Skip to content

EuGH: Befürchtung eines möglichen Missbrauchs personenbezogener Daten nach Cyberangriff / Hackerattacke kann Anspruch auf immateriellen Schadensersatz gemäß Art. 82 DSGVO begründen

EuGH
Urteil vom 14.12.2023
C-340/21
Natsionalna agentsia za prihodite


Der EuGH hat entschieden, dass schon die bloße Befürchtung eines möglichen Missbrauchs personenbezogener Daten nach einem Cyberangriff / einer Hackerattacke einen Anspruch auf immateriellen Schadensersatz gemäß Art. 82 DSGVO begründen kann.

Tenor der Entscheidung:
1. Die Art. 24 und 32 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz- rundverordnung) sind dahin auszulegen, dass eine unbefugte Offenlegung von bzw. ein unbefugter Zugang zu personenbezogenen Daten durch „Dritte“ im Sinne von Art. 4 Nr. 10 dieser Verordnung allein nicht ausreicht, um anzunehmen, dass die technischen und organisatorischen Maßnahmen, die der für die betreffende Verarbeitung Verantwortliche getroffen hat, nicht „geeignet“ im Sinne der Art. 24 und 32 dieser Verordnung waren.

2. Art. 32 der Verordnung 2016/679 ist dahin auszulegen, dass die Geeignetheit der vom Verantwortlichen nach diesem Artikel getroffenen technischen und organisatorischen Maßnahmen von den nationalen Gerichten konkret zu beurteilen ist, wobei die mit der betreffenden Verarbeitung verbundenen Risiken zu berücksichtigen sind und zu beurteilen ist, ob Art, Inhalt und Umsetzung dieser Maßnahmen diesen Risiken angemessen sind.

3. Der in Art. 5 Abs. 2 der Verordnung 2016/679 formulierte und in Art. 24 dieser Verordnung konkretisierte Grundsatz der Rechenschaftspflicht des Verantwortlichen ist dahin auszulegen, dass im Rahmen einer auf Art. 82 der Verordnung gestützten Schadenersatzklage der für die betreffende Verarbeitung Verantwortliche die Beweislast dafür trägt, dass die von ihm getroffenen Sicherheitsmaßnahmen im Sinne von Art. 32 dieser Verordnung geeignet waren.

4. Art. 32 der Verordnung 2016/679 und der unionsrechtliche Effektivitätsgrundsatz sind dahin auszulegen, dass für die Beurteilung der Geeignetheit der Sicherheitsmaßnahmen, die der Verantwortliche nach diesem Artikel getroffen hat, ein gerichtliches Sachverständigengutachten kein generell notwendiges und ausreichendes Beweismittel sein kann.

5. Art. 82 Abs. 3 der Verordnung 2016/679 ist dahin auszulegen, dass der Verantwortliche von seiner nach Art. 82 Abs. 1 und 2 dieser Verordnung bestehenden Pflicht zum Ersatz des einer Person entstandenen Schadens nicht allein deshalb befreit werden kann, weil dieser Schaden die Folge einer unbefugten Offenlegung von bzw. eines unbefugten Zugangs zu personenbezogenen Daten durch „Dritte“ im Sinne von Art. 4 Nr. 10 dieser Verordnung ist, wobei der Verantwortliche dann nachweisen muss, dass er in keinerlei Hinsicht für den Umstand, durch den der betreffende Schaden eingetreten ist, verantwortlich ist.

6. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen diese Verordnung befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, einen „immateriellen Schaden“ im Sinne dieser Bestimmung darstellen kann.

Pressemitteilung des EuGH:
Cyberkriminalität: Die Befürchtung eines möglichen Missbrauchs personenbezogener Daten kann für sich genommen einen immateriellen Schaden darstellen

Die bulgarische Nationale Agentur für Einnahmen (NAP) ist dem bulgarischen Finanzminister unterstellt. Sie ist u. a. mit der Feststellung, Sicherung und Einziehung öffentlicher Forderungen betraut. In diesem Rahmen ist sie für die Verarbeitung personenbezogener Daten verantwortlich. Am 15. Juli 2019 wurde in den Medien darüber berichtet, dass in das IT-System der NAP eingedrungen worden sei und infolge dieses Cyberangriffs in diesem System enthaltene personenbezogene Daten von Millionen von Menschen im Internet veröffentlicht worden seien. Zahlreiche Personen verklagten die NAP auf Ersatz des immateriellen Schadens, der ihnen aus der Befürchtung eines möglichen Missbrauchs ihrer Daten entstanden sein soll.

