Ein richtungsweisendes Urteil des Europäischen Gerichtshofs (EuGH) vom 14. Dezember 2023, könnte die Art und Weise, wie Unternehmen in der EU mit Datenschutzverletzungen umgehen, grundlegend verändern. In der Entscheidung (C-340/21) hat der EuGH klargestellt, dass das bloße Vorliegen einer unbefugten Offenlegung personenbezogener Daten nicht automatisch bedeutet, dass die vom Unternehmen getroffenen Sicherheitsmaßnahmen unzureichend waren. Vielmehr muss konkret bewertet werden, ob die Schutzmaßnahmen angesichts der spezifischen Risiken angemessen waren.
Lange Zeit war es vor Gericht die Regel, dass allein ein erfolgter erfolgreicher Hackerangriff Rechtfertigung genug ist, dass dem betroffenen Unternehmen ein Bußgeld nach DSGVO droht, da keine ausreichenden technischen und organisatorischen Maßnahmen getroffen worden sind, um eben diesen zu verhindern. Artikel 24 und 32 der DSGVO lösen also nicht automatisch Bußgelder aus, wenn der Verantwortliche vor Gericht beweisen kann, dass seine Schutzmaßnahmen angemessen waren. Die Beweislast bei Schadenersatzforderungen nach Artikel 82 DSGVO liegt hier ebenfalls beim Verantwortlichen, d.h. wenn die Kausalität der Verletzung des Datenschutzes so ist, dass der Hacker (Dritter) für diese verantwortlich und dem Betroffenen dadurch ein Schaden entstand, muss der Verantwortliche Unternehmer nur beweisen, dass er mit dem Angriff nichts zu tun hatte und nicht schuldhaft gehandelt hat.
Nun ist es so, dass bei erfolgter Risikoabschätzung, dokumentierten Schutzmaßnahmen und auch tatsächlich erfolgter Cyberabwehr von den Gerichten im Einzelfall geprüft werden muss, ob die gewählten Schutzmaßnahmen dem Stand der Technik entsprechen und wenn das der Fall ist gelingt der Entlastungsnachweis.
Wichtig hierfür ist nicht nur die Dokumentation einer IT Sicherheits- und Datenschutz Strategie, sondern auch eine ständige Überwachung und Aktualisierung dieser.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Datenschutzberatung, Auditing und internationalen Datentransfer (TIA). Machen Sie kurzfristig einen Termin aus: