EuGH Urteil: Hackerangriffe führen nicht mehr automatisch zu Bußgeldern

Ein richtungsweisendes Urteil des Europäischen Gerichtshofs (EuGH) vom 14. Dezember 2023, könnte die Art und Weise, wie Unternehmen in der EU mit Datenschutzverletzungen umgehen, grundlegend verändern. In der Entscheidung (C-340/21) hat der EuGH klargestellt, dass das bloße Vorliegen einer unbefugten Offenlegung personenbezogener Daten nicht automatisch bedeutet, dass die vom Unternehmen getroffenen Sicherheitsmaßnahmen unzureichend waren. Vielmehr muss konkret bewertet werden, ob die Schutzmaßnahmen angesichts der spezifischen Risiken angemessen waren.

Lange Zeit war es vor Gericht die Regel, dass allein ein erfolgter erfolgreicher Hackerangriff Rechtfertigung genug ist, dass dem betroffenen Unternehmen ein Bußgeld nach DSGVO droht, da keine ausreichenden technischen und organisatorischen Maßnahmen getroffen worden sind, um eben diesen zu verhindern. Artikel 24 und 32 der DSGVO lösen also nicht automatisch Bußgelder aus, wenn der Verantwortliche vor Gericht beweisen kann, dass seine Schutzmaßnahmen angemessen waren. Die Beweislast bei Schadenersatzforderungen nach Artikel 82 DSGVO liegt hier ebenfalls beim Verantwortlichen, d.h. wenn die Kausalität der Verletzung des Datenschutzes so ist, dass der Hacker (Dritter) für diese verantwortlich und dem Betroffenen dadurch ein Schaden entstand, muss der Verantwortliche Unternehmer nur beweisen, dass er mit dem Angriff nichts zu tun hatte und nicht schuldhaft gehandelt hat.

Nun ist es so, dass bei erfolgter Risikoabschätzung, dokumentierten Schutzmaßnahmen und auch tatsächlich erfolgter Cyberabwehr von den Gerichten im Einzelfall geprüft werden muss, ob die gewählten Schutzmaßnahmen dem Stand der Technik entsprechen und wenn das der Fall ist gelingt der Entlastungsnachweis.

Wichtig hierfür ist nicht nur die Dokumentation einer IT Sicherheits- und Datenschutz Strategie, sondern auch eine ständige Überwachung und Aktualisierung dieser.

Related Posts

Projekt Ghostbusters: Wie Facebook Snapchat ausspionierte

Ein kürzlich erschienener Report von Techcrunch berichtet über einen Gerichtsfall, indem Facebook vorgeworfen wird per VPN App den Datenverkehr der Konkurrenzapp Snapchat ausspioniert zu haben. Die Operation Ghostbusters dauerte von 2016 bis 2019. Es ging nicht nur darum, Konkurrenten zu übertrumpfen; es ging darum, sie zu infiltrieren. Facebook-Ingenieure nutzten einen Dienst namens Onavo, welcher sich als VPN tarnte, um in die sicheren Kommunikationen von Konkurrenzunternehmen wie Snapchat, YouTube und Amazon einzudringen und so wichtige Informationen zur Verbesserung Ihrer Instagram App sammeln zu können.

Read More

Arztpraxis IT-Sicherheitsrichtlinie gemäß § 75b SGB V

Die IT-Sicherheitsrichtlinie gemäß § 75b SGB V bezieht sich auf die deutschen gesetzlichen Anforderungen an die Informationstechnologie-Sicherheit im Gesundheitswesen. Das SGB V steht für das Fünfte Buch Sozialgesetzbuch, welches die gesetzliche Krankenversicherung in Deutschland regelt. § 75b wurde eingeführt, um die Sicherheit von Informationstechnologiesystemen im Gesundheitswesen zu gewährleisten. Einige Kernpunkte der IT-Sicherheitsrichtlinie sind:

Read More

Europol Sicherheitsvorfall: Akten sind verschwunden

Am 27. März 2024 berichtete das Magazin POLITICO über einen ernsthaften Sicherheitsvorfall, bei dem sensible persönliche Akten von führenden Strafverfolgungsbeamten, darunter die Exekutivdirektorin von Europol, Catherine De Bolle, und drei ihrer Stellvertreter, verschwunden sind. Das Europol Direktorat wurde bereits am 6. Oktober 2023 über den Vorfall informiert.

Read More