Das bulgarische Oberste Verwaltungsgericht legt dem Gerichtshof mehrere Fragen zur Auslegung der Datenschutz-Grundverordnung (DSGVO) zur Vorabentscheidung vori . Es möchte klären lassen, unter welchen Bedingungen eine Person, deren personenbezogene Daten, die sich im Besitz einer öffentlichen Agentur befinden, nach einem Angriff von Cyberkriminellen im Internet veröffentlicht wurden, Ersatz des immateriellen Schadens verlangen kann.

In seinem Urteil antwortet der Gerichtshof wie folgt:

1. Im Fall der unbefugten Offenlegung von bzw. des unbefugten Zugangs zu personenbezogenen Daten können die Gerichte aus diesem Umstand allein nicht ableiten, dass die Schutzmaßnahmen, die der für die Datenverarbeitung Verantwortliche ergriffen hat, nicht geeignet waren. Die Gerichte müssen die Geeignetheit dieser Maßnahmen konkret beurteilen.

2. Der Verantwortliche trägt die Beweislast dafür, dass die getroffenen Schutzmaßnahmen geeignet waren.

3. Im Fall der unbefugten Offenlegung von bzw. des unbefugten Zugangs zu personenbezogenen Daten durch „Dritte“ (wie Cyberkriminelle) kann der Verantwortliche gegenüber den Personen, denen ein Schaden entstanden ist, ersatzpflichtig sein, es sei denn, er weist nach, dass er in keinerlei Hinsicht für den Schaden verantwortlich ist.

4. Allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, kann einen „immateriellen Schaden“ darstellen.


Den Volltext der Entscheidung finden Sie hier:

BVerfG: Beschaffung von Daten von Informanten durch Journalisten regelmäßig von Pressefreiheit gedeckt und nicht als Datenhehlerei nach § 202d StGB strafbar

BVerfG
Beschluss vom 30.03.2022
1 BvR 2821/16


Das Bundesverfassungsgericht hat ausgeführt, dass die Beschaffung von Daten von Informanten durch Journalisten regelmäßig von der Pressefreiheit gedeckt und nicht als Datenhehlerei nach § 202d StGB strafbar ist. Da die Verfassungsbeschwerde aber nicht hinreichend substantiiert war, hat das BVerfG die Verfassungsbeschwerde als unzulässig verworfen.

Aus den Entscheidungsgründen:

Die Verfassungsbeschwerde ist unzulässig, weil die Beschwerdeführer die Möglichkeit einer Verletzung von Grundrechten durch die angegriffenen Regelungen nicht hinreichend substantiiert dargelegt haben.

1. Die Beschwerdeführer können grundsätzlich Träger von Grundrechten und damit beschwerdefähig sein. Das gilt auch für die Beschwerdeführer zu 2) und zu 9), die als eingetragene Vereine (vgl. BVerfGE 3, 383 <390>; 10, 221 <225>; 24, 278 <282>; 97, 228 <253>; 105, 279 <292 f.>) und damit als inländische juristische Personen im Sinne des Art. 19 Abs. 3 GG grundrechtsberechtigt sind. Juristische Personen können sich grundsätzlich auf die von den Beschwerdeführern geltend gemachten Grundrechte der Presse- und Rundfunkfreiheit berufen (vgl. BVerfGE 95, 28 <34 f.>).

2. Die Beschwerdeführer haben jedoch nicht den Anforderungen der § 23 Abs. 1 Satz 2, § 92 BVerfGG entsprechend dargelegt, beschwerdebefugt zu sein.

