EuGH-UrteilSchadensersatz bei Hackerangriffen wird leichter
Wer gehackt wird, stand bis jetzt mit dem Schaden meistens alleine da. Der Europäische Gerichtshof (EuGH) in Luxemburg hat die Position der Betroffenen nun aber deutlich gestärkt. So sind zum Beispiel Ausgleichszahlungen möglich, wenn unsere persönlichen Daten nach einem Cyberangriff etwa im Darknet auftauchen.
Die Zahl von Cyberattacken und Sicherheitslücken sind hoch, schreibt das Bundesamt für Sicherheit in der Informationstechnik im Bericht "Die Lage der IT-Sicherheit in Deutschland 2023". Angriffen im Netz sind wir in aller Regel schutzlos ausgeliefert. Allerdings hat der EuGH nun ein verbraucherfreundliches Urteil gesprochen, das uns User*innen in Zukunft Schadensersatz zusprechen könnte, wenn Daten in falsche Hände geraten. Die Richter*innen in Luxemburg entschieden, dass Ausgleichszahlungen möglich sind, wenn Hacker*innen private Leute angreifen.
Urteil, das Maßstäbe setzt
Deutschlandfunk-Nova-Netzreporter Andreas Noll erklärt, dass die Datenschutz-Grundverordnung (DSGVO) die Grundlage der Gerichtsentscheidung bildet. Demnach kann "schon die Angst vor einem Missbrauch der persönlichen Daten nach einer Cyberattacke" nach Ansicht des Gerichts ein "immaterieller Schaden" sein.
Die Entscheidung wurde auf Grundlage eines Datendiebstahls in Bulgarien gefällt: Vor einigen Jahren wurde dort die Steuerbehörde attackiert und später Millionen personenbezogene Daten von Bürger*innen im Netz veröffentlicht. Für deutsche Verhältnisse sei die Entscheidung sehr ungewöhnlich, sagt Andreas Noll. Deutsche Gerichte seien beim Thema Schadenersatz wegen Datenschutzverstößen nämlich lange Zeit sehr zurückhaltend gewesen.
"Nachdem die Steuerbehörde in Bulgarien attackiert wurde und Millionen personenbezogener Daten im Netz veröffentlicht wurden, verklagten einige Bulgar*innen die Behörde auf Schadensersatz. Das oberste Verwaltungsgericht legte den Fall den EU-Richter*innen vor."
Die Details der Grundsatzentscheidung aus Luxemburg müsse nun wieder ein bulgarisches Gericht festsetzen, erklärt unser Netzreporter. Und dieses Urteil habe eben nicht nur Auswirkungen auf den konkreten Fall, sondern setze Maßstäbe für alle Länder, in denen die DSGVO gilt.
Andreas Noll hält das Urteil aus Verbrauchersicht für gut. Denn es verbessere grundsätzlich unsere Aussichten auf Schadenersatz. Wie stark es das macht, ist unter Fachleuten umstritten. Einige meinen, dass es auf den Einzelfall ankommt und es auch in Zukunft noch schwer sein wird, Schadensersatzansprüche umzusetzen.
Folgen für deutsche Rechtsprechung
Es gibt allerdings auch eine andere Gruppe von Jurist*innen, die in dem Urteil eine Art "juristische Zeitenwende" erkennen. Anwalt Peter Hense schreibt etwa auf x, dass jetzt Berge deutscher Rechtsprechung und -literatur zum Thema Datenschutz "auf den Müll" könnten.
Der Kölner Anwalt für IT-Recht, Christian Solmecke, sieht durch das Urteil gute Aussichten für Betroffene von Datenlecks. Er geht davon aus, dass die Unternehmen in der EU nun sehr viel mehr Energie darauf verwenden werden, unsere Daten zu schützen. Zumal es schon im Mai ein Urteil gab, das die Rechte der Verbraucher*innen stärkte.
Bußgelder und Schadensersatzforderungen möglich
Er ist überzeugt, dass die Unternehmen durch das Urteil besser auf die Daten ihrer Kund*innen aufpassen: "Sie gehen umsichtiger mit Daten um, da sie sonst nicht nur Bußgelder der Aufsichtsbehörden befürchten müssen – sondern auch Schadensersatzforderungen ihrer Kund*innen", erklärt Solmecke.
So etwas war beim Facebook-Datenleck im Frühjahr 2021 passiert: Daten von mehr als 530 Millionen Facebook-Nutzenden landeten im Netz. Zwischen 300 und 1000 Euro schwanken die Beträge, die den Betroffenen von deutschen Gerichten in diesem Zusammenhang zugesprochen wurden. In vielen Fällen klappte das offennbar relativ reibungslos.