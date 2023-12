Verliert ein Unternehmen oder eine Behörde Daten, kann Schadenersatz geltend gemacht werden, urteilte der Europäische Gerichtshof. Nein, es geht hier nicht um die GIS und wie sie durch ein Subunternehmen die Daten fast aller Österreicherinnen und Österreicher ins Netz gestellt hat.

Aber der Fall klingt ganz ähnlich: Die bulgarischen Steuerbehörden wurden im Juni 2019 zum Ziel eines Hackerangriffs. Dabei wurden die Finanz- und Steuerdaten von fünf Millionen Menschen abgegriffen – bei einem Land mit 6,9 Millionen Einwohnern. Zahlreiche Betroffene verklagten die Steuerbehörde NAP daraufhin auf Schadenersatz. Die bulgarischen Gerichte spielten den Ball schließlich zum EuGH weiter.

Behörde ist in der Beweispflicht

Der Europäische Gerichtshof hielt jetzt fest, dass schon immaterieller Schaden ausreicht, damit der Anspruch auf Schadenersatz besteht. Der Anspruch könne schon entstehen, wenn eine betroffene Person infolge eines Verstoßes gegen die Datenschutzgrundverordnung (DSGVO) befürchte, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, so das Urteil, über das netzpolitik.org berichtet.

Gerichte hätten nämlich zu prüfen, ob der jeweilige Halter der Daten geeignete Schutzmaßnahmen getroffen hat, und die Verantwortlichen für die Daten seien in der Beweispflicht. Schließlich müssen sie nachweisen, dass die Daten genügen geschützt waren. Wenn Hacker sich Zugang verschaffen und die Daten erbeuten, dann muss die Behörde nachweisen, dass sie nicht für den Schaden verantwortlich ist – oder sie wird ersatzpflichtig.

In dem Bericht wird darüber hinaus der österreichische Datenschützer Max Schrems zitiert. Für ihn sei das Urteil des EuGH nur naheliegend. Denn: Die Unklarheit und die Angst, wie die gestohlenen Daten missbraucht werden könnten, seien geradezu typisch. Materieller Schaden durch Datenklau sei im Gegensatz dazu oft nur sehr schwer nachzuweisen. Genau deshalb sei es wichtig, dass auch immaterieller Schaden ersatzpflichtig ist. Die Herangehensweise des Gerichts, dass Unternehmen und Behörden nachweisen müssen, dass sie dem Stand der Technik nach angemessene Schutzmaßnahmen getroffen haben, sei durchaus sinnvoll, wird Schrems zitiert.

Ähnlicher Fall in Österreich

Dieses Urteil könnte für die GIS in Österreich teure Folgen haben. Aktuell läuft ein Sammelverfahren gegen die ORF-Tochter. Dieser wurden vor drei Jahren die Daten fast aller Menschen in Österreich gestohlen. Die GIS hatte die Datensätze an ein Subunternehmen weitergegeben. Dieses sollte die Datenbank der GIS neu strukturieren. Bei einem Testlauf stellte jemand die Daten versehentlich online. Kurz darauf tauchten die Meldeaten in einem Hackerforum auf. Ein Niederländer postete, dass er über die Daten verfüge und dass darunter auch etwa Adressen von Journalistinnen, Ärzten, Polizistinnen, Regierungsbeamten, Richterinnen und Anwälten zu finden seien.

Aktuell führen die Rechtsanwälte Robert Haupt und Florian Scheiber ein Sammelverfahren gegen die GIS, dem sich bereits über 4000 Personen angeschlossen haben. (red, 20.12.2023)