a) Nach § 23 Abs. 1 Satz 2 Halbsatz 1, § 92 BVerfGG ist zur Begründung der Verfassungsbeschwerde das angeblich verletzte Recht zu bezeichnen und der seine Verletzung enthaltende Vorgang substantiiert darzulegen (vgl. BVerfGE 9, 109 <114 f.>; 81, 208 <214>; 99, 84 <87>). Die Verfassungsbeschwerde muss sich mit dem zugrundeliegenden einfachen Recht sowie mit der verfassungsrechtlichen Beurteilung des vorgetragenen Sachverhalts auseinandersetzen (vgl. BVerfGE 89, 155 <171>; 101, 331 <345 f.>). Die Beschwerdeführenden müssen darlegen, mit welchen verfassungsrechtlichen Anforderungen die angegriffene Maßnahme kollidiert; sie müssen das Grundrecht in Bezug zu dem Lebenssachverhalt setzen und die Möglichkeit einer Grundrechtsverletzung verdeutlichen (vgl. BVerfGE 79, 203 <209>; 108, 370 <386 f.>; 120, 274 <298>; BVerfG, Beschluss des Ersten Senats vom 19. November 2021 - 1 BvR 781/21 u.a. -, Rn. 88). Soweit das Bundesverfassungsgericht für bestimmte Fragen bereits verfassungsrechtliche Maßstäbe entwickelt hat, muss anhand dieser Maßstäbe aufgezeigt werden, inwieweit Grundrechte durch die angegriffene Maßnahme verletzt sein sollen (vgl. BVerfGE 99, 84 <87>; 101, 331 <346>; 115, 166 <179 f.>; 130, 1 <21>). Richtet sich eine Verfassungsbeschwerde unmittelbar gegen eine gesetzliche Vorschrift, so muss der Beschwerdeführer ausreichend substantiiert geltend machen, durch die angegriffene Norm selbst, gegenwärtig und unmittelbar verletzt zu sein (vgl. BVerfGE 40, 141 <156>; 60, 360 <370>; 72, 39 <43>; 79, 1 <13>; stRspr). Zu den Begründungsanforderungen an eine Rechtssatzverfassungsbeschwerde gehört auch eine inhaltliche Auseinandersetzung mit der einfachrechtlichen Rechtslage (vgl. BVerfG, Beschlüsse der 2. Kammer des Ersten Senats vom 27. Juli 2015 - 1 BvR 1560/15 -, Rn. 5; vom 20. Mai 2021 - 1 BvR 928/21 -, Rn. 12).

b) Diesen Maßstäben genügt die Verfassungsbeschwerde im Ergebnis nicht. Zwar ist der Schutzbereich der Presse- und Rundfunkfreiheit eröffnet, und die Beschwerdeführer haben dargelegt, dass die Tätigkeiten, die sie durch die angegriffenen Normen für beeinträchtigt halten, dem Schutz des Art. 5 Abs. 1 Satz 2 GG unterfallen. Der Vortrag der Beschwerdeführer genügt hinsichtlich des geltend gemachten Eingriffs und ihrer Beschwer jedoch nicht den Anforderungen.

aa) Das Grundrecht der Presse- und Rundfunkfreiheit gemäß Art. 5 Abs. 1 Satz 2 GG schützt den gesamten Prozess der Herstellung und Verbreitung von digitalen oder analogen Presseerzeugnissen und Rundfunksendungen von der Informationsgewinnung bis zur Veröffentlichung und zum Vertrieb der hergestellten Inhalte (vgl. BVerfGE 10, 118 <121>; 66, 116 <133>; 77, 65 <74 ff.>; 117, 244 <258 f.>; stRspr). Dabei schützt das Grundrecht die an diesem Prozess berufsmäßig beteiligten Personen nicht nur vor gezielter staatlicher Einflussnahme auf die inhaltliche und formelle Gestaltung der Presse- und Rundfunkerzeugnisse. Als Grundentscheidung für ein freies Presse- und Rundfunkwesen gewährleistet Art. 5 Abs. 1 Satz 2 GG vielmehr auch die institutionellen Rahmen- und Funktionsbedingungen der journalistischen Tätigkeit (vgl. BVerfGE 20, 162 <174 ff.>; 66, 116 <133 f.>). Zu diesen unentbehrlichen Funktionsbedingungen freier Presse- und Rundfunktätigkeit gehören insbesondere auch die grundsätzliche Zugänglichkeit der für diese Tätigkeit benötigten Informationen. Erst der prinzipiell ungehinderte Zugang zur Information versetzt die Medien in den Stand, die ihnen in der freiheitlichen Demokratie zukommende Funktion wahrzunehmen (BVerfGE 91, 125 <134>; 103, 44 <59>). Dies bedingt auch die Notwendigkeit eines besonderen Schutzes der für die Informationsgewinnung benötigten Quellen, des in diesem Rahmen vorausgesetzten Vertrauensverhältnisses und der Vertraulichkeit der Redaktionsarbeit (vgl. BVerfGE 20, 162 <176>; 66, 116 <134>; 100, 313 <365>; 117, 244 <259>). Zudem betrifft der Schutz vor inhaltsbezogenen Einwirkungen nicht allein Eingriffe im traditionellen Sinne (zum herkömmlichen Eingriffsbegriff siehe BVerfGE 105, 279 <300>), sondern kann auch bei mittelbaren Einwirkungen auf die Presse (vgl. BVerfGE 52, 283 <296>) ausgelöst werden, wenn sie in der Zielsetzung und ihren Wirkungen Eingriffen gleichkommen (vgl. BVerfGE 105, 252 <273>). Art. 5 Abs. 1 Satz 2 GG gewährt den Trägern der Pressefreiheit daher ein subjektives Abwehrrecht auch gegen Beeinträchtigungen, die mittelbar über eine Einflussnahme des Staates auf Dritte eintreten, etwa dadurch, dass das Verhalten dieser Dritten die publizistischen Wirkungsmöglichkeiten oder die finanziellen Erträge des Presseorgans in einer Weise nachteilig beeinflusst, die einem Eingriff gleichkommt. Dass über faktische Nachteile des Informationshandelns hinaus rechtliche Auswirkungen an die staatliche Maßnahme geknüpft sein müssen, ist nicht Voraussetzung dafür, dass die Kommunikationsfreiheit beeinträchtigt sein kann (vgl. BVerfGE 113, 63 <76 f.>).

