In einem wegweisenden Urteil des Europäischen Gerichtshofs (EuGH) in der Rechtssache C-340/21 stärkt das Gericht die Rechte von Personen, deren personenbezogene Daten infolge von Cyberkriminalität betroffen sind. Das Urteil bezieht sich auf den Fall der bulgarischen Nationalen Agentur für Einnahmen (NAP), deren IT-System 2019 gehackt wurde, und die daraufhin veröffentlichten Daten von Millionen Menschen.
Das EuGH-Urteil hebt hervor:
- Der unbefugte Zugang oder die Offenlegung von personenbezogenen Daten allein reicht nicht aus, um die Ungeeignetheit von Schutzmaßnahmen zu zeigen. Die Gerichte müssen die Wirksamkeit dieser Maßnahmen konkret prüfen.
- Der für die Datenverarbeitung Verantwortliche trägt die Beweislast für die Effektivität der ergriffenen Schutzmaßnahmen.
- Im Falle unbefugter Offenlegung durch Dritte kann der Verantwortliche für den entstandenen Schaden haftbar sein, es sei denn, er kann nachweisen, dass er nicht dafür verantwortlich ist.
- Das Gericht anerkennt, dass allein die Befürchtung einer missbräuchlichen Verwendung der personenbezogenen Daten einen immateriellen Schaden darstellen kann.
Das Urteil hat weitreichende Konsequenzen für den Datenschutz und legt fest, dass auch immaterielle Schäden, die durch Datenschutzverletzungen entstehen, einen Anspruch auf Schadensersatz begründen können.