Im Überblick
- Am 14.12.2023 hat der Europäische Gerichtshof zwei wegweisende Entscheidungen getroffen, die maßgeblich Einfluss auf Datenschutz- und Cyberiskmanagement nehmen.
- Erstens können Personen, deren Daten bei einem Cyberangriff auf ein Unternehmen in Hände Dritter gelangten, Anspruch auf Schadensersatz haben, sofern sie einen immateriellen Schaden nachweisen können.
- Zweitens senkte der EuGH die Hürde für immaterielle Schadensersatzklagen und verneint Bagatellgrenzen oder zusätzliche Hürden.
- Um Schadensersatzanforderungen erfolgreich abzuwehren, müssen Unternehmen nun eigenständig nachweisen, dass sie angemessene Cybersicherheitsmaßnahmen ergriffen haben.
Inhaltsverzeichnis:
- Was bedeuten die Urteile für Betroffene?
- Was ändert sich für Unternehmen?
- Empfehlungen für Unternehmen: Das sollten Sie jetzt umsetzen
Dr. Frank Schemmel, DataGuards Senior Director, erklärt im Gespräch, was für Betroffene, Organisationen und Aufsichtsbehörden in Deutschland mit den Urteilen verbunden ist und erteilt Unternehmen Ratschläge hinsichtlich der Beweispflicht ihrer Cybersicherheitsmaßnahmen.
Was bedeuten die Urteile für Betroffene?
Allgemein gesprochen werden durch die Urteile des EuGH die Datenschutzrechte von Bürgern gestärkt. Mit einem neuen Schwung an Schadensersatzklagen rechnet Dr. Frank Schemmel zwar, weist aber auf die immer noch hohen Hürden hin:
„Denn betroffene Personen, deren Daten bei einer Cyberattacke gestohlen wurden und nun in Sorge sind, dass diese beispielsweise im Darknet landen, müssen konkret vor Gericht nachweisen, von diesem Ereignis einen immateriellen Schaden davongetragen zu haben." - Dr. Frank Schemmel
Immaterielle Schäden sind in Artikel 82 Absatz 1 DSGVO geregelt und können sich beispielsweise in Form von Depressionen, Magengeschwüre oder Schlafstörungen bemerkbar machen.
Das höchste europäische Gericht hat nun klargestellt: Der entstandene immaterielle Schaden muss konkret nachgewiesen werden – beispielsweise durch die Diagnose eines Arztes – und zudem klar auf das Ereignis zurückführbar sein.
Darüber hinaus dürfen nationale Gerichte nun keine weiteren Voraussetzungen für den immateriellen Schaden für Datenschutzverletzungen aufstellen, etwa, dass der Schaden sichtbar oder objektiv sein muss. Denn der EuGH hat bereits im Mai 2023 verbindliche und abschließende Voraussetzungen aufgestellt.
Folgende drei bestehenden Voraussetzungen müssen üblicherweise erfüllt sein:
- Es muss ein Schaden vorliegen.
- Es muss sich um einen Verstoß gegen die DSGVO handeln.
- Es muss ein Kausalzusammenhang zwischen Schaden und Verstoß vorliegen.
„Für Betroffene kann es nun mitunter leichter werden, den Schadensersatzanspruch geltend zu machen“, ordnet DataGuard-Experte Dr. Frank Schemmel die neuen Urteile ein. Denn bisher haben deutsche Gerichte basierend auf bereits seit Jahrzehnten gefestigter Tradition bei der Beurteilung von Schmerzensgeld oft zusätzliche Anforderungen gestellt – das ist mit den neuen Urteilen des Europäischen Gerichtshofs nicht mehr möglich. Im Ergebnis also eine Erleichterung für Betroffene.
Mehr Verantwortung für Aufsichtsbehörden?
Ein weiterer wichtiger Punkt ändert sich ebenfalls aus der Sicht des Experten:
„Von nun an werden Betroffene sich nach einer Cyberattacke wohl öfters aus taktischen Gründen direkt an die Aufsichtsbehörden wenden. Diese werden dann überprüfen müssen, inwiefern das beschuldigte Unternehmen für ausreichende Cybersicherheitsmaßnahmen gesorgt hat.“ - Dr. Frank Schemmel
Damit werden auch die Aufsichts- und Datenschutzbehörden in eine andere Position gebracht – der Druck auf sie wird erhöht. „Als erste Vollzugsinstanz nach einer Cyberattacke haben Sie eine Prüfpflicht gegenüber Unternehmen. Sie sind das Durchsetzungsorgan der DSGVO und müssen zukünftig nach Bekanntwerden großer Cyberattacken wohl häufiger eine Datenschutzprüfung bei den betreffenden Unternehmen veranlassen“, erklärt Dr. Frank Schemmel.
Damit kommt auch den Aufsichtsbehörden in Deutschland eine aktivere Rolle zu als bisher.
Was ändert sich für Unternehmen?
Zunächst müssen Unternehmen nun mit einer höheren Zahl an Schadensersatzklagen rechnen – alleine schon, weil es sich manche spezialisierten Kanzleien aus diesem Anlass zur Aufgabe machen, Betroffene in ihrem Verfahren zu unterstützen und aktiv um diese werben. Davon ist Dr. Frank Schemmel überzeugt.
Unternehmen sind nun, um die Schadensersatzforderungen erfolgreich abzuwehren, in der Beweispflicht. Sie müssen nun eigenständig aufzeigen, dass sie ausreichend mit technischen und organisatorischen Maßnahmen für ihre Cybersicherheit gesorgt haben.
„Viele Unternehmen haben zwar schon eine – nicht selten ausgeklügelte - Cybersicherheitsstrategie auf dem Papier, doch es hakt an anderer Stelle.“ - Dr. Frank Schemmel
DataGuard hat mit über 3.500 Unternehmenskunden einen guten Marktüberblick und weiß, auf was es für Unternehmen ankommt, in der Praxis aber häufig nicht konsequent umgesetzt wird.

Sichern Sie Ihren Erfolg.
Abonnieren Sie praxisnahe Experten-Tipps!
Schließen Sie sich 3.000+ Führungskräften an, die mit unserem monatlichen Newsletter zu dem Thema Informationssicherheit auf dem Laufenden bleiben.
Empfehlungen für Unternehmen: Das sollten Sie jetzt umsetzen
- Führen Sie regelmäßig eine Risikoevaluation durch: Es reicht nun nicht mehr, vor einiger Zeit einmal eine Risikobewertung durchgeführt zu haben. Regelmäßig zu prüfen, welche Risiken bestehen und entsprechende Maßnahme abzuleiten, ist unabdingbar. „Das ist vor allem für KMUs relevant, da diese häufig die Notwendigkeit nicht sehen, kontinuierliches Risikomanagement zu betreiben“, erklärt Dr. Frank Schemmel.
- Dokumentieren Sie Ihre Sicherheitsmaßnahmen sauber: „Vor Gericht zählen nur Fakten und Beweise – um nachweisen zu können, dass entsprechende Maßnahmen getroffen wurden, ist es unabdingbar, diese auch zu dokumentieren“, rät unser Experte.
- Minimieren Sie Ihre Cybersicherheitsrisiken: Um Cyberangriffe überhaupt zu verhindern, ist dieser Schritt natürlich unumgänglich.Lesen Sie dazu auch dazu, wie Sie dank der ISO27001-Zertifizierung Ihre Cybersicherheit verbessern.
„Neben diesem holistischen Ansatz müssen Unternehmen nun auch Rückstellungen einplanen“, prognostiziert Dr. Frank Schemmel.
Denn die Welle an Schadensersatzklagen muss auch buchhalterisch abgebildet werden und dies schmälert am Ende den Gewinn.
„Und ob Recht oder Unrecht: Eine Schadensersatzklage ist für Unternehmen immer verbunden mit negativer Presse, höheren Rechtskosten und Inanspruchnahme von externer Rechtsberatung“, erklärt DataGuards Experte.
Die EuGH-Urteile verändern also die Spielregeln in puncto Haftung im Datenschutz sowie der Informationssicherheit – und zwar in ganz Europa. Unternehmen müssen sich auf eine höhere Anzahl von Schadensersatzklagen einstellen und sollten jetzt handeln, um ihre Cybersicherheitsmaßnahmen zu überprüfen, vor allem aber, dies regelmäßig zu tun und entsprechend zu dokumentieren.
Unsere Experten stehen Ihnen für eine vertiefende Beratung zur Verfügung. Vereinbaren Sie noch heute einen Beratungstermin und beschreiten Sie den Weg zu einer stärken Cybersicherheit mit uns.