Die DSGVO gibt es mittlerweile seit mehr als 5 Jahren, und noch immer sind viele Fragen ungeklärt. Aber: Es kommen immer wieder wegweisende Urteil vom Europäischen Gerichtshof (EuGH) aus Luxemburg. Gestern gab es eine neue Entscheidung, die es in sich hat. In dem zugrundeliegenden Fall war eine Behörde in Bulgarien Opfer eines Hackerangriffs geworden, Daten von Millionen Betroffenen landeten öffentlich im Internet. Es tauchte nun die Frage auf, ob und wann ein Betroffener Schadenersatz verlangen kann von dem gehackten Unternehmen.

Der EuGH hat dabei mehrere Grundsätze entschieden:

  1. Der Datenverarbeiter bzw. datenschutzrechtlich Verantwortliche trägt die Beweislast dafür, dass seine Schutzmaßnahmen gegen Cyberkriminalität geeignet waren.
    Will der datenschutzrechtlich Verantwortliche gehackt, und will er Schadenersatzansprüche der Betroffenen (z.B. seiner Kunden, Mitarbeiter, Veranstaltungsbesucher usw.) muss er beweisen, dass er „in keinerlei Hinsicht für den Schaden verantwortlich ist.
  2. Allein die Befürchtung eines Betroffenen (dessen Daten das Unternehmen gespeichert hatte und durch das Hacking entwendet wurden), dass seine Daten durch Dritte missbräuchlich verwendet werden könnten, kann zu einem Schadenersatzanspruch führen. Rumms. Spätestens jetzt sollte den datenverarbeitenden Unternehmen und Organisationen klar sein: Untätigkeit kann böse teuer werden! Denn der Betroffene muss keinen echten Schaden haben – alleine die Sorge, dass seine Daten missbraucht werden könnten, kann schon einen Schadenersatzanspruch auslösen. Bei bisher vergleichbaren Fällen haben die deutschen Gerichte hier Beträge zwischen 100 und 1.000 € zuerkannt – pro Person.

Massenverfahren drohen

Dazu muss man auch wissen: Legal-Tech-Unternehmen, die sich auf Massenverfahren spezialisiert haben, freuen sich natürlich über dieses Urteil. Denn über´s Internet lassen sich schnell und einfach tausende Betroffene aufspüren und gegen das Unternehmen „aufwiegeln“. So manche Kanzleien werben damit, dass sie bereits zehntausende Klagen eingereicht hätten.

Das heißt: Wird ein Unternehmen bzw. eine Organisation gehackt oder kommt es zu einer Datenpanne, dann droht teures Ungemach von 2 Seiten:

  1. Einerseits die Aufsichtsbehörden, die ebenfalls nach einem aktuellen Urteil des EuGH nur noch beweisen müssen, dass irgendjemand im Unternehmen fahrlässig oder vorsätzlich zum DSGVO-Verstoß beigetragen hat, können ein Bußgeld festsetzen. Dieses Bußgeld soll ausdrücklich weh tun, also so hoch ausfallen, dass die Datenverarbeiter schon im Vorfeld sich Mühe geben, es erst gar nicht soweit kommen zu lassen.
  2. Und andererseits eben auch von Betroffenen, deren Daten verarbeitet wurden (erhoben, gespeichert und verwendet). Das können bspw. Mitarbeiter sein, Bewerber, Kunden, Ansprechpartner bei Vertragspartnern, Besucher der Veranstaltungen, Newsletterempfänger usw.

Datenpanne muss offengelegt werden

Übrigens: Kommt es zu einer Datenpanne, muss diese unter bestimmten Voraussetzungen nicht nur an die Aufsichtsbehörde gemeldet werden; es kann auch sein, dass die Betroffenen (also die Personen, deren Daten ggf. missbraucht werden könnten) proaktiv informiert werden müssen… d.h. man muss seinen potentiellen Anspruchstellern offenlegen, dass es eine Datenpanne gegeben hat und bringt die Betroffenen damit quasi gegen sich auf.

Nun könnte man schlauerweise meinen: Gut, dann melden wir eben eine Datenpanne nicht… sollte das rauskommen, kann es umso teurer werden, weil die Aufsichtsbehörden da keinen Spaß verstehen. Je größer die Datenpanne, desto höher natürlich das Risiko, dass 1 Betroffener irgendwie davon erfährt, der dann zur Aufsichtsbehörde marschiert.

Dieses Urteil des EuGH sollte erneut dringender Ansporn sein, sich mit der DSGVO, aber auch mit IT-Sicherheit, genauer zu „beschäftigen“ und dafür zu sorgen, Verstöße gegen die DSGVO und IT-Pannen unbedingt zu verhindern.

Schreiben Sie uns eine E-Mail an info@eventfaq.de! Wir unterstützen Sie bei der rechtskonformen Umsetzung der DSGVO, der Schulung der Mitarbeiter, Erstellung von Guidelines und Datenschutzverträgen usw.