Das Urteil ist ein Paukenschlag und eine Trendwende zugunsten aller von Cyberkriminalität betroffenen Personen. Diese haben nicht nur einen Anspruch auf immateriellen Schadensersatz, sondern können auch gerichtlich feststellen lassen, dass das Unternehmen für sämtliche Spätfolgen die kausal auf dem DSGVO – Verstoß beruhen, zu haften hat.
Hintergrund der Entscheidung war ein Cyberangriff auf das IT-System einer bulgarischen Behörde sowie die hiermit verbundene Veröffentlichung personenbezogener Daten im Darknet.
Eine jahrelang umstrittene Rechtsfrage scheint somit endgültig entschieden: Von Datenlecks betroffene Personen haben Ansprüche auf Entschädigung in Geld in Form eines nichtvermögensrechtlichen (immateriellen) Schadens, welcher sich in der Befürchtung widerspiegelt, dass ihre Daten nach einem Cyberangriff missbräuchlich verwendet werden könnten. Mögliche Folgen eines Datenlecks sind unautorisierte Zahlungsabbuchungen auf dem Bankkonto – wie diese auch bei von dem Facebook Datenleck betroffenen Personen vermehrt zu beobachten sind.
Der EuGH urteilte zudem, dass der datenschutzrechtlich Verantwortliche die Beweislast dafür trägt, dass getroffenen Schutzmaßnahmen geeignet gewesen waren. Der beliebten Strategie aus „Geheimhaltungsgründen“ keine technischen Details zum Sicherheitsstandard des IT-Systems mitzuteilen, scheint endgültig der Boden entzogen worden zu sein.
Die Kanzlei CLLB, welche Opfer der organisierten Internetkriminalität vertritt und Bankkunden bei der Rückerstattung unautorisiert abgebuchter Geldbeträge behilflich ist, empfehlen von Datenlecks betroffenen Personen, daher eine Klage auch aus Vorsichtsgründen anzustrengen. Denn so kann gerichtlich festgestellt werden, dass der datenschutzrechtlich Verantwortliche auch für mögliche zukünftige kausale Folgen des Datenlecks haftet.
Die Entscheidung wird die laufenden Verfahren, etwa gegen Meta (Facebook) oder Scalable beflügeln und zweifelsohne viele Verbraucher motivieren, ihre Rechte einzuklagen.