Nachrichten Datenschutz Cyber Sicherheit

4 Min

Neue EuGH-Urteile zum Datenschutz: Was Unternehmen wissen müssen

DataGuard Datenschutz-Experten
DataGuard Datenschutz-Experten

Im Überblick 

  • Am 14.12.2023 hat der Europäische Gerichtshof zwei wegweisende Entscheidungen getroffen, die maßgeblich Einfluss auf Datenschutz- und Cyberiskmanagement nehmen.  
  • Erstens können Personen, deren Daten bei einem Cyberangriff auf ein Unternehmen in Hände Dritter gelangten, Anspruch auf Schadensersatz haben, sofern sie einen immateriellen Schaden nachweisen können. 
  • Zweitens senkte der EuGH die Hürde für immaterielle Schadensersatzklagen und verneint Bagatellgrenzen oder zusätzliche Hürden.  
  • Um Schadensersatzanforderungen erfolgreich abzuwehren, müssen Unternehmen nun eigenständig nachweisen, dass sie angemessene Cybersicherheitsmaßnahmen ergriffen haben. 

Inhaltsverzeichnis:


Dr. Frank Schemmel, DataGuards Senior Director, erklärt im Gespräch, was für Betroffene, Organisationen und Aufsichtsbehörden in Deutschland mit den Urteilen verbunden ist und erteilt Unternehmen Ratschläge hinsichtlich der Beweispflicht ihrer Cybersicherheitsmaßnahmen.

Was bedeuten die Urteile für Betroffene?

Allgemein gesprochen werden durch die Urteile des EuGH die Datenschutzrechte von Bürgern gestärkt. Mit einem neuen Schwung an Schadensersatzklagen rechnet Dr. Frank Schemmel zwar, weist aber auf die immer noch hohen Hürden hin:

„Denn betroffene Personen, deren Daten bei einer Cyberattacke gestohlen wurden und nun in Sorge sind, dass diese beispielsweise im Darknet landen, müssen konkret vor Gericht nachweisen, von diesem Ereignis einen immateriellen Schaden davongetragen zu haben." - Dr. Frank Schemmel

Immaterielle Schäden sind in Artikel 82 Absatz 1 DSGVO geregelt und können sich beispielsweise in Form von Depressionen, Magengeschwüre oder Schlafstörungen bemerkbar machen.

Das höchste europäische Gericht hat nun klargestellt: Der entstandene immaterielle Schaden muss konkret nachgewiesen werden – beispielsweise durch die Diagnose eines Arztes – und zudem klar auf das Ereignis zurückführbar sein.

Darüber hinaus dürfen nationale Gerichte nun keine weiteren Voraussetzungen für den immateriellen Schaden für Datenschutzverletzungen aufstellen, etwa, dass der Schaden sichtbar oder objektiv sein muss. Denn der EuGH hat bereits im Mai 2023 verbindliche und abschließende Voraussetzungen aufgestellt.

Folgende drei bestehenden Voraussetzungen müssen üblicherweise erfüllt sein:

  1. Es muss ein Schaden vorliegen.
  2. Es muss sich um einen Verstoß gegen die DSGVO handeln.
  3. Es muss ein Kausalzusammenhang zwischen Schaden und Verstoß vorliegen.

„Für Betroffene kann es nun mitunter leichter werden, den Schadensersatzanspruch geltend zu machen“, ordnet DataGuard-Experte Dr. Frank Schemmel die neuen Urteile ein. Denn bisher haben deutsche Gerichte basierend auf bereits seit Jahrzehnten gefestigter Tradition bei der Beurteilung von Schmerzensgeld oft zusätzliche Anforderungen gestellt – das ist mit den neuen Urteilen des Europäischen Gerichtshofs nicht mehr möglich. Im Ergebnis also eine Erleichterung für Betroffene.

Mehr Verantwortung für Aufsichtsbehörden?

