Irgendwo in Europa: Cyberkriminelle verschaffen sich Zugang zum IT-System eines Unternehmens und kapern eine Großzahl sensibler Informationen, darunter sämtliche Daten aus der Kundendatenbank. Mittlerweile ein tägliches Szenario.
Der EuGH hatte jüngst darüber zu entscheiden, ob bereits der Umstand, dass sich Cyberkriminelle Zugang zu einem IT-System verschafft haben, dazu führt, dass die von dem für die Datenverarbeitung Verantwortlichen getroffenen Schutzmaßnahmen nicht geeignet waren. Ebenfalls stand die Frage im Raum, inwieweit die nationalen Gerichte die Geeignetheit von Sicherheitsmaßnahmen überhaupt prüfen können und wer im Rahmen anschließender Schadensersatzforderungen die Beweislast dafür trägt, dass die Sicherheitsmaßnahmen geeignet waren.(EuGH, Urt. v. 14.12.2023 – C-340/21)
Die wesentlichen Erwägungen des Gerichts fassen wir hier zusammen und ordnen diese ein.
Die DS-GVO verpflichtet Datenverarbeiter in den Artikeln 24 und 32 dazu, geeignete Maßnahmen technischer und organisatorischer Natur (technische und organisatorische Maßnahmen, auch „TOM“) umzusetzen, um sicherzustellen, dass die Daten vor unberechtigten Zugriffen Dritter, wie z. B. durch Cyberkriminelle, geschützt sind. Die Umsetzung solcher Maßnahmen muss der Verantwortliche nachweisen können.
Zur Bestimmung der Geeignetheit einer Sicherheitsmaßnahme stellt die DS-GVO abstrakte Anforderungen auf: Die zu treffenden Maßnahmen müssen unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen identifiziert werden. Bei der Festlegung technischer Maßnahmen ist zudem der Stand der Technik zu berücksichtigen. Als korrektiv darf der Verantwortliche die Implementierungskosten einer Maßnahme für die Bewertung der Geeignetheit ebenso miteinfließen lassen. Er muss keine unverhältnismäßig hohen Kosten in Kauf nehmen, wenn das konkrete Risiko nur gering ist. Entscheidend ist, dass die Maßnahmen zu einem angemessenen Schutz(niveau) personenbezogener Daten führen. Bei der Bewertung der Geeignetheit einer Maßnahme gesteht die DS-GVO dem Datenverarbeiter einen Ermessenspielraum zu.
Der oben skizzierte Cyberangriff fand auf die Systeme einer dem bulgarischen Finanzministerium unterstellten Behörde, der NAP, statt. Anschließend verlangte eine Person, deren Daten aus dem System der NAP erbeutet wurden, Schadensersatz von der bulgarischen Behörde. Das bulgarische Gericht, das über diesen Schadensersatzanspruch zu entscheiden hatte, rief den EuGH an, um folgende Auslegungsfragen klären zu lassen:
Der EuGH hat in diesen Fragen wie folgt entschieden:
Ein erfolgreicher Cyberangriff widerlegt nicht die Geeignetheit der Sicherheitsmaßnahmen.
Der EuGH stellt klar, dass die DS-GVO für die Annahme der Geeignetheit einer Sicherheitsmaßnahme – in Anerkennung der Lebenswirklichkeit – nicht verlangt, dass der Eintritt einer Sicherheitsverletzung vollständig ausgeschlossen ist. Die Umsetzung einer solchen Pflicht wäre wohl auch unmöglich.
Sicherheitsmaßnahmen sind auf Grundlage abstrakter, potenziell eintretender Risiken und unter Anwendung konkreter gesetzlicher Kriterien zu identifizieren (s. o.). Der Datenverarbeiter muss also mit Blick in die Zukunft (ex-ante) bestimmen, welche Risiken wahrscheinlich eintreten könnten und muss danach abgestimmt geeignete Sicherheitsmaßnahmen treffen, um die Realisierung dieser Risiken abwehren zu können, wobei diese Bewertung in regelmäßigen Abständen aktualisiert werden muss. Der EuGH stellt diesbezüglich klar, dass die DS-GVO von einem Datenverarbeiter die Einführung eines Risikomanagementsystems verlangt. Erfüllt der Datenverarbeiter diese Aufgabe, entspricht er damit seiner gesetzlichen Pflicht, geeignete Sicherheitsmaßnahmen zu treffen.
Nach Ansicht des EuGH können Sicherheitsmaßnahmen auch nach einem erfolgreichen Cyberangriff samt Datenabfluss geeignet gewesen sein, wenn der Datenverarbeiter nachweisen kann, dass er vor dem Angriff Sicherheitsmaßnahmen getroffen hatte, die zu diesem Zeitpunkt (ex-ante) nach den gesetzlichen Maßstäben geeignet waren, die Datensicherheit zu gewährleisten und etwa einen möglichen Cyberangriff abzuwehren.
Nationale Gerichte müssen die Geeignetheit von Sicherheitsmaßnahmen künftig umfassend unter Berücksichtigung des Ermessensspielraums des Verantwortlichen prüfen.
Der EuGH stellt klar, dass ein Gericht, welches darüber zu entscheiden hat, ob der Verantwortliche seine Pflichten zur Datensicherheit nach der DS-GVO (insb. zur Implementierung geeigneter Sicherheitsmaßnahmen) erfüllt hat, die Geeignetheit der getroffenen Maßnahmen unter Berücksichtigung des Risikos selbst prüfen muss, um die Bewertung des Verantwortlichen zu beurteilen. Diese Prüfung erfordert eine konkrete Untersuchung sowohl der Art als auch des Inhalts der vom Verantwortlichen getroffenen Maßnahmen, der Art und Weise, in der diese Maßnahmen angewandt wurden, und ihrer praktischen Auswirkungen auf das Sicherheitsniveau, das der Verantwortliche in Anbetracht der mit dieser Verarbeitung verbundenen Risiken zu gewährleisten hatte.
Dabei hat das Gericht allerdings auch den gesetzlich eingeräumten Entscheidungsspielraum des Verantwortlichen zu berücksichtigen.
Wird ein Verantwortlicher nach einem Datenschutzvorfall in Anspruch genommen, muss er sich durch Nachweis geeigneter Sicherheitsmaßnahmen entlasten.
Für den Nachweis der geeigneten Datensicherheit sieht der EuGH die Beweislast beim Verantwortlichen.
Wendet sich eine Person, deren Daten im Zusammenhang mit einem Cyberangriff von den Cyberkriminellen erbeutet wurden, mit einer Schadensersatzforderung an den Verantwortlichen, trägt der Verantwortliche die Beweislast dafür, dass er geeignete Sicherheitsmaßnahmen implementiert – der Cyberangriff also trotz dieser Maßnahmen erfolgreich war.
Es ist davon auszugehen, dass das Urteil des EuGH zu einer höheren Sensibilität für die zu treffenden Sicherheitsmaßnahmen führen wird.
Dass ein erfolgreicher Cyberangriff nicht automatisch dazu führt, dass die zuvor getroffenen Sicherheitsmaßnahmen als ungeeignet bewertet werden, ist ein gutes Zeichen. Es schafft für den Datenverarbeiter die Möglichkeit, sich zu exkulpieren. Trifft der Verantwortliche ausreichende Schutzmaßnahmen, erfüllt er damit seine gesetzliche Pflicht, und zwar selbst dann, wenn diese Maßnahmen den Angriff im konkreten Einzelfall abwehren konnten.
Datenverarbeiter sollten ein Risikomanagementsystem für technisch-organisatorische Datensicherheit einführen. Die einmalige Implementierung von Sicherheitsmaßnahmen genügt nicht. Vielmehr ist eine regelmäßige Überprüfung der erforderlichen Sicherheitsmaßnahmen dringend zu empfehlen. Verantwortliche müssen, etwa im Falle von Schadensersatzforderungen wegen eines Datenschutzvorfalls oder eines Cyberangriffs, fortan damit rechnen, dass Gerichte die Geeignetheit der Maßnahmen ausführlich und anhand der gesetzlichen Maßstäbe überprüfen werden. Im Falle möglicher Schadensersatzprozesse hilft ein gutes Risikomanagement dabei, den Beweis für den Schutz durch geeignete Sicherheitsmaßnahmen zu führen.
Unaufgeforderte E-Mails und andere Informationen, die Dentons erhält, werden nicht vertraulich behandelt, können an Dritte weitergegeben werden, erhalten möglicherweise keine Antwort und schaffen keine Anwalt-Mandanten-Beziehung. Wenn Sie noch kein Mandant von Dentons sind, schicken Sie uns bitte keine vertraulichen Informationen.
Die Seite, die Sie besuchen wollten, ist in der von Ihnen ausgewählten Sprache nicht verfügbar. Sie wurden auf einen entsprechenden Bereich unserer Webseite weitergeleitet.
Sie werden jetzt von der Dentons Website zur englischen $redirectingsite Website weitergeleitet. Wenn Sie fortfahren möchten, klicken Sie bitte auf Annehmen.
Sie werden jetzt von der Dentons Website zur Beijing Dacheng Law Offices, LLP Website weitergeleitet. Wenn Sie fortfahren möchten, klicken Sie bitte auf Annehmen.