# taz.de -- EuGH zu Schadenersatz bei Datenleaks: Geld für Angst
> Bereits bei einem möglichen Missbrauch persönlicher Daten können
> Betroffene Schadenersatz einklagen. Das hat der Europäische Gerichtshofs
> entschieden.
(IMG) Bild: Der europäische Gerichtshof
LEIPZIG taz | Wenn private Daten nach einen Hackerangriff auf Behörden oder
Unternehmen offengelegt werden, haben die Betroffenen grundsätzlich
Anspruch auf Schadenersatz. Dies entschied jetzt der Europäische
Gerichtshof (EuGH).
Konkret ging es um einen Fall aus Bulgarien. Unbekannte Hacker hatten die
Computer der Nationalen Einnahmebehörde, wohl einer Art Steuerbehörde,
infiltriert und anschließend sensible Daten von 6 Millionen Menschen im
Netz veröffentlicht. Hunderte Betroffene verlangten Schadenersatz, doch die
Behörde lehnte ab, sie habe die Daten ausreichend geschützt.
Das Verwaltungsgericht Sofia nahm den Fall zum Anlass und legte dem EuGH
grundsätzliche Fragen zur Haftung bei Hackerangriffen vor. Wichtigstes
Ergebnis: Wer nach einer Hackerattacke befürchten muss, dass seine Daten
missbraucht werden können, hat grundsätzlich Anspruch auf Schadenersatz.
Der EuGH setzte sich damit über das Votum des unabhängigen Generalanwalts
Giovanni Pitruzella hinweg, der „Sorgen, Befürchtungen und Ängste vor einem
möglichen Missbrauch“ nicht ausreichen lassen wollte. Dagegen entschied der
EuGH nun, es sei nicht erforderlich, dass der psychische Schaden „einen
bestimmten Grad an Erheblichkeit erreicht hat“.
## Beweislast trägt die Behörde
Allerdings müssen Hacking-Betroffene zumindest nachweisen, dass sie solche
Befürchtungen haben. Und sie müssen nachweisen, dass der Inhaber der Daten,
hier die bulgarische Behörde, die Daten nicht ausreichend gegen Hacker
geschützt hat. Die Beweislast, dass ein angemessener Schutz realisiert
wurde, trägt laut EuGH aber die Behörde. Ob und wie viel Schadenersatz
verlangt werden kann, entscheiden dann jeweils die nationalen Gerichte
nach den Umständen des Einzelfalls.
Der EuGH setzte diesmal andere Akzente als im Mai bei einem Fall aus
Österreich. Damals hatte der EU-Gerichtshof betont, dass eine bloße
Verletzung der EU-Datenschutzgrundverordnung (DSGV) noch keinen Anspruch
auf Schadenersatz verschafft. Es müsse zumindest ein realer Schaden
eingetreten sein. Im Ergebnis entspricht dem auch das aktuelle Urteil. Die
Tonlage ist aber eine deutlich andere.
14 Dec 2023
## AUTOREN
(DIR) Christian Rath
## TAGS
(DIR) Datenschutz
(DIR) EuGH
(DIR) Datenschutzgrundverordnung
(DIR) Bulgarien
(DIR) Schwerpunkt Krieg in der Ukraine
(DIR) Hacker
(DIR) Cybersicherheit
(DIR) Digitalisierung
(DIR) Bahncard
(DIR) Datenschutz
(DIR) Datenschutz
## ARTIKEL ZUM THEMA
(DIR) Schadsoftware „Kapeka“: Hintertür für Russland
Finnische Sicherheitsforscher*innen haben eine gefährliche Hintertür
für Windows-Systeme gefunden. Die Schadsoftware tarnt sich als Add-In.
(DIR) Lockbit zerschlagen: „Schädlichste Hackergruppe der Welt“
Ob Privatpersonen oder Firmen – Lockbit hat Tausende mit Daten erpresst und
zu Opfern gemacht. Jetzt haben Ermittler*innen die Gruppe wohl
zerschlagen.
(DIR) IT-Berater über Sicherheit im Netz: „Ein fundamentales Unverständnis“
Künstliche Intelligenz bringt Hackern neue Möglichkeiten für
Cyber-Angriffe. IT-Berater Linus Neumann erklärt, warum sich Menschen
online schlecht schützen.
(DIR) Rechtsexpertin über Verbraucherrechte: „Ein Akteur haftet immer“
Masterarbeit futsch, smartes Türschloss zu: Wenn Software Schäden
verursacht, haben Verbraucher:innen schlechte Karten. Noch. Wird es
besser?
(DIR) App-Pflicht bei der Bahncard: Digitale Spaltung, hausgemacht
Die Plastik-Bahncard gehört bald der Vergangenheit an. Probleme sind damit
vorprogrammiert und Kund:innen ohne digitale Affinität bleiben außen vor.
(DIR) Umstrittenes EU-Überwachungsgesetz: Anlasslose Chatkontrolle abgesagt
Bürgerrechtler:innen jubeln: Das EU-Parlament will das
Überwachungsgesetz entschärfen. Doch auch am jüngsten Entwurf gibt es
Kritik.
(DIR) Instagram und Facebook werbefrei nutzen: Win-win-Situation für Meta
Beim Facebook-Konzern zahlt man nun zweistellig, um keine Werbung zu sehen,
Daten werden trotzdem gesammelt. Damit will Meta EU-Regeln umgehen.