Cyberangriff Zahnarztpraxis: Der Europäische Gerichtshof hat am 14.12.2023 (Az: C-340/21) entschieden, dass Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) Schmerzensgeldansprüche auslösen können, wenn Angst vor einem Missbrauch als Folge unzureichender Schutzmaßnahmen durch Hacker erbeuteter personenbezogener Daten bestehe.
Der Fall spielte in Bulgarien. Am 15.07.2019 wurde in den Medien über einen Cyberangriff auf das IT-System einer zentralen Finanzbehörde berichtet. Infolge des Angriffs seien in diesem System enthaltene personenbezogene Daten im Internet veröffentlicht worden.
Mehr als sechs Millionen (in- und ausländische) Staatsbürger waren davon betroffen. Einige Hundert von ihnen verklagten die Finanzbehörde nach Art. 82 DSGVO wegen des immateriellen Schadens, der sich aus der Offenlegung ihrer personenbezogenen Daten ergeben haben soll, auf Schmerzensgeld. Die Klägerin des zum EuGH führenden Verfahrens machte geltend, ihr immaterieller Schaden bestehe in der Befürchtung, dass ihre personenbezogenen Daten, die ohne ihre Einwilligung veröffentlicht worden seien, künftig missbräuchlich verwendet würden, oder dass sie selbst erpresst, angegriffen oder sogar entführt werde. Das Verwaltungsgericht Sofia wies die Klage (1.000 Lew, bulgar. Währung) ab. Das von ihr angerufene Oberste Verwaltungsgericht Bulgariens legte dem EuGH fünf für die Auslegung und Anwendung der DSGVO wichtige Fragen vor.
Die erste Frage betraf die Verletzung von Sicherungsvorschriften. Nach Art. 24 und 32 DSGVO müssen „geeignete“ Sicherungsmaßnahmen getroffen werden. Der EuGH entschied, dass allein aus dem Umstand, dass ein Hackerangriff erfolgreich gewesen sei, nicht geschlossen werden könne, dass die Sicherungsmaßnahmen ungeeignet waren.
Die (zweite) Frage nach der Geeignetheit der Sicherungen müssten die nationalen Gerichte im konkreten Einzelfall beurteilen, wobei die mit der betreffenden Verarbeitung verbundenen Risiken zu berücksichtigen seien und zu beurteilen sei, ob Art, Inhalt und Umsetzung dieser Maßnahmen diesen Risiken angemessen seien.
Die dritte Frage nach der Beweislast für die Geeignetheit der Sicherungsmaßnahmen entschied der EuGH dahingehend, dass der für die Datenverarbeitung Verantwortliche die Beweislast dafür trage, dass die von ihm getroffenen Sicherungsmaßnahmen im Sinne von Art. 32 DSGVO geeignet waren. Das wird in der Praxis viele für die Datenverarbeitung in Praxen, Kliniken, Krankenkassen, etc. Verantwortliche vor große Probleme stellen. Interessant ist in diesem Zusammenhang, dass der EuGH den Effektivitätsgrundsatz bejaht und die Frage nach der Geeignetheit nicht nur Sachverständigengutachten überlassen will.
Dass Hacker die Daten veröffentlichten, ändert an der Schadensersatzpflicht nach der Antwort des EuGH auf die vierte Frage nichts, es sei denn, der Datenverantwortliche kann nachweisen, dass er in keinerlei Hinsicht für den Umstand, durch den der betreffende Schaden eingetreten ist, verantwortlich ist.
Die fünfte Frage nach den Anforderungen an den immateriellen Schaden beantwortete der EuGH dahingehend, dass schon allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchte, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, einen „immateriellen Schaden“ im Sinne dieser Bestimmung darstellen könne.
Es braucht wenig Phantasie, um sich die Folgen eines entsprechenden Cyberangriffs auf Praxen etc. vorzustellen. Der Zwang, in den Datenschutz zu investieren, wird durch diese Entscheidung weiter verstärkt.
Prof. Dr. Thomas Ratajczak
Rechtsanwalt, Fachanwalt für Medizinrecht, Fachanwalt für Sozialrecht, Justiziar des BDIZ EDI
Email: ratajczak@rpmed.de
Web: www.rpmed.de