Zurück
Zurück zur
Blog-Übersicht
July 18, 2023

Datenschutz: Schadenersatz bei Hackerangriff

Datenschutz: Schadenersatz bei Hackerangriff

Schadenersatz bei Hackerangriff?

Der Generalanwalt beim EuGH setzte sich mit folgender spannenden Frage auseinander (Schlussanträge vom 27.4.2023, C-340/21): Besteht ein Anspruch auf immateriellen Schadenersatz bei einem Hackerangriff?

Gesetzliche Grundlage für den Schadenersatzanspruch bildet Art 82 DSGVO iVm § 29 DSG (nach nationalem österreichischen Recht).

Dabei gelangt er zu folgender wesentlichen Erkenntnis: Der Schaden, der in der Befürchtung eines möglichen künftigen Missbrauchs von personenbezogenen Daten besteht und dessen Vorhandensein die betroffene Person nachgewiesen hat, kann einen immateriellen Schaden darstellen, der einen Schadenersatzanspruch begründet.

Kurzum: Im Falle eines Hackingsangriffes kann ein Anspruch auf immateriellen Schadenersatz aufgrund einer Datenschutzverletzung entstehen.

Immaterieller Schaden bei Cyber-Attacke: Worauf kommt es an?

Ob der Schadenersatzanspruch begründet ist, hängt auch davon ab, ob vom Unternehmer angemessene technische und organisatorische Maßnahmen ("TOMs") ergriffen wurden, ob eine erfolgreiche Hackerattacke abzuwenden. Bei einem Cyberangriff ist der vorwerfbare Verstoß gegenüber dem Verantwortlichen nicht in der Offenlegung der Daten zu sehen, sondern vielmehr in den möglicherweise unzureichenden Schutzmaßnahmen, die eine unberechtigte Offenlegung erst ermöglichen.

Datenschutzverletzung aufgrund Hacker-Angriff: Worauf kommt es vor Gericht an?

Vor Gericht kommt es demnach darauf an, ob der (potentielle) Schädiger angemessene Maßnahmen zur Abwehr einer Offenlegung von Daten im Wege eines Hackerangriffes umgesetzt hat. Gelingt ihm dieser Beweis nicht, drohen empfindliche Klagen der betroffenen Opfer (deren Daten beispielsweise im Darknet landen könnten). Der Generalanwalt deutet auch an, dass Zertifizierungen (etwa nach ISO 27001) zu einer Exkulpierung des Schädigers führen können. Er misst diesen Zertifizierungen eine übergeordnete Bedeutung bei und geht so weit, dass bei ihrem Vorliegen grundsätzlich von einer Datenschutzkonformität der Verarbeitung im Regelfall ausgegangen werden kann.

Angesicht der Zunahme von Cyberangriffen stellt der gegenständliche Sachverhalt sowie deren rechtliche Enschätzung durch den Generalanwalt eine richtungsweisende Erkenntnis dar.

Lese-Empfehlung: Private Enforcement - Immaterieller Schadenersatz bei Datenschutzverletzungen, Tretzmüller im Jahrbuch Datenschutzrecht

Zurück
Zurück zur
Blog-Übersicht

Andere interessante Beiträge

ChatGPT und der Betriebsrat
April 16, 2024
ChatGPT und der Betriebsrat
E-Commerce: Unzulässiger Cookie-Banner
April 11, 2024
E-Commerce: Unzulässiger Cookie-Banner
NIS II: Ist mein Unternehmen betroffen?
March 20, 2024
NIS II: Ist mein Unternehmen betroffen?

Höchste Qualität durch jahrelange Spezialisierung
in den Rechtsgebieten EDV-Vertragsrecht,
Datenschutz, Urheberrecht.

Allgemeines
SpezialgebieteKanzleiKontakt
Blog
Dimensionen
In Sachen SoftwarerechtIn Sachen Vertragsrecht
Kontakt
Windmühlgasse 301060 Wienanfrage@digital-recht.at

© von-hertz.com | Impressum | Datenschutz