Schadenersatz nach einer Datenpanne - Geeignetheit der technischen und organisatorischen Maßnahmen?

Datenpannen können bei den betroffenen Personen zu schwerwiegenden materiellen und auch immateriellen Schäden führen. Zu denken ist zum Beispiel an eine Veröffentlichung von sensiblen Daten, die bei den betroffenen Personen zu Rufschädigung führen könnte. Betroffene Personen könnten nun geneigt sein, den datenschutzrechtlich Verantwortlichen zum finanziellen Ausgleich der Schäden aufzufordern. Für einen wirksamen Anspruch auf Ersatz der entstandenen Schäden aus der Datenschutzgrundverordnung ist es aber erforderlich, dass der Verantwortliche auch gegen eine ihn treffende Verpflichtung verstoßen hat.

Ein Anknüpfungspunkt für eine Schadenersatzforderung nach einer Datenpanne könnte die Vorgabe aus Art. 24 und 32 DSGVO zur Ergreifung angemessener technischer und organisatorischer Maßnahmen zum Schutz der Datenverarbeitung sein. Hintergrund dieser Überlegung ist, dass die Datenpanne gerade gezeigt hat, dass die technischen und organisatorischen Maßnahmen des Verantwortlichen in der Praxis nicht geeignet waren. Wären nämlich angemessene Maßnahmen ergriffen worden, hätte die Datenpanne verhindert werden können und der Verantwortliche habe demzufolge gegen die Verpflichtung aus Art. 24 und 32 verstoßen.

Der EuGH nahm jetzt in einer richtungsweisenden Entscheidung zu einigen äußerst praxisrelevanten Punkten in Bezug auf die Fragen rund um die Schadenersatzpflicht nach Datenpannen Stellung. Insbesondere positionierte er sich in der Entscheidung (Urteil vom 14.12.2023 – C-340/21) klar gegen oben genannte Auffassung.

Nach Ansicht des EuGH ist die Tatsache, dass eine Datenpanne passiert ist, gerade nicht ausreichend, um einen Verstoß des Verantwortlichen gegen Art. 24 und 32 DSGVO anzunehmen und eine Schadenersatzforderung betroffener Personen zu begründen.

Der EuGH legt dieser Einschätzung speziell eine genaue Anwendung der Vorgaben des Art. 32 DSGVO zugrunde. Dort wird von für die Datenverarbeitung verantwortlichen Institutionen verlangt, dass sie angemessene Schutzmaßnahmen ergreifen. Dies bedeute dem EuGH zufolge nicht, dass der Verantwortliche verpflichtet ist, einen absoluten Schutz für die Verarbeitung personenbezogener Daten zu gewährleisten. Vielmehr müssen technische und organisatorische Maßnahmen ergriffen werden, die ein im Verhältnis zur Risikolage angemessenes Schutzniveau bieten. Bei der Beurteilung der Angemessenheit sei dann durch Gerichte und Behörde eine ex ante Perspektive zugrunde zulegen.

Zu berücksichtigen sind jedoch die weiteren Ausführungen des EuGH, insbesondere dessen Einordnung der Beweislast. Entsprechend der Vorgaben zur Rechenschaftspflicht aus Art. 5 DSGVO müsse der Verantwortliche den Beweis erbringen, dass seine ergriffenen Maßnahmen auch den gesetzlichen Anforderungen an die Angemessenheit genügen.

Die Entscheidung des EuGH bringt für Unternehmen eine gewisse Rechtssicherheit und stellt eine ausgewogene Entscheidung dar. So wird von Unternehmen nicht gefordert, einen absoluten Schutz vor allen Datenpannen zu gewährleisten. Nicht unterschätzt werden dürfen aber die Anforderungen, die aus der Auslegung des Gerichts zur Rechenschaftspflicht erwachsen. Ein Unternehmen kann Schadenersatzansprüchen nach einer Datenpanne nur wirksam begegnen, sofern der Nachweis gelingt, dass in Bezug auf die konkrete Form der Datenverarbeitung und die hiermit verbundenen Risiken angemessene Sicherheitsvorkehrungen getroffen wurden.

Falls Sie Fragen zum geschilderten Thema und/oder zu anderen datenschutzrelevanten Themen haben, kontaktieren Sie uns einfach!

Zentrale Hutthurm: +49 (0) 8505 91927 – 0

Niederlassung München: +49 (0) 89 413 2943 – 0

Oder nutzen Sie unser Kontaktformular.