Der Dienstleister der Berliner Verkehrsbetriebe ist Opfer eines Cyberangriffs geworden.
Die BVG und der Dienstleister Scholz bereiten sich auf juristische Forderungen, u.a. auf Schadensersatzansprüche vor.
Derzeit ist bekannt, dass sensible Daten von 180.000 Personen gestohlen wurden.
Die Kunden der Berliner Verkehrsbetriebe haben bereits oder werden noch Post bekommen.
Die BVG informieren die betroffenen Kunden über den Hackerangriff und den gehackten Daten. Es handelt sich um Vertragsdaten, die die Kunden den BVG im Rahmen des Vertragsverhältnisses , wie bspw. Name, Anschrift, E-Mail-Adresse, Kundennummer und dergleichen angegeben haben.
Die BVG-Kunden wurde nach Art. 34 Datenschutzgrundverordnung (DSGVO) über den Vorfall informiert.
Der Verstoß gegen die DSGVO – Art. 6 und/oder 9 DSGVO – führt zu einem Schadensersatzanspruch der Betroffenen.
Kurz und knapp – Folgen der Datenpanne
- Verstoß gg. Schutz personenbezogene Daten
- Schadensersatz nach Art. 82 DSGVO möglich – niedriger 3-stelliger Betrag
- Kontrollverlust über personenbezogene Daten begründet Schaden nach Art. 82 DSGVO – BGH, 11.02.2025 – Az. VI ZR 365/22
- allein die Überlassung von personenbezogenen Daten an unbefugte Dritte stellt einen Schaden im Sinn der DSGVO dar,
- Nachweis eines konkreten Schadens nicht erforderlich, d.h. über den Kontrollverlust hinausgehende weitere Befürchtungen / Persönlichkeitsverletzungen müssen nicht nachgewiesen werden,
- EuGH hat Voraussetzungen eines Anspruchs nach Art. 82 DSGVO abschließend formuliert.
Hackerangriff – Schadensersatz möglich?
Wie im aktuellen Fall der BVG stellt sich bei Cyber- und Hackerangriffen die Frage, ob und unter welchen Bedingungen Betroffene nach einem Hackerangriff Schadensersatz geltend machen können.
Grundlage hierfür wäre Art. 82 Abs.1 DSGVO, der auch die Geltendmachung eines immateriellen Schadensersatzes ermöglicht.
Verantwortliche (Art. 24 DSGVO) nach der DSGVO müssen Maßnahmen ergreifen, um personenbezogene Daten vor unbefugtem Zugriff zu schützen.
Diese Maßnahmen müssen dem aktuellen Stand der Technik entsprechen und geeignet sein, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, so Art. 32 DSGVO.
Ein Verstoß hiergegen kann Schadensersatzansprüche nach sich ziehen.
Der Europäische Gerichtshof (EuGH) hat in seinem Urteil vom 14.12.2023 – Az. Rs C-340/21 die zentralen Anforderungen an die Verantwortlichen und an die Ausgestaltung technischer und organisatorischer Maßnahmen – sog. TOMs – festgestellt.
Dass die ergriffenen Maßnahmen ausreichend waren und zudem dem Stand der Technik entsprachen, muss der Verantwortliche nach der DSGVO beweisen können. Es erfolgt somit eine sog. Beweislastumkehr vor.
Exkurs:
Das Prozessrecht besagt, dass es jeder Partei obliegt, den Nachweis derjenigen Tatsachen zu erbringen, die zur Durchsetzung ihrer eigenen rechtlichen Ansprüche relevant sind.
Die angesprochene und vom EuGH herausgestellte Beweislastumkehr besagt genau das Gegenteil, weil Verantwortliche nach der DSGVO verpflichtet sind, nachzuweisen, alle notwendigen TOMs ergriffen zu haben, um Cyber-/Hackerangriffe effektiv zu verhindern bzw. zu erschweren.
Der Nachweis kann regelmäßig nur anhand einer sorgfältigen Dokumentation und einer regelmäßigen Überprüfung der Schutzmaßnahmen erbracht werden.
Diese Maßnahmen können im Rahmen eines Gerichtsverfahrens überprüft werden – dies erfordert eine regelmäßige Überprüfung und Dokumentation.
Kann der Nachweis nicht erbracht werden, begründet dies in der Regel einen Schadensersatzanspruch der Betroffenen wegen der Datenschutzverstöße.
Problem – Kontrollverlust der Daten als Schaden
Zentrale Frage in Verbindung der Schadensersatzansprüche nach Art. 82 DSGVO ist, ob der reine Kontrollverlust über personenbezogene Daten bereits für sich genommen einen Schaden darstellt und ob ein konkreter Schaden nachgewiesen werden muss.
Deutsche Gerichte haben bisher zahlreiche Fehlurteile gefällt.
Es werden immer unverhältnismäßig hohe Anforderungen an den Schaden, den ein Verbraucher darlegen muss, gestellt.
Nach Ansicht der Gerichte reiche allein der Kontrollverlust über die eigenen Daten nicht aus, um einen Schadensersatzanspruch zu begründen.
Die Verbraucher als Betroffene müssen darüberhinausgehende Auswirkungen auf die Person oder die eigenen, wie etwa begründete Befürchtungen oder Ängste vor Missbrauch, beibringen und nachweisen.
Die deutschen Gerichte konterkarierten damit direkt die verbraucherfreundliche EuGH-Rechtsprechung sowie die Vorgaben der DSGVO selbst.
Der Bundesgerichtshof hat endlich Klarheit geschaffen und ein wegweisendes Urteil gefällt.