bb) Es bleibt in jedem Fall Sache der Beschwerdeführer, die Einzelheiten der von ihnen erstrebten Handlungen, deren Verbot sie bekämpfen möchten, hinreichend substantiiert darzulegen, so dass das Bundesverfassungsgericht in die Lage versetzt wird, die Frage der unmittelbaren Betroffenheit zu beurteilen (§ 23 Abs. 1 Satz 2 in Verbindung mit § 92 BVerfGG; vgl. BVerfG, Beschluss des Ersten Senats vom 19. November 2021 - 1 BvR 781/21 u.a. -, Rn. 88).

Die Beschwerdeführer tragen nicht hinreichend substantiiert vor, dass ein grundrechtlich geschütztes Verhalten von der angegriffenen Norm nach Wortlaut, Entstehungsgeschichte und Systematik betroffen und eine Auslegung im Einklang mit Art. 5 Abs. 2 GG nicht möglich ist. Insbesondere sind die von den Beschwerdeführern vorgetragenen Beispielsfälle vom Tatbestand der Datenhehlerei eindeutig nicht umfasst. Mangels ersichtlicher Strafbarkeit besteht hier kein Risiko von Journalisten betreffenden strafrechtlichen Ermittlungsmaßnahmen nach § 97 Abs. 2 Satz 2 StPO (n.F.). Das Vorbringen der Beschwerdeführer lässt auch nicht erkennen, dass die angegriffenen Vorschriften für sie oder Dritte eine einem Eingriff gleichkommende abschreckende Wirkung entfalten könnten.

(1) Regelmäßig dürfte es bereits an der rechtswidrigen Tat eines anderen im Sinne des § 202d Abs. 1 StGB fehlen, durch die die Daten erlangt wurden. Handelt es sich bei dem Informanten um einen an sich berechtigten Mitarbeiter des Betroffenen, der auf die übermittelten Daten zugreifen kann, kann sich der Mitarbeiter und Informant durch die Weitergabe der Daten strafbar gemacht haben. Er hätte die Daten aber nicht durch eine rechtswidrige Tat erlangt, da er schon zuvor auf sie zugreifen konnte.

(2) Selbst bei unterstellter Verwirklichung des objektiven Tatbestandes bestehen unter Zugrundelegung des Vortrags der Beschwerdeführer erhebliche Zweifel daran, dass der subjektive Tatbestand der Datenhehlerei erfüllt sein könnte. Zunächst ist fraglich, ob sich aus den Ausführungen der Beschwerdeführer zu den von ihnen gebildeten Beispielsfällen überhaupt ein bedingter Vorsatz des Handelnden im Hinblick auf die rechtswidrige Vortat ergibt. Der Gesetzesbegründung nach reicht das Bewusstsein, dass die Daten aus irgendeiner rechtswidrigen Tat stammen, nicht aus (BTDrucks 18/5088, S. 47). Dass ein Journalist eine rechtwidrige Beschaffung der Daten aufgrund ihrer Sensibilität nicht ausschließen kann, genügt gerade nicht.

