Aktuell

RWB-Artikelreihe: Artikel 4 – Wegweisendes EUGH-Urteil zu DSGVO Schadenersatz bei Cyberschäden

Min­des­tens 68 er­folg­rei­che Ran­som­ware-An­grif­fe auf Kanz­lei­en hat es im Jahr 2023 in Deutsch­land ge­ge­ben, wie ei­nem Be­richt des Bun­des­amts für Si­cher­heit in der In­for­ma­ti­ons­tech­nik (BSI) zur La­ge der IT-Si­cher­heit zu ent­neh­men ist. Oft wa­ren die­se An­grif­fe mit schwe­ren Fol­gen für die be­trof­fe­nen Kanz­lei­en ver­bun­den.

Hamburg, 27.03.2024 – Un­ter­bre­chung des Kanz­lei­be­trie­bes, Ver­lust von Be­triebs­ge­heim­nis­sen oder Lö­se­geld­for­de­run­gen - die Fol­gen von Cy­ber-An­grif­fen wie­gen schwer und sind viel­fäl­tig. Zu­sätz­lich dro­hen er­heb­li­che da­ten­schutz­recht­li­che Ri­si­ken.


Urteil vom Dezember 2023

Ein weg­wei­sen­des Ur­teil des Ge­richts­hofs der Eu­ro­päi­schen Uni­on (EuGH) vom 14. De­zem­ber 2023 (C-340/21) gibt wich­ti­ge Ant­wor­ten zu den Rah­men­be­din­gun­gen und dem da­ten­schutz­recht­li­chen Ri­si­ko bei Cy­ber-An­grif­fen. Da­bei sind die Aus­füh­run­gen des EuGH zur Ver­ant­wort­lich­keit für da­ten­schutz­recht­li­che Ver­stö­ße so­wie zum im­ma­te­ri­el­len Scha­den be­son­ders re­le­vant. Wir ha­ben die Kern­aus­sa­gen des Ur­teils für Sie zu­sam­men­ge­fasst.
 

Geeignetheit der Datensicherheitsmaßnahmen

Der EuGH stellt fest, dass es nicht au­to­ma­tisch auf un­zu­rei­chen­de Da­ten­si­cher­heits­maß­nah­men hin­weist, wenn es bei ei­nem Cy­ber-An­griff zu ei­ner Da­ten­pan­ne kommt. Auch um­fang­rei­che Maß­nah­men könn­ten im Ein­zel­fall durch die An­grei­fer über­wun­den wer­den. Der Art. 24 DS-GVO ge­währt da­bei so­gar ex­pli­zit die Mög­lich­keit, die Rechts­kon­for­mi­tät er­grif­fe­ner Maß­nah­men nach­zu­wei­sen. Da­für ist ei­ne sorg­fäl­ti­ge Do­ku­men­ta­ti­on al­ler Da­ten­si­cher­heits­maß­nah­men, die vor­ge­nom­men wer­den, zwin­gend er­for­der­lich. (Ei­ne hilf­rei­che Ori­en­tie­rung bie­ten die Emp­feh­lun­gen des BSI zur Stan­dar­di­sie­rung und Zer­ti­fi­zie­rung im Be­reich In­for­ma­ti­ons­si­cher­heit).
 

Beweislast für ausreichende Datensicherheitsmaßnahmen

Die Be­weis­last da­für, dass die tech­ni­schen und or­ga­ni­sa­to­ri­schen Maß­nah­men den gest­z­li­chen An­for­de­run­gen ent­spre­chen, trägt die Kanz­lei als Ver­ant­wort­li­che für die Da­ten­ver­ar­bei­tung. Die­se Re­ge­lung gilt eben­falls im Rah­men von Scha­den­er­satz­an­sprü­chen.
 

Verantwortung nach der DSGVO

Er­folgt ein Cy­ber-An­griff, so be­deu­tet dies nicht au­to­ma­tisch die Ent­haf­tung der be­trof­fe­nen und ver­ant­wort­li­chen Kanz­lei von ih­rer da­ten­schutz­recht­li­chen Haf­tung. Auch wenn hier­bei der Ver­stoß ge­gen die DS­GVO durch ei­nen Drit­ten ma­ß­geb­lich ver­ur­sacht wur­de, reicht dies für die Exkul­pa­ti­on nicht aus. Viel­mehr lei­tet der EuGH aus Art. 82 Abs. 2, 3 DS­GVO ab, dass der Ver­ant­wort­li­che den Nach­weis er­brin­gen muss, dass er in kei­ner Hin­sicht für die Um­stän­de des Scha­den­ein­tritts ver­ant­wort­lich ist.
 

Schwelle für immateriellen Schadenersatz

Im Ge­gen­satz zu ei­nem ers­ten Ur­teil vom Mai 2023 hat der EuGH nun fest­ge­legt, dass be­reits die blo­ße Be­fürch­tung ei­nes Miss­brauchs per­so­nen­be­zo­ge­ner Da­ten ei­nen im­ma­te­ri­el­len Scha­den­er­satz­an­spruch be­grün­den kann, auch wenn die Da­ten tat­säch­lich nicht miss­bräuch­lich ver­wen­det wur­den. Al­ler­dings muss der An­spruch­stel­ler nach­wei­sen, dass ihm ein Scha­den ent­stan­den ist. Dies­be­züg­lich wird es künf­tig deut­lich auf die Scha­dens­dar­le­gung im Ein­zel­fall an­kom­men.

Fazit: Das ak­tu­el­le Ur­teil bringt ein ge­wis­ses Ri­si­ko mit sich, dass es ver­mehrt zu Kla­gen be­züg­lich der "Be­fürch­tun­gen ei­nes Da­ten­miss­brauchs" kommt, um ei­nen im­ma­te­ri­el­len Scha­den­er­satz zu er­wir­ken. Dem ste­hen die ent­wi­ckel­ten Maß­stä­be für ei­ne sorg­fäl­ti­ge Prü­fung im Ein­zel­fall ent­ge­gen. In je­dem Fall aber soll­ten Kanz­lei­en gründ­lich prü­fen, ob in­tern an­ge­mes­se­ne Da­ten­si­cher­heits­maß­nah­men ge­trof­fen und die­se auch aus­rei­chend do­ku­men­tiert wur­den.
 

Unsere GGW Cyber-Versicherung für Kanzleien

GGW bie­tet ei­ne spe­zi­ell auf die Be­dürf­nis­se von Kanz­lei­en zu­ge­schnit­te­ne Cy­ber-Ver­si­che­rung an, die Ih­nen als Bau­stein zur Ri­si­ko­ab­wäl­zung die­nen kann. Gern ste­hen wir Ih­nen zur Ver­fü­gung, um wei­te­re In­for­ma­tio­nen zu die­sem wich­ti­gen Schutz für Ih­re Kanz­lei dar­zu­le­gen oder Fra­gen zu Ih­rem in­di­vi­du­el­len Ver­si­che­rungs­be­darf so­wie zu den recht­li­chen As­pek­ten von Cy­ber-An­grif­fen zu be­ant­wor­ten.
 

Über die GGW Gruppe

Die Gossler, Gobert & Wolters Gruppe (GGW Gruppe) ist einer der großen unabhängigen und inhabergeführten Industrieversicherungsmakler in Deutschland. Als Experte für integriertes Risiko- und Versicherungsmanagement betreuen die rund 290 Mitarbeiter der GGW Gruppe mittelständische Unternehmen aus Industrie, Handel, Gewerbe sowie den rechts- und wirtschaftsberatenden Berufen. Deutschlandweit ist das Beratungshaus an neun Standorten vertreten und berät in Zusammenarbeit mit internationalen Netzwerken Kunden in über 60 Ländern.

Autor: Markus Hoffmann
Veröffentlicht: 27.03.2024
Share:

Mehr zum Thema

Über GGW

GGW Service

Das könnte auch von Interesse sein

GGW Blog

Aktuelles aus unserem Haus

Oktoberfest bei GGW Leipzig

Jetzt lesen

GGW Leipzig beim Sommerfest im Ronald McDonald Haus

Jetzt lesen

RWB-Artikelreihe: Artikel 5 – Treuhandschaften für Rechtsanwälte – eine Risikoanalyse

Jetzt lesen

Getreidehändler ist pleite – verlieren Landwirte nun ihr Geld?

Jetzt lesen

Gemeinsam aktiv – GGW beim Firmenlauf Leipzig am Start

Jetzt lesen

Gemeinsam GGW

Jetzt lesen

Zukunftswerkstatt bei GGW Leipzig

Jetzt lesen

CHORal TOTAL – GGW auf dem Bachfest in Leipzig

Jetzt lesen

Aktionstag Lehrstellen – GGW Leipzig war dabei!

Jetzt lesen

Update +++ Gesetz zur Umsetzung der EU-Richtlinie nun final bestätigt

Jetzt lesen

NIS 2-Richtlinie verschärft – besteht auch für Sie Handlungsbedarf?

Jetzt lesen

GGW Leipzig spendet für neuen "Snoezelraum"

Jetzt lesen
Corona-Störer
  

Aktuelle Information zum Corona-Virus

Wir sind weiter für Sie da!

Jetzt lesen