Ein weiterer wichtiger Punkt ändert sich ebenfalls aus der Sicht des Experten:

„Von nun an werden Betroffene sich nach einer Cyberattacke wohl öfters aus taktischen Gründen direkt an die Aufsichtsbehörden wenden. Diese werden dann überprüfen müssen, inwiefern das beschuldigte Unternehmen für ausreichende Cybersicherheitsmaßnahmen gesorgt hat.“ - Dr. Frank Schemmel

Damit werden auch die Aufsichts- und Datenschutzbehörden in eine andere Position gebracht – der Druck auf sie wird erhöht. „Als erste Vollzugsinstanz nach einer Cyberattacke haben Sie eine Prüfpflicht gegenüber Unternehmen. Sie sind das Durchsetzungsorgan der DSGVO und müssen zukünftig nach Bekanntwerden großer Cyberattacken wohl häufiger eine Datenschutzprüfung bei den betreffenden Unternehmen veranlassen“, erklärt Dr. Frank Schemmel.

Damit kommt auch den Aufsichtsbehörden in Deutschland eine aktivere Rolle zu als bisher.

Was ändert sich für Unternehmen?

Zunächst müssen Unternehmen nun mit einer höheren Zahl an Schadensersatzklagen rechnen – alleine schon, weil es sich manche spezialisierten Kanzleien aus diesem Anlass zur Aufgabe machen, Betroffene in ihrem Verfahren zu unterstützen und aktiv um diese werben. Davon ist Dr. Frank Schemmel überzeugt.

Unternehmen sind nun, um die Schadensersatzforderungen erfolgreich abzuwehren, in der Beweispflicht. Sie müssen nun eigenständig aufzeigen, dass sie ausreichend mit technischen und organisatorischen Maßnahmen für ihre Cybersicherheit gesorgt haben.

„Viele Unternehmen haben zwar schon eine – nicht selten ausgeklügelte - Cybersicherheitsstrategie auf dem Papier, doch es hakt an anderer Stelle.“ - Dr. Frank Schemmel

DataGuard hat mit über 3.500 Unternehmenskunden einen guten Marktüberblick und weiß, auf was es für Unternehmen ankommt, in der Praxis aber häufig nicht konsequent umgesetzt wird.

 

Empfehlungen für Unternehmen: Das sollten Sie jetzt umsetzen

    1. Führen Sie regelmäßig eine Risikoevaluation durch: Es reicht nun nicht mehr, vor einiger Zeit einmal eine Risikobewertung durchgeführt zu haben. Regelmäßig zu prüfen, welche Risiken bestehen und entsprechende Maßnahme abzuleiten, ist unabdingbar. „Das ist vor allem für KMUs relevant, da diese häufig die Notwendigkeit nicht sehen, kontinuierliches Risikomanagement zu betreiben“, erklärt Dr. Frank Schemmel.
    2. Dokumentieren Sie Ihre Sicherheitsmaßnahmen sauber: „Vor Gericht zählen nur Fakten und Beweise – um nachweisen zu können, dass entsprechende Maßnahmen getroffen wurden, ist es unabdingbar, diese auch zu dokumentieren“, rät unser Experte.
    3. Minimieren Sie Ihre Cybersicherheitsrisiken: Um Cyberangriffe überhaupt zu verhindern, ist dieser Schritt natürlich unumgänglich.Lesen Sie dazu auch dazu, wie Sie dank der ISO27001-Zertifizierung Ihre Cybersicherheit verbessern.

„Neben diesem holistischen Ansatz müssen Unternehmen nun auch Rückstellungen einplanen“, prognostiziert Dr. Frank Schemmel.

Denn die Welle an Schadensersatzklagen muss auch buchhalterisch abgebildet werden und dies schmälert am Ende den Gewinn.

„Und ob Recht oder Unrecht: Eine Schadensersatzklage ist für Unternehmen immer verbunden mit negativer Presse, höheren Rechtskosten und Inanspruchnahme von externer Rechtsberatung“, erklärt DataGuards Experte.

Die EuGH-Urteile verändern also die Spielregeln in puncto Haftung im Datenschutz sowie der Informationssicherheit – und zwar in ganz Europa. Unternehmen müssen sich auf eine höhere Anzahl von Schadensersatzklagen einstellen und sollten jetzt handeln, um ihre Cybersicherheitsmaßnahmen zu überprüfen, vor allem aber, dies regelmäßig zu tun und entsprechend zu dokumentieren.

Unsere Experten stehen Ihnen für eine vertiefende Beratung zur Verfügung. Vereinbaren Sie noch heute einen Beratungstermin und beschreiten Sie den Weg zu einer stärken Cybersicherheit mit uns.

 
Veröffentlicht am Aktualisiert am
Tags Nachrichten Datenschutz Cyber Sicherheit

Über den Autor

DataGuard Datenschutz-Experten DataGuard Datenschutz-Experten
DataGuard Datenschutz-Experten

Tauchen Sie ein in die Welt der Datensicherheit und DSGVO – mit Tipps und Meinungen unserer zertifizierten Datenschutzbeauftragten in Deutschland, UK und Österreich. Unsere Experten kommen aus den unterschiedlichsten Bereichen wie Wirtschaft, Recht, Technik oder Marketing und teilen mit Ihnen die neuesten Nachrichten sowie Lösungen zu aktuellen Herausforderungen, Urteilen und Rechtsentscheidungen. Ihr Ziel? Ihnen das Wissen und die Werkzeuge an die Hand zu geben, damit Sie die richtigen Entscheidungen treffen, Ihr Unternehmen absichern, Vertrauen aufbauen und Ihren Umsatz steigern können – in Einklang mit geltenden Datenschutzgesetzen. Diese Qualifizierungen unserer Datenschutzberater stehen für Qualität und Vertrauen: Zertifizierter Datenschutzbeauftragter (TÜV), Certified Information Privacy Professional/Europe (IAPP), Certified Information Privacy Manager (IAPP) Information Security, Certified Information Privacy Technologist (IAPP), Certified Practitioner in Data Protection (BCS), Fellow of Information Privacy (IAPP), Certified EU General Data Protection Regulation Practitioner (IBITGQ), Data Protection Officer & Europrivacy Auditor, Practitionier Certificate in Data Protection, PC.dp. (GDPR)

Mehr Artikel ansehen

Diese Themen sollten Sie nicht verpassen:

Weitere Artikel

Was ist Ransomware?
Informationssicherheit

7 Min

Was ist Ransomware?

Schützen Sie sich vor Ransomware mit regelmäßigen Backups, Software-Updates und Vorsicht bei E-Mails. Erfahren Sie, wie Sie sich verteidigen können.

Weiterlesen
Was ist der BSI Standard?
Informationssicherheit

4 Min

Was ist der BSI Standard?

Entdecken Sie die Vorteile von BSI-Standards für Innovation, Produktivität und Sicherheit. Verbessern Sie Rentabilität und Kundenvertrauen.

Weiterlesen
BSI Grundschutz Zertifizierung
Informationssicherheit

3 Min

BSI Grundschutz Zertifizierung

Entdecken Sie die BSI-Grundschutz-Zertifizierung für starke Informationssicherheit und bleiben Sie auf dem neuesten Stand der Praktiken.

Weiterlesen
Was ist Datenmanagement?
Informationssicherheit

3 Min

Was ist Datenmanagement?

Erfahren Sie, warum Datenmanagement wichtig ist und wie Sie es effektiv nutzen können. Bewährte Praktiken und Tools.

Weiterlesen
Was ist Big Data Analytics?
Informationssicherheit

6 Min

Was ist Big Data Analytics?

Big Data Analytics bietet z.B. verbesserte Entscheidungsfindung und Kundenerfahrung. Erfahren Sie, wie Techniken wie maschinelles Lernen genutzt werden.

Weiterlesen
American Privacy Rights Act (APRA): Was der Entwurf für EU-Unternehmen und Behörden bedeuten kann
Informationssicherheit

3 Min

American Privacy Rights Act (APRA): Was der Entwurf für EU-Unternehmen und Behörden bedeuten kann

Der US-Kongress hat einen Entwurf für neue US-Datenschutzgesetze vorgelegt. Hier erfahren Sie, was der American Privacy Rights Act (APRA) für Ihr Unternehmen bedeuten könnte.

Weiterlesen

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Jetzt durchstarten

  • Datenschutzkonforme und transparente Einholung von Einwilligungen
  • Konform mit DSGVO, CCPS, LGPD, ePrivacy
  • Langfristig wertvollere Daten
  • Zentraler Überblick: Ihre Single Source of Truth
  • Persönlicher Support durch Experten bei jedem Schritt
  • Einfache Integration in alle Ihre Marketing-Tools und CRM

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Jetzt Termin vereinbaren