Weiter fehlt es an hinreichendem Vortrag, der eine Bereicherungs- oder Schädigungsabsicht des Journalisten erkennen ließe. Die (Dritt-)Bereicherung und die Schädigung setzen gemäß der Gesetzesbegründung ausdrücklich Absicht voraus (BTDrucks 18/5088, S. 47). Die Schädigung beziehungsweise der Vorteil müssen vom Täter als Erfolg gewollt werden, es muss ihm gerade darauf ankommen. Steht die Aufklärung von Missständen im Vordergrund, richtet sich die Absicht des Täters hierauf, nicht aber auf die Schädigung.

(3) Letztlich fehlt es an hinreichendem Vortrag der Beschwerdeführer dazu, warum der Tatbestandsausschluss für sie keine Anwendung finden sollte. In Anbetracht der weiteren Gesetzesbegründung drängt sich entgegen der Annahme der Beschwerdeführer auf, dass ein umfassender Ausschluss journalistischer Tätigkeiten bezweckt wird ("Zum anderen wird klargestellt, dass [...] insbesondere journalistische Tätigkeiten unter den Tatbestandsausschluss fallen."; BTDrucks 18/5088, S. 48). Der Tatbestandsausschluss zielt darauf ab, dass eine journalistische Tätigkeit auch dann nicht unter Strafe gestellt wird, wenn Recherchen gegebenenfalls unergiebig sind und es im Ergebnis nicht zu einer Veröffentlichung kommt. Entscheidend ist die Vorstellung des jeweiligen Journalisten, dass seine Handlungen in eine konkrete Veröffentlichung münden kann.

Soweit die Beschwerdeführer vortragen, das Ausschließlichkeitskriterium des § 202d Abs. 3 Satz 1 StGB werde der journalistischen Praxis nicht gerecht, weil regelmäßig ein Bündel von Motiven vorliege, überzeugt dies bereits im Ansatz nicht. Die Lesart der Beschwerdeführer verengt in nicht nachvollziehbarer Weise den Anwendungsbereich des zugunsten der Journalisten eingefügten Tatbestandsausschlusses und steht in direktem Widerspruch zu der in der Gesetzesbegründung zum Ausdruck kommenden Zielsetzung, journalistische Tätigkeiten umfassend zu schützen. Aus dem Wortlaut und der Systematik der Norm ergibt sich, dass die Verwendung einen objektiv funktionalen Zusammenhang zur Aufgabenerfüllung aufweisen muss. Der konkrete Zusammenhang mit der - hier journalistischen - Aufgabenerfüllung ist der Grund, der die Tatbestandslosigkeit des Umgangs mit ansonsten bemakelten Daten begründet.

(4) Die von den Beschwerdeführern monierte abschreckende und eingriffsäquivalente Wirkung der angegriffenen Normen, die eine "Aura des vielleicht Strafbaren" umgebe, lässt sich nach dem Obenstehenden nicht nachvollziehen. Ein hinreichendes Risiko, dass sich Journalisten nach § 202d StGB strafbar machen, besteht nicht. Dementsprechend ist ebensowenig mit vorgelagerten Ermittlungsmaßnahmen zu rechnen. Dies deckt sich mit der vom Bundesministerium der Justiz im Rahmen der Beantwortung des Fragenkatalogs (§ 27a BVerfGG, § 22 Abs. 5 GOBVerfG) durchgeführten Abfrage in den Landesjustizverwaltungen, wonach seit 2018 keine Verfahren nach § 202d StGB Journalisten betreffend bekannt sind.

Gleichfalls ist nicht nachzuvollziehen und von den Beschwerdeführern nicht dargelegt, dass von den angegriffenen Normen eine Einschüchterungswirkung bei den Quellen der Journalisten ausgehen sollte, da sie sich als Vortäter nicht nach § 202d StGB strafbar machen. Auch eine von den angegriffenen Normen ausgehende Abschreckungswirkung auf sonstige Mittelspersonen haben die Beschwerdeführer weder dargelegt, noch würde sie aus den eingegangenen Antworten auf den Fragenkatalog der Kammer sonstwie ersichtlich. Eine Tatbestandsverwirklichung durch Hilfspersonen der Journalisten liegt ebenfalls fern und ist nicht hinreichend ausgeführt; erhalten etwa IT-Spezialisten von Journalisten Daten zur Bearbeitung, so fehlt es aufgrund des Tatbestandsausschlusses zugunsten der Journalisten bereits an einer tauglichen, rechtswidrigen Vortat im Sinne des § 202d StGB mit Blick auf die Hilfspersonen.


Den Volltext der Entscheidung finden Sie hier: