Aktuell

RWB-Artikelreihe: Artikel 4 – Wegweisendes EUGH-Urteil zu DSGVO Schadenersatz bei Cyberschäden

Min­des­tens 68 er­folg­rei­che Ran­som­ware-An­grif­fe auf Kanz­lei­en hat es im Jahr 2023 in Deutsch­land ge­ge­ben, wie ei­nem Be­richt des Bun­des­amts für Si­cher­heit in der In­for­ma­ti­ons­tech­nik (BSI) zur La­ge der IT-Si­cher­heit zu ent­neh­men ist. Oft wa­ren die­se An­grif­fe mit schwe­ren Fol­gen für die be­trof­fe­nen Kanz­lei­en ver­bun­den.

Hamburg, 27.03.2024 – Un­ter­bre­chung des Kanz­lei­be­trie­bes, Ver­lust von Be­triebs­ge­heim­nis­sen oder Lö­se­geld­for­de­run­gen - die Fol­gen von Cy­ber-An­grif­fen wie­gen schwer und sind viel­fäl­tig. Zu­sätz­lich dro­hen er­heb­li­che da­ten­schutz­recht­li­che Ri­si­ken.


Urteil vom Dezember 2023

Ein weg­wei­sen­des Ur­teil des Ge­richts­hofs der Eu­ro­päi­schen Uni­on (EuGH) vom 14. De­zem­ber 2023 (C-340/21) gibt wich­ti­ge Ant­wor­ten zu den Rah­men­be­din­gun­gen und dem da­ten­schutz­recht­li­chen Ri­si­ko bei Cy­ber-An­grif­fen. Da­bei sind die Aus­füh­run­gen des EuGH zur Ver­ant­wort­lich­keit für da­ten­schutz­recht­li­che Ver­stö­ße so­wie zum im­ma­te­ri­el­len Scha­den be­son­ders re­le­vant. Wir ha­ben die Kern­aus­sa­gen des Ur­teils für Sie zu­sam­men­ge­fasst.
 

Geeignetheit der Datensicherheitsmaßnahmen

Der EuGH stellt fest, dass es nicht au­to­ma­tisch auf un­zu­rei­chen­de Da­ten­si­cher­heits­maß­nah­men hin­weist, wenn es bei ei­nem Cy­ber-An­griff zu ei­ner Da­ten­pan­ne kommt. Auch um­fang­rei­che Maß­nah­men könn­ten im Ein­zel­fall durch die An­grei­fer über­wun­den wer­den. Der Art. 24 DS-GVO ge­währt da­bei so­gar ex­pli­zit die Mög­lich­keit, die Rechts­kon­for­mi­tät er­grif­fe­ner Maß­nah­men nach­zu­wei­sen. Da­für ist ei­ne sorg­fäl­ti­ge Do­ku­men­ta­ti­on al­ler Da­ten­si­cher­heits­maß­nah­men, die vor­ge­nom­men wer­den, zwin­gend er­for­der­lich. (Ei­ne hilf­rei­che Ori­en­tie­rung bie­ten die Emp­feh­lun­gen des BSI zur Stan­dar­di­sie­rung und Zer­ti­fi­zie­rung im Be­reich In­for­ma­ti­ons­si­cher­heit).
 

Beweislast für ausreichende Datensicherheitsmaßnahmen

Die Be­weis­last da­für, dass die tech­ni­schen und or­ga­ni­sa­to­ri­schen Maß­nah­men den gest­z­li­chen An­for­de­run­gen ent­spre­chen, trägt die Kanz­lei als Ver­ant­wort­li­che für die Da­ten­ver­ar­bei­tung. Die­se Re­ge­lung gilt eben­falls im Rah­men von Scha­den­er­satz­an­sprü­chen.
 

Verantwortung nach der DSGVO

Er­folgt ein Cy­ber-An­griff, so be­deu­tet dies nicht au­to­ma­tisch die Ent­haf­tung der be­trof­fe­nen und ver­ant­wort­li­chen Kanz­lei von ih­rer da­ten­schutz­recht­li­chen Haf­tung. Auch wenn hier­bei der Ver­stoß ge­gen die DS­GVO durch ei­nen Drit­ten ma­ß­geb­lich ver­ur­sacht wur­de, reicht dies für die Exkul­pa­ti­on nicht aus. Viel­mehr lei­tet der EuGH aus Art. 82 Abs. 2, 3 DS­GVO ab, dass der Ver­ant­wort­li­che den Nach­weis er­brin­gen muss, dass er in kei­ner Hin­sicht für die Um­stän­de des Scha­den­ein­tritts ver­ant­wort­lich ist.
 

Schwelle für immateriellen Schadenersatz

Im Ge­gen­satz zu ei­nem ers­ten Ur­teil vom Mai 2023 hat der EuGH nun fest­ge­legt, dass be­reits die blo­ße Be­fürch­tung ei­nes Miss­brauchs per­so­nen­be­zo­ge­ner Da­ten ei­nen im­ma­te­ri­el­len Scha­den­er­satz­an­spruch be­grün­den kann, auch wenn die Da­ten tat­säch­lich nicht miss­bräuch­lich ver­wen­det wur­den. Al­ler­dings muss der An­spruch­stel­ler nach­wei­sen, dass ihm ein Scha­den ent­stan­den ist. Dies­be­züg­lich wird es künf­tig deut­lich auf die Scha­dens­dar­le­gung im Ein­zel­fall an­kom­men.

Fazit: Das ak­tu­el­le Ur­teil bringt ein ge­wis­ses Ri­si­ko mit sich, dass es ver­mehrt zu Kla­gen be­züg­lich der "Be­fürch­tun­gen ei­nes Da­ten­miss­brauchs" kommt, um ei­nen im­ma­te­ri­el­len Scha­den­er­satz zu er­wir­ken. Dem ste­hen die ent­wi­ckel­ten Maß­stä­be für ei­ne sorg­fäl­ti­ge Prü­fung im Ein­zel­fall ent­ge­gen. In je­dem Fall aber soll­ten Kanz­lei­en gründ­lich prü­fen, ob in­tern an­ge­mes­se­ne Da­ten­si­cher­heits­maß­nah­men ge­trof­fen und die­se auch aus­rei­chend do­ku­men­tiert wur­den.
 

Unsere GGW Cyber-Versicherung für Kanzleien

GGW bie­tet ei­ne spe­zi­ell auf die Be­dürf­nis­se von Kanz­lei­en zu­ge­schnit­te­ne Cy­ber-Ver­si­che­rung an, die Ih­nen als Bau­stein zur Ri­si­ko­ab­wäl­zung die­nen kann. Gern ste­hen wir Ih­nen zur Ver­fü­gung, um wei­te­re In­for­ma­tio­nen zu die­sem wich­ti­gen Schutz für Ih­re Kanz­lei dar­zu­le­gen oder Fra­gen zu Ih­rem in­di­vi­du­el­len Ver­si­che­rungs­be­darf so­wie zu den recht­li­chen As­pek­ten von Cy­ber-An­grif­fen zu be­ant­wor­ten.
 

Über die GGW Gruppe

Die Gossler, Gobert & Wolters Gruppe (GGW Gruppe) ist einer der großen unabhängigen und inhabergeführten Industrieversicherungsmakler in Deutschland. Als Experte für integriertes Risiko- und Versicherungsmanagement betreuen die rund 290 Mitarbeiter der GGW Gruppe mittelständische Unternehmen aus Industrie, Handel, Gewerbe sowie den rechts- und wirtschaftsberatenden Berufen. Deutschlandweit ist das Beratungshaus an neun Standorten vertreten und berät in Zusammenarbeit mit internationalen Netzwerken Kunden in über 60 Ländern.

Autor: Markus Hoffmann
Veröffentlicht: 27.03.2024
Share:

Sie möchten eine Publikation oder Pressematerial zugeschickt bekommen? Dann lassen Sie uns gern eine Nachricht zukommen.

Das könnte auch von Interesse sein

SMR Blog

Aktuelles aus unserem Haus

Bestellerbetrug: Wenn der erträumte Großauftrag zum Alptraum wird

Jetzt lesen

GGW Gruppe neuer Hauptsponsor der Jugend-Nationalteams des DHB

Jetzt lesen

Der Schutzschirm endet und die Insolvenzen kommen?

Jetzt lesen

Blockade des Suez-Kanals – ein Sonderfall?

Jetzt lesen

Endgültiges Inkrafttreten der neuen Verordnung für Medizinprodukte steht bevor

Jetzt lesen

StaRUG – Neue Rahmenbedingungen für Unternehmen

Jetzt lesen

Aktionstag Lehrstellen – GGW Leipzig war dabei!

Jetzt lesen

Update +++ Gesetz zur Umsetzung der EU-Richtlinie nun final bestätigt

Jetzt lesen

NIS 2-Richtlinie verschärft – besteht auch für Sie Handlungsbedarf?

Jetzt lesen

GGW Leipzig spendet für neuen "Snoezelraum"

Jetzt lesen

Zweifache Spendenübergabe von GGW Leipzig

Jetzt lesen

UPDATE +++ Bundestag beschließt Gesetz zur Umsetzung der geänderten EU-KH-Richtlinie

Jetzt lesen
Corona-Störer
  

Aktuelle Information zum Corona-Virus

Wir sind weiter für Sie da!

Jetzt lesen