Wegweisendes EuGH-Urteil zu DSGVO-Schadenersatz bei Cyberschäden

Cyberangriffe stellen für Kanzleien eine zunehmende Bedrohung dar. Neben operativen Folgen wie Betriebsunterbrechungen, Datenverlust oder Lösegeldforderungen rücken insbesondere datenschutzrechtliche Risiken stärker in den Fokus. In den vergangenen Jahres wurden zahlreiche erfolgreiche Angriffe auf Kanzleien registriert, oft mit erheblichen Konsequenzen für die betroffenen Kanzleien - wie einem Bericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) zur Lage der IT-Sicherheit zu entnehmen ist.

Ein Urteil des Europäischen Gerichtshofs (EuGH) vom 14. Dezember 2023 (C-340/21) konkretisiert die rechtlichen Rahmenbedingungen für den Umgang mit solchen Vorfällen. Im Mittelpunkt stehen dabei die Anforderungen an die Datensicherheit, die Beweislast sowie die Voraussetzungen für Schadenersatzansprüche.

Geeignetheit der Datensicherheitsmaßnahmen

Der EuGH stellt klar, dass ein Cyberangriff allein nicht automatisch auf unzureichende Datensicherheitsmaßnahmen schließen lässt. Auch umfangreiche und angemessene Schutzmaßnahmen können im Einzelfall von Angreifern überwunden werden. Art. 24 DS-GVO gewährt dabei sogar explizit die Möglichkeit, die Rechtskonformität ergriffener Maßnahmen nachzuweisen. Dafür ist eine sorgfältige Dokumentation aller Datensicherheitsmaßnahmen,die vorgenommen werden, zwingend erforderlich. (Eine hilfreiche Orientierung bietendie Empfehlungen des BSI zur Standardisierung und Zertifizierung im Bereich Informationssicherheit.)

Beweislast für ausreichende Datensicherheitsmaßnahmen

Die Verantwortung für den Nachweis liegt bei der Kanzlei selbst. Sie muss darlegen können, dass die eingesetzten Maßnahmen den gesetzlichen Anforderungen entsprechen und dem Stand der Technik genügen.

Diese Beweislast gilt auch im Zusammenhang mit möglichen Schadenersatzansprüchen und erhöht die Anforderungen an interne Prozesse und Dokumentationen erheblich.

Verantwortung nach der DSGVO

Ein Cyberangriff führt nicht automatisch zur Enthaftung der betroffenen Kanzlei. Auch wenn der Angriff durch Dritte verursacht wurde, bleibt die datenschutzrechtliche Verantwortung grundsätzlich bestehen.

Die Kanzlei muss im Einzelfall nachweisen, dass sie in keiner Hinsicht für die Umstände des Schadenseintritt verantwortlich ist (EuGH, Art. 82 Abs. 2, 3 DSGVO)– eine Hürde, die in der Praxis häufig schwer zu erfüllen ist.

Schwelle für immateriellen Schadenersatz

Besonders relevant ist die Klarstellung des EuGH zur Frage des immateriellen Schadens:

Bereits die bloße Befürchtung eines Missbrauchs personenbezogener Daten kann einen Anspruch auf Schadenersatz begründen, auch dann, wenn kein tatsächlicher Missbrauch nachgewiesen wird.

Allerdings muss der Anspruchsteller darlegen, dass ihm ein konkreter Schaden entstanden ist. Die Bewertung erfolgt dabei stets im Einzelfall.

Auswirkungen für die Praxis

Das Urteil führt zu einer spürbaren Verschärfung der Haftungsrisiken für Kanzleien. Insbesondere steigen die Anforderungen an:

• die Dokumentation von Datensicherheitsmaßnahmen
• die Nachvollziehbarkeit interner Prozesse
• den Umgang mit Datenschutzvorfällen

Gleichzeitig erhöht sich das Risiko von Schadenersatzforderungen, insbesondere im Zusammenhang mit immateriellen Schäden.

Fazit

Das EuGH-Urteil verdeutlicht, dass Datenschutz und IT-Sicherheit zu zentralen Risikofaktoren für Kanzleien geworden sind.

Eine sorgfältige Umsetzung und Dokumentation von Sicherheitsmaßnahmen ist entscheidend, um Haftungsrisiken zu minimieren und im Ernstfall handlungsfähig zu bleiben.

GGW Cyberversicherung für Kanzleien

GGW bietet eine speziell auf die Bedürfnisse von Kanzleien zugeschnittene Cyber-Versicherung an, die Ihnen als Baustein zur Risikoabwälzung dienen kann. Gern stehen wir Ihnen zur Verfügung, um weitere Informationen zu diesem wichtigen Schutz für Ihre Kanzlei darzulegen oder Fragen zu Ihrem individuellen Versicherungsbedarf sowie zu den rechtliche Aspekten von Cyber-Angriffen zu beantworten.