Urteil des Bundesgerichtshof – 11.02.2025 – Az. VI ZR 365/22
Ausgangsfall des Verfahrens vor dem Bundesgerichtshof war der Fall einer Bundesbeamtin. Die Klägerin ist Beamtin seit dem Jahr 1995 bei einer Bundesbehörde in Hannover. Die Personalaktenverwaltung wurde dort in der Vergangenheit durch Bedienstete des Landes Niedersachsen vorgenommen.
Die klagende Beamtin begehrte mit ihrer Klage die Feststellung, dass die Beklagte wegen rechtswidriger Weitergabe von besonders geschützten Daten an Landesbedienstete zur Leistung von Schadensersatz verpflichtet sei.
Mit dem Urteil stärkt der BGH die Betroffenenrechte und setzt die Rechtsprechung des Europäischen Gerichtshofes (EuGH) fort. Der EuGH hatte in mehreren Urteilen – Urteile v. 04.10.2024, Az. C-507/23; Urt. v. 11.04.2024, Az. C-741/21; Urt. v. 25.01.2024, Az. C-687/21 – zu den Voraussetzungen des Schadensersatzanspruch im Sinne des Art. 82 Abs. 1 DSGVO festgelegt.
Nach der Rechtsprechung des EuGH müssen kumulativ drei Voraussetzungen erfüllt sein, nämlich
- ein Verstoß gegen die DSGVO,
- das Vorliegen eines materiellen oder immateriellen Schadens sowie
- ein Kausalzusammenhang zwischen dem Schaden und dem Verstoß.
Der Bundesgerichtshof stellte nunmehr klar, dass der Kontrollverlust über Daten zu einem Schadensersatzanspruch führt.
Im Urteil zugrunde liegenden Sachverhalt, war es so, dass die Personalaktenführung der Bundesanstalt, welche die Klägerin als Beamtin angehörte, in der Vergangenheit durch Bedienstete des Landes Niedersachsen durchgeführt wurden.
Nach Ansicht des BGH stellt dies einen Verstoß gegen Art. 5 Abs. 1 lit. a) und Art. 28 DSGVO dar. Die Klägerin erlitt durch die Überlassung der Personalakte an unbefugte Dritte einen Kontrollverlust über die in der Personalakte enthaltenen personenbezogenen Daten.
Zudem stellte der BGH anders als das zuvor urteilende OLG fest, dass keine über diesen Kontrollverlust hinausgehende „benennbare und insoweit tatsächliche Persönlichkeitsrechtsverletzung gegenüberstehen“; auch muss der Beeinträchtigung des Betroffenen kein besonderes „Gewicht“ zukommen, das „über eine individuell empfundene Unannehmlichkeit hinausgeht oder das Selbstbild oder Ansehen ernsthaft beeinträchtigt.
Die Beklagte Bundesanstalt wendete noch ein,
dass der Anspruch nach Art. 82 DSGVO ja wegen eines Amtshaftungsanspruchs nach § 839 BGB ausgeschlossen sei, wenn nicht hinreichend versucht wird, einen Schaden durch Gebrauch eines Rechtsmittels abzuwenden.
Auch diesem Vortrag entgegnet der BGH mit Ablehnung und verwies darauf,
dass der Anspruch nach Art. 82 DSGVO unabhängig von Amtshaftungsansprüchen sei und zudem stelle eine besondere Schadensabwendungspflicht für die Betroffenen eine zusätzliche Hürde aus nationalem Recht dar, die nach der DSGVO so nicht vorgesehen ist. Weiter führte der BGH in seiner Mitteilung aus, dass der EuGH in seiner Rechtsprechung die Voraussetzungen für einen Anspruch nach Art. 82 DSGVO abschließend formuliert habe.
Das bedeutet, dass die Betroffenen keinerlei Nachweise über weitere Persönlichkeitsverletzungen und dergleichen erbringen müssen.
Auswirkungen der Datenpanne bei der BVG und deren Dienstleister
Die Datenpanne kann weitreichende Folgen für die BVG und den Dienstleister haben, da betroffene Kunden unter Umständen – die Ermittlungen der Behörden dauern derzeit an – Ansprüche auf Schadensersatz nach Art. 82 DSGVO geltend machen können.
Sollten die Voraussetzungen des Art. 82 DSGVO vorliegen und die BVG sowie der Dienstleister Scholz den Nachweis der Maßnahmen nach Art. 32 DSGVO nicht erbringen, haben die betroffenen Kunden der BVG einen Anspruch auf Schadensersatz in niedriger 3-stelliger Höhe.
Aufgrund des benannten Urteils des BGH vom 11.02.2025 bedarf die Begründung immateriellen Schadensersatzes keinerlei unverhältnismäßig hohen Hürden.
LOIBL LAW – die Rechtskanzlei, Ihre Experten im Datenschutzrecht!
WIR beraten Sie, ob als betroffene Verbraucher/Betroffener eines Datenschutzverstoßes, Unternehmen oder Behörden und insbesondere Verantwortliche der Datenverarbeitung in allen Fragen und Angelegenheiten des Datenschutzrecht und der DSGVO.
Wir beraten Sie bundesweit. Sie erhalten bei uns eine kostenlose Ersteinschätzung zu Ihrem Anliegen.
WIR handeln schnell, unkompliziert und lösungsorientiert. Unser Ziel, Ihre Rechte Sichern und schützen!
Sie können sich jederzeit unverbindlich unter 0991/38306131, per E-Mail mail@loibl-law.de oder WhatsApp-Business unter 099138306131 oder über die weiteren Kontaktmöglichkeiten auf unserer Website www.loibl-law.de mit der Online-Chat-Funktion melden.
Weitere Infos und Antworten finden Sie auf unserer Website.
Ihr Team von LOIBL LAW!
