im Januar klar – was bei einem Daten-Leak im Darknet praktisch immer der Fall sein dürfte. Bereits im Mai 2023 hatten die Luxemburger Richter zudem betont: Betroffene müssen nicht nachweisen, dass der Schaden besonders schwer gewesen ist und eine gewisse „Erheblichkeitsschwelle“ überschritten hat. Macht ein Opfer als Angst vor Datenmissbrauch als Schaden geltend, muss es keine schlaflosen Nächte nachweisen. Schon die berechtigte Sorge vor einem Missbrauch kann reichen.
EuGH weist nationale Gerichte an, nicht zu „knauserig“ mit Schadensersatz zu sein
Noch in einem weiteren Punkt hat der EuGH im Dezember sehr verbraucherfreundlich entschieden: Im Fall eines Hackerangriffs müssen die vom Angriff betroffenen Unternehmen die Beweislast dafür tragen, dass ihre Schutzmaßnahmen geeignet waren und sie „in keinerlei Hinsicht für den Schaden verantwortlich“ sind. Dies nachzuweisen, ist für Unternehmen sehr schwer.
Schließlich hat der EuGH im Mai noch festgestellt, dass die nationalen Gerichte bei der Festsetzung des Schadensersatzes die „Ausgleichsfunktion“ der DSGVO beachten müssen. Der Anspruch solle einen „vollständigen und wirksamen Schadenersatz für den erlittenen Schaden sicherstellen.“ Mit anderen Worten ist das ein Hinweis an die nationalen Gerichte, nicht zu „knauserig“ mit Schadensersatz zu sein. Im Fall des Facebook-Datenlecks und des Deezer-Datenlecks gibt es tatsächlich bereits viele erfolgreiche Urteile, in denen bis zu 1000 Euro zugesprochen wurden. Die Chancen, dass es mehr werden, hat der EuGH zuletzt enorm gestärkt.