Diese Website verwendet Cookies, damit wir dir die bestmögliche Benutzererfahrung bieten können. Cookie-Informationen werden in deinem Browser gespeichert und führen Funktionen aus, wie das Wiedererkennen von dir, wenn du auf unsere Website zurückkehrst, und hilft unserem Team zu verstehen, welche Abschnitte der Website für dich am interessantesten und nützlichsten sind.
Datenklau und Recht auf immateriellen Schadensersatz
In einer Zeit, in der Datenklau zu erheblichen finanziellen Verlusten führen kann, ist es für Unternehmen entscheidend, ihre digitalen Systeme zu schützen.
EuGH-Generalanwalt Collins hat in seinen Schlussanträgen vom 26.10.2023 (C-182/22 und C-189/22; https://tinyurl.com/bt2fryc3) empfohlen, dass bereits der bloße Diebstahl sensibler personenbezogener Daten durch unbekannte Straftäter zu einem Anspruch auf immateriellen Schadensersatz führen kann. Es sei nicht notwendig, dass die gestohlenen Daten tatsächlich genutzt wurden, um einen Anspruch geltend zu machen. Voraussetzung für einen Schadensersatzanspruch der betroffenen Person seien lediglich der Nachweis eines Verstoßes gegen die DS-GVO, eines konkreten erlittenen Schadens und eines Kausalzusammenhangs zwischen dem Verstoß und dem Schaden.
Die aktuellen Vorabentscheidungsverfahren vor dem EuGH haben ihren Ursprung in einem Datenklau, bei dem persönliche Informationen bei einem Angriff auf die Trading-App Scalable Capital gestohlen wurden. Die betroffenen Personen forderten immateriellen Schadensersatz nach Art. 82 DS-GVO. Das Amtsgericht München legte dem EuGH grundlegende Fragen zur Auslegung von Art. 82 DS-GVO vor, insbesondere zur Definition des Begriffs „Identitätsdiebstahl“.
Während die meisten Fragen des Amtsgerichts München durch das Urteil in der Sache „Österreichische Post“ (Urteil vom 04.05.2023 – C-300/21; https://tinyurl.com/y3am93b3) inzwischen bereits geklärt sind, würde eine Entscheidung des EuGH im Sinne der Schlussanträge des Generalanwalts zu einer verschärften Haftung von Unternehmen führen können.
Denn eine Entscheidung des EuGH mit den Schlussanträgen des Generalanwalts würden bedeuten, dass Unternehmen unter Umständen für Datenklau haftbar gemacht werden können, selbst wenn die gestohlenen Daten nicht tatsächlich verwendet wurden. Voraussetzung hierfür bleibt, dass die Betroffenen einen immateriellen Schaden nachweisen.
Es ist dennoch entscheidend, dass Unternehmen angemessene technische und organisatorische Maßnahmen ergreifen, um sich vor solchen Angriffen zu schützen. In einer Zeit, in der Datenklau zu noch erheblicheren finanziellen Verlusten führen kann, ist es für Unternehmen entscheidend, ihre digitalen Systeme zu schützen. Die zu erwartende Entscheidung des EuGH unterstreicht die Dringlichkeit angemessener Sicherheitsvorkehrungen.