Inhalt:
Mir geht’s in diesem Blog darum, ganz kurz die Rechtsprechung des EuGH zum Thema Schadensersatz und Cyberkriminalität darzustellen und auf die Auswirkungen dieser Rechtsprechung für die IT- Unternehmen einzugehen, die als Auftragsverarbeiter für die Auftraggeber fungieren. Insbesondere beschäftigt mich die konkrete Ausprägung der Texte der AVVs im Kontext dieser Rechtsprechung.
Übergreifende Darstellung der Rechtsprechung des EuGH der letzten Zeit und ihre Auswirkungen, Status Q 4 2024.
Nr. Az. Stichworte Inhalt
| 1 | C 300/ 21 österreichische Post | Allg. | Ein Verstoß gegen die Regelungen der DSGVO allein rechtfertigt keinen Schadensersatzanspruch. Es gibt keinen Mindestgrad für die Entstehung eines Schadensersatzanspruchs, minimale Schäden reichen aus. Es ist Sache der nationalen Gerichte, darüber zu bestimmen, welche Höhe der Schadensersatz haben soll. |
| 2 | C 340- 21 Nat. Agentisa | TOMs; Geeignetheit der getroffenen Maßnahmen; Schadensbegriff; Beweislast | Die durch eine Cyberattacke verursachte Offenlegung von pbzD allein reicht nicht aus, um die ergriffenen technisch organisatorischen Maßnahmen als ungeeignet zu qualifizieren. Die Eignung der ergriffenen Maßnahmen ist durch die nationalen Gerichte zu beurteilen. Für die Geeignetheit der Maßnahmen trägt der Verantwortliche die Beweislast. Die Befürchtung eines Betroffenen, Dritte könnten offengelegte pbzD missbrauchen, reicht für einen Schadensersatz nicht aus. |
| 3 | C 456/22 Ummendorf | Schadensbegriff Beweislast | Keine Bagatellgrenze für den Schadensbegriff Der Betroffene trägt die Beweislast dafür, dass es zu einem Schaden gekommen ist. |
| 4 | C 667/ 22 | Verschulden | Der Schadensbegriff der DSGVO hat eine Ausgleichs-, keinen Abschreckungs- oder Strafcharakter. Der Grad des Verschuldens ist nicht zu berücksichtigen. |
| 5 | C 687 / 22 Saturn Mediamarkt | Beweislast Befürchtung ist kein Schaden | Die Schwere des Verschuldens wird für die Schadenshöhe nicht berücksichtigt. Der Betroffene hat darzulegen und zu beweisen, dass ein Schaden eingetreten ist. Die Befürchtung eines möglichen Schadens reicht regelmäßig nicht aus, es ist Sache der Gerichte, den Sachvortrag des Betroffenen hier zu berücksichtigen. |
Da zu diesen Themen bereits viele Darstellungen im Internet kursieren, möchte ich kurz darlegen, worum es mir geht. In den juristischen Medien gibt es derzeit eine sich etablierende Landschaft von Kanzleien, die sich mit der Wahrnehmung der Rechte der Betroffenen befassen. Das will ich nicht bewerten, es ist aber nicht unsere Position. Da unsere Kanzlei überwiegend IT- Unternehmen vertritt, die als Auftragsverarbeiter pbzD der Endkunden verarbeiten, geht es mir um die Auswirkungen dieser Entscheidungen für diese Branche.
Eine Erfolgreiche Cyberattacke bedeutet nicht automatisch ein Verschulden
Der EuGH sagte einmal, dass allein aus dem Umstand, dass eine Cyberattacke erfolgreich gewesen ist, nicht gefolgert werden kann, dass die getroffenen technisch organisatorischen Maßnahmen ungeeignet gewesen seien. Die Bewertung der TOMs ist Sache des Einzelfalls – auch richtig. In dem Art 32 I DSGVO heißt es wörtlich:
„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen„
… sind die technischen und organisatorischen Maßnahmen festzulegen.
Im Art 5 DSGVO sind Prinzipen enthalten. Prinzipien sind Normen mit einer Optimierungstendenz. Sie sagen eben genau nicht, dass es absolute Grenzen geben muss, sondern dass unter Berücksichtigung anderer Prinzipien (namentlich auch der Kosten) eine Entscheidung zu treffen ist. Zu berücksichtigen sind der Stand der Technik, die Kosten und eben die Art und Anzahl der pbzD und die Art der Verarbeitung. Man schaue sich sein Verarbeitungsverzeichnis einmal an, dort sind nicht nur zufällig entsprechende Positionen auszufüllen.
Die Frage, welches Risiko man tolerieren möchte, ist eine unternehmerische Frage, deren Antwort von den Gerichten (dann also einem technischen Sachverständigen) zu beantworten ist.
Die Rechtsprechung des EuGH ist insofern nicht überraschend, sondern erwartbar gewesen. Zum einen muss man zeigen, dass man sich mit dem Thema Absicherung des IT- Betriebs angemessen befasst hat und zum anderen muss man angemessene technische und organisatorische Maßnahmen ergriffen haben, die die entsprechenden Verarbeitungsvorgänge absichern, also die Risiken auf ein vertretbares Maß mindern oder komplett ausschließen.
