EuGH: Schadensersatz bei Datenlecks

Verbraucher, die vermuten, dass bei Hackerangriffen und Datenlecks abhandengekommene Daten missbraucht werden, können Schadensersatz geltend machen. Das hat der Europäische Gerichtshof (EuGH) nun entschieden.

Für Verbraucher ist das Urteil (Rs. C-340/21) eine Stärkung, für E-Commerce-Anbieter eher eine Katastrophe: Denn bereits die Befürchtung eines Datenmissbrauchs kann ausreichen. Werden persönliche Daten infolge eines Hackerangriffs missbraucht, stehen die Chancen, dafür immateriellen DSGVO-Schadensersatz zu erhalten, also besser denn je.

Die Kehrseite: Unternehmen, deren Systeme gehackt wurden, können sich praktisch kaum noch von einem Schuldvorwurf entlasten.

Auch die weiteren Vorlagefragen hat der EuGH besonders verbraucherfreundlich entschieden: Im Fall eines Hackerangriffs tragen die vom Angriff betroffenen Unternehmen - oder auch Behörden - die Beweislast dafür, dass ihre Schutzmaßnahmen geeignet waren. Und nicht nur das: Sie müssen nachweisen, dass sie „in keinerlei Hinsicht für den Schaden verantwortlich" sind.

1.000 Euro Schadensersatz pro Geschädigten

Der Kölner Rechtsanwalt Christian Solmecke verdeutlicht, was das beispielsweise für Onlinehändler bedeutet: „Unternehmen, die Kundendaten nicht ausreichend gegen Hackerangriffe gesichert haben, werden es infolge des EuGH-Urteils sehr schwer haben, sich zu entlasten. Schon jetzt zeigt unsere Praxiserfahrung, dass diese Beweisführung Unternehmen kaum gelingt. Dass sie ‚in keinerlei Hinsicht‘ verantwortlich sind, ist praktisch fast unmöglich, nachzuweisen."

Die Auswirkungen des EuGH-Urteils können somit für betroffene Unternehmen extrem schmerzhaft werden, wie Solmecke verdeutlicht: „Wir vertreten zehntausende Betroffene im Fall des Facebook- und Deezer-Datenlecks. Ihre Chancen auf bis zu 1.000 Euro Schadensersatz wurden mit diesem EuGH-Urteil enorm gestärkt."