Schmerzensgeld für Cyberangriffe?

Welche Entschädigung können Malware- und Trojaneropfer beanspruchen?

Mit Urteil vom 14.12.2023 hat der Europäische Gerichtshof (EuGH) festgestellt, dass die bloße Ungeeignetheit technisch-organisatorischer Maßnahmen (TOMs), die einen Cyberangriff durch Dritte (Hacker), nämlich u.a. mittels Zugriffs und Veröffentlichung personenbezogener Daten, ermöglicht oder begünstigt, noch nicht per se einen Schadensersatzanspruch der betroffenen Personen rechtfertigt.

Aus der grundsätzlichen DSGVO-Rechenschaftspflicht des Verantwortlichen folgt zwar, dass dieser die Beweislast dafür trägt, dass seine Sicherheitsmaßnahmen (hier: TOMs) geeignet waren. Kann er diesen Beweis nicht führen, liegt ein DSGVO-Verstoß vor. Der Umstand, dass der Schaden durch die den Cyberangriff verübenden „Dritten“ verursacht worden ist, lässt die eigene Schadensersatzpflicht des Verantwortlichen nicht entfallen. Vielmehr muss er nachweisen, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.

Es entspricht inzwischen nahezu einhelliger Rechtsmeinung, dass bereits die Befürchtung eines Missbrauchs von Personendaten durch Dritte (bspw. infolge eines Cyberangriffs) für den Betroffenen bereits einen immateriellen, ersatzpflichtigen Schaden darstellen kann. Bei der Feststellung einer solchen Befürchtung muss es sich allerdings um ein individuelles Erlebnis handeln, das mit einer seelischen Beeinträchtigung beim Betroffenen einhergeht. Dies wäre demnach im Einzelfall durch das den Schadensersatzanspruch prüfende Gericht zu entscheiden. Kollektive Abhilfeklagen von Verbraucherverbänden sind bei Ansetzung dieses EuGH-Maßstabs mithin ausgeschlossen, da Ansprüche aus Art. 82 DSGVO nicht, wie jedoch für eine solche „Sammelklage“ erforderlich, „im Wesentlichen gleichartig sind“.

Die bloß abstrakte Sorge um die Folgen des Kontrollverlusts oder ein unspezifisches „Daten-Unwohlsein“, bei dem die betroffene Person mit missbräuchlichen Verwendungen ihrer Daten rechnet, genügt demnach nicht. Vielmehr bedarf es vom Betroffenen hinreichend spezifizierter Annahmen, die wiederum ihrerseits nicht vage und substanzlos sein dürfen.

Laut EuGH kann demnach zwar bereits die durch einen Verstoß gegen die DSGVO ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, einen immateriellen Schaden darstellen. Dies beinhaltet Situationen, in denen die betroffene Person die begründete Befürchtung hegt, dass einige ihrer personenbezogenen Daten künftig von Dritten weiterverbreitet oder missbräuchlich verwendet werden (bspw. weil ein Datensatz an einen unbefugten Dritten weitergegeben wurde, der in der Lage war, Kopien anzufertigen). Ein rein hypothetisches Risiko der missbräuchlichen Verwendung führt jedoch noch nicht zu einer Entschädigung, was namentlich der Fall ist, wenn kein Dritter die fraglichen personenbezogenen Daten zur Kenntnis genommen hat (siehe nun auch EuGH, Urteil 25.01.2024).

In eingriffsintensiven Fällen, wo es infolge einer großangelegten Angriffswelle bereits zu unbefugten Veröffentlichungen von personenbezogenen Daten im großen Stil gekommen ist (WannaCry, EMOTET, GandCrab etc.), dürfte eine solche Befürchtung plausibel und hinreichend substantiiert sein. Hier dürften Betroffene mit einigem Erfolg Schadensersatzklagen schlüssig machen können. Die Höhe wiederum variiert je nach dem Grad der Beeinträchtigung. Die eher zurückhaltende bundesdeutsche Judikatur wird die erste Klagewelle aller Erfahrung nach mit Preisschildern zwischen 500 und 3000 EUR eindämmen wollen – bis der EuGH auch insofern wieder einschreitet und mit Präventiv- und Abschreckungsgedanken kontert. Auf mittlere Sicht halten wir EU-weit eine Vereinheitlichung der Gerichtspraxis in einem wesentlich größeren Entschädigungsrahmen von 5 – 20 TEUR für wahrscheinlich.

Der Erfolg eines Cyberangriffs durch Dritte führt jedoch noch nicht pauschal zur Ungeeignetheit der TOMs (und einer hieraus abgeleiteten Schadenshaftung des Verantwortlichen) oder stellt eine dahingehende Vermutung auf. Denn die Eignung bestimmt sich aus einer sog. „ex-ante-Sicht“ – also aus einer Perspektive vor dem konkreten Vorfall, und ob also zu diesem Zeitpunkt ein „dem Risiko angemessenes Schutzniveau“ gewährleistet war.

Die Verwirklichung von Cyberangriffsrisiken lässt sich angesichts rapider Techniksprünge auf diesem Gebiet nicht vollständig verhindern. Dem trägt der EuGH mit seiner Entscheidung Rechnung. Dem Verantwortlichen steht demnach ein gewisser Entscheidungsspielraum bei der Festlegung geeigneter TOMs zu, ausgehend von den der betreffenden Datenverarbeitung ausgehenden Risiken und deren Überprüfung auf die Angemessenheit der gegen sie getroffenen Maßnahmen.