Cyberkriminalität: Erbeuten Kriminelle persönliche Daten kann nach dem aktuell vorliegenden EuGH Urteil allein die Angst vor einem Missbrauch dieser Informationen einen immateriellen Schaden darstellen. Aus einem unbefugten Zugriff könne nicht automatisch auf unzureichenden Schutz geschlossen werden, aber die Beweislast liege beim Verantwortlichen.
Ein immaterieller Schaden kann dem EuGH zufolge auch durch die Befürchtung, die Daten könnten missbräuchlich verwendet werden, entstehen. Der Gerichtshof betont allerdings auch unter Verweis auf seine Entscheidung in Sachen Österreichische Post (Urteil vom 04.05.2023 – C-300/21), dass betroffene Personen das Vorliegen eines immateriellen Schadens iSv Art. 82 DS-GVO nachweisen muss.
Unternehmen sollten diese Rechtsprechnung ernst nehmen, denn werden Schutzmaßnahmen getroffen, die ungeeignet oder unzureichend waren und kommt es aufgrunddessen zu einem erfolgreichen unbefugten Zugang, besteht ein Kostenrisiko. Ohne konkrete Maßnahmen zum Beispiel durch die Einführung eines Informationssicherheitsmanagmentsystems (ISMS) wird ein solcher Nachweis schwierig zu erbringen sein.
Bemängeln kann man an dem Urteil, dass keine inhaltlichