Nach einem Hackerangriff wird immaterieller Schadenersatz verlangt. Der Schaden liege in der Befürchtung eines möglichen künftigen Datenmissbrauchs.

Die damit einhergehenden wichtigsten Fragen an den EuGH: Nach welchen Kriterien kann der Verantwortliche haftbar gemacht werden und wie ist die Beweislast verteilt?

Der Generalanwalt schlägt dem Gerichtshof folgende Antworten vor:

✅ Der Verantwortliche verfügt über ein gewisses Ermessen bei der Auswahl der technischen und organisatorischen Maßnahmen.
✅ Es war keine Absicht des Unionsgesetzgebers, dem Verantwortlichen die Verpflichtung aufzuerlegen, jede Verletzung personenbezogener Daten zu verhindern.
✅ Ob ergriffene technische und organisatorische Maßnahmen geeignet sind, muss konkret beurteilt werden.
✅ Die betroffene Person hat nachweisen, dass ein Verstoß gegen die Verordnung vorliegt, dass ihr ein Schaden entstanden ist, und, dass ein kausaler Zusammenhang zwischen den beiden vorgenannten Umständen besteht.
✅ Der Verantwortliche muss nachweisen, dass er seinen Verpflichtungen aus den Art 24 und 32 DSGVO nachgekommen ist.

Und ganz wichtig: Eine „Verletzung des Schutzes personenbezogener Daten“ kann nicht damit gleichgesetzt werden, dass die vom Verantwortlichen getroffenen technischen und organisatorischen Maßnahmen nicht „geeignet“ waren, um den Schutz der betreffenden Daten zu gewährleisten.