URI: 
       # taz.de -- EuGH zu Schadenersatz bei Datenleaks: Geld für Angst
       
       > Bereits bei einem möglichen Missbrauch persönlicher Daten können
       > Betroffene Schadenersatz einklagen. Das hat der Europäische Gerichtshofs
       > entschieden.
       
   IMG Bild: Der europäische Gerichtshof
       
       LEIPZIG taz | Wenn private Daten nach einen Hackerangriff auf Behörden oder
       Unternehmen offengelegt werden, haben die Betroffenen grundsätzlich
       Anspruch auf Schadenersatz. Dies entschied jetzt der Europäische
       Gerichtshof (EuGH).
       
       Konkret ging es um einen Fall aus Bulgarien. Unbekannte Hacker hatten die
       Computer der Nationalen Einnahmebehörde, wohl einer Art Steuerbehörde,
       infiltriert und anschließend sensible Daten von 6 Millionen Menschen im
       Netz veröffentlicht. Hunderte Betroffene verlangten Schadenersatz, doch die
       Behörde lehnte ab, sie habe die Daten ausreichend geschützt.
       
       Das Verwaltungsgericht Sofia nahm den Fall zum Anlass und legte dem EuGH
       grundsätzliche Fragen zur Haftung bei Hackerangriffen vor. Wichtigstes
       Ergebnis: Wer nach einer Hackerattacke befürchten muss, dass seine Daten
       missbraucht werden können, hat grundsätzlich Anspruch auf Schadenersatz.
       
       Der EuGH setzte sich damit über das Votum des unabhängigen Generalanwalts
       Giovanni Pitruzella hinweg, der „Sorgen, Befürchtungen und Ängste vor einem
       möglichen Missbrauch“ nicht ausreichen lassen wollte. Dagegen entschied der
       EuGH nun, es sei nicht erforderlich, dass der psychische Schaden „einen
       bestimmten Grad an Erheblichkeit erreicht hat“.
       
       ## Beweislast trägt die Behörde
       
       Allerdings müssen Hacking-Betroffene zumindest nachweisen, dass sie solche
       Befürchtungen haben. Und sie müssen nachweisen, dass der Inhaber der Daten,
       hier die bulgarische Behörde, die Daten nicht ausreichend gegen Hacker
       geschützt hat. Die Beweislast, dass ein angemessener Schutz realisiert
       wurde, trägt laut EuGH aber die Behörde. Ob und wie viel Schadenersatz
       verlangt werden kann, entscheiden dann jeweils die nationalen Gerichte
       nach den Umständen des Einzelfalls.
       
       Der EuGH setzte diesmal andere Akzente als im Mai bei einem Fall aus
       Österreich. Damals hatte der EU-Gerichtshof betont, dass eine bloße
       Verletzung der EU-Datenschutzgrundverordnung (DSGV) noch keinen Anspruch
       auf Schadenersatz verschafft. Es müsse zumindest ein realer Schaden
       eingetreten sein. Im Ergebnis entspricht dem auch das aktuelle Urteil. Die
       Tonlage ist aber eine deutlich andere.
       
       14 Dec 2023
       
       ## AUTOREN
       
   DIR Christian Rath
       
       ## TAGS
       
   DIR Datenschutz
   DIR EuGH
   DIR Datenschutzgrundverordnung
   DIR Bulgarien
   DIR Schwerpunkt Krieg in der Ukraine
   DIR Hacker
   DIR Cybersicherheit
   DIR Digitalisierung
   DIR Bahncard
   DIR Datenschutz
   DIR Datenschutz
       
       ## ARTIKEL ZUM THEMA
       
   DIR Schadsoftware „Kapeka“: Hintertür für Russland
       
       Finnische Sicherheitsforscher*innen haben eine gefährliche Hintertür
       für Windows-Systeme gefunden. Die Schadsoftware tarnt sich als Add-In.
       
   DIR Lockbit zerschlagen: „Schädlichste Hackergruppe der Welt“
       
       Ob Privatpersonen oder Firmen – Lockbit hat Tausende mit Daten erpresst und
       zu Opfern gemacht. Jetzt haben Ermittler*innen die Gruppe wohl
       zerschlagen.
       
   DIR IT-Berater über Sicherheit im Netz: „Ein fundamentales Unverständnis“
       
       Künstliche Intelligenz bringt Hackern neue Möglichkeiten für
       Cyber-Angriffe. IT-Berater Linus Neumann erklärt, warum sich Menschen
       online schlecht schützen.
       
   DIR Rechtsexpertin über Verbraucherrechte: „Ein Akteur haftet immer“
       
       Masterarbeit futsch, smartes Türschloss zu: Wenn Software Schäden
       verursacht, haben Verbraucher:innen schlechte Karten. Noch. Wird es
       besser?
       
   DIR App-Pflicht bei der Bahncard: Digitale Spaltung, hausgemacht
       
       Die Plastik-Bahncard gehört bald der Vergangenheit an. Probleme sind damit
       vorprogrammiert und Kund:innen ohne digitale Affinität bleiben außen vor.
       
   DIR Umstrittenes EU-Überwachungsgesetz: Anlasslose Chatkontrolle abgesagt
       
       Bürgerrechtler:innen jubeln: Das EU-Parlament will das
       Überwachungsgesetz entschärfen. Doch auch am jüngsten Entwurf gibt es
       Kritik.
       
   DIR Instagram und Facebook werbefrei nutzen: Win-win-Situation für Meta
       
       Beim Facebook-Konzern zahlt man nun zweistellig, um keine Werbung zu sehen,
       Daten werden trotzdem gesammelt. Damit will Meta EU-Regeln umgehen.