Bulgarisches EuGH-Verfahren mit Hacking und Schadenersatz

EuGH wird sich mit Schadenersatz im Datenschutzrecht in Zusammenhang mit einem Hacking-Angriff beschäftigen

In einem Vorabentscheidungsverfahren mit Ursprung in Bulgarien (C 340/21) wird sich der EuGH u.a. auch mit Fragen des Schadenersatzrechts iSd Art 82 DSGVO in Zusammenhang mit einem Hackerangriff beschäftigen (müssen)

Der Sachverhalt:
Am 15. Juli 2019 informierten die bulgarischen Medien öffentlich darüber, dass ein unbefugter Zugang zum Informationssystem der NAP erfolgt sei und dass Informationen aus ihren Datenbanken, die personenbezogene Daten sowie Steuer- und Sozialversicherungsinformationen enthielten, im Internet veröffentlicht worden seien.

Betroffen waren 4 057 328 bulgarische Staatsbürger, während sich die Anzahl aller betroffenen natürlichen Personen, zu denen sowohl bulgarische als auch ausländische Staatsbürger zählten, auf 6 074 140 belief.

Hunderte Personen verklagten die NAP auf Schadenersatz wegen einer Datenschutzverletzung.   Im konkreten Verfahren verlangt der Kläger einen Betrag von 1.000 Leva (ca EUR 511).

Der Kläger („VB“) argumentierte im Verfahren, dass ihm durch die Pflichtverletzung der NAP ein immaterieller Schaden entstanden sei, sich er und auch die sonstigen betroffenen Personen Sorgen machten und Befürchtungen hätten, dass die personenbezogenen Daten missbräuchlich verwendet werden, zB Entzug von Vermögen, Mißbrauch der Bankverbindung, Abschluss von Krediten in deren Namen, Änderung des Personenstandes oder Identitätsdiebstahl.

Kann ein Hackerangriff einen „Entschuldigungsgrund“ iSd Art 82 Abs 3 DSGVO darstellen

Nach Art 82 Abs 3 DSGVO ist ein Verantwortlicher nicht zu Schadenersatz verpflichtet („wird von der Haftung befreit“), wenn er nachweist, dass er „in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist“.

Nun könnte zB ein Hackingangriff, der außerhalb der Kontrolle des Verantwortlichen liegt, einen derartigen Sachverhalt darstellen, in dem der Verantwortliche selbst für Umstände, die für den Schadenseintritt verantwortlich sind, nicht verantwortlich ist.

Die konkrete Vorlagefrage lautet:
4. Ist Art. 82 Abs. 3 […] dahin auszulegen, dass die unbefugte Offenlegung von oder der unbefugte Zugang zu personenbezogenen Daten […]wie vorliegend mittels eines „Hackerangriffs“ durch Personen, die keine Bediensteten der Verwaltung des Verantwortlichen sind und nicht seiner Kontrolle unterliegen, einen Umstand darstellt, für den der Verantwortliche in keinerlei Hinsicht verantwortlich ist und der zur Befreiung von der Haftung berechtigt?

Die Schwelle für einen Schadenseintritt      
Wie auch der österreichische OGH oder die Gerichte in Deutschland hatte sich das Gericht in Bulgarien mit der Frage zu beschäftigen, welche Art von „Beeinträchtigung“ auf Seiten der betroffenen Personen vorliegen muss, damit dies einen Schaden darstellt. Welche Grenze muss dazu überschritten sein?

Die Vorlagefrage dazu lautet:
5. Sind Art. 82 Abs. 1 und Abs. 2 in Verbindung mit den Erwägungsgründen 85 und 146 der Verordnung (EU) 2016/679 dahin auszulegen, dass in einem Fall wie dem vorliegenden Fall einer Verletzung des Schutzes personenbezogener Daten, die sich in dem unbefugten Zugang zu und der Verbreitung von personenbezogenen Daten mittels eines „Hackerangriffs“ äußert, allein die von der betroffenen Person erlittenen Sorgen, Befürchtungen und Ängste vor einem möglichen künftigen Missbrauch personenbezogener Daten unter den weit auszulegenden Begriff des immateriellen Schadens fallen und zum Schadensersatz berechtigen, wenn ein solcher Missbrauch nicht festgestellt wurde und/oder kein weiterer Schaden der betroffenen Person entstanden ist?

Dieses Verfahren wird in zweierlei Hinsicht richtungsweisend sein und wir werden Sie auf dem Laufenden halten.