Verschärfte Strafen bei DSGVO-Verstößen

Der EuGH hat die Grenzen für Verstöße gegen die DSGVO deutlich erweitert. Wenn Unternehmen Daten verlieren, müssen sie künftig selbst die Wirksamkeit ihrer Schutzmaßnahmen nachweisen und Betroffene selbst dann entschädigen, wenn deren Informationen nicht missbraucht wurden.

Datenverluste und -Lecks werden für Unternehmen und Behörden nach einem aktuellen Urteil des Europäischen Gerichtshofs (EuGH) künftig wohl oft noch teurer. Nach der Begründung der Richter bleiben Unternehmen und anderen Einrichtungen kaum noch Wege, die Verantwortung bei Datenlecks und Datendiebstählen von sich zu weisen, selbst wenn sie Opfer von professionellen Hackern wurden. Zwar scheint der EuGH sie zunächst insofern zu entlasten, als dass der erfolgte Datenverlust an sich nicht gleichzeitig als Beweis für mangelnde technische oder organisatorische Schutzmaßnahmen gewertet werden darf. Vielmehr müssten diese vom Gericht konkret auf ihre Eignung hin beurteilt werden. Um die Basis für die Einzelfallentscheidungen zu bekommen, wird jedoch die Beweislast umgekehrt: »Der Verantwortliche trägt die Beweislast dafür, dass die getroffenen Schutzmaßnahmen geeignet waren.« Damit Obliegt es also den Unternehmen und Behörden, den Gerichten zu beweisen, dass die offensichtlich in der Praxis nicht wirksamen Schutzmaßnahmen gemäß der DSGVO dennoch grundsätzlich für einen ausreichenden Schutz der Daten geeignet waren.

Dieser Beweis ist in der Folge zugleich die Voraussetzung für eine Entlassung aus der Schadenersatzpflicht. »Im Fall der unbefugten Offenlegung von bzw. des unbefugten Zugangs zu personenbezogenen Daten durch „Dritte“ (wie Cyberkriminelle) kann der Verantwortliche gegenüber den Personen, denen ein Schaden entstanden ist, ersatzpflichtig sein, es sei denn, er weist nach, dass er in keinerlei Hinsicht für den Schaden verantwortlich ist«, so die Richter. Im Weiteren definieren sie zudem den genannten Schaden noch etwas genauer, wobei sie vor allem den Schutz der betroffenen Verbraucher in den Mittelpunkt stellen: »Allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, kann einen „immateriellen Schaden“ darstellen.« Demnach müssen von Unternehmen nach Datenverlusten durch Hackerangriffen, Sicherheitslücken oder anderweitige Pannen also künftig in den meisten Fällen damit rechnen, neben den Datenschutzbehörden auch direkt von den Betroffenen in die Pflicht genommen zu werden.

Aktuell laufen in Europa mehrere Verfahren, die durch das Urteil umgehend beeinflusst werden dürften. Dazu zählen etwa Klagen gegen Facebook und Deezer wegen deren jüngsten Datenverlusten. Durch die Vorgaben des EuGH dürfen sich hier nun alleine in Deutschland rund 6 der insgesamt mehr als 200 Millionen Betroffenen Hoffnungen auf Schadenersatzzahlungen machen. »Wir vertreten bereits zehntausende Betroffene im Fall des Facebook-Datenlecks und des Deezer-Datenlecks. Ihre Chancen auf bis zu 1.000 Euro Schadensersatz wurden mit diesem EuGH-Urteil enorm gestärkt«, erklärt Rechtsanwalt Christian Solmecke von der Kanzlei WBS Legal.

Lesen Sie mehr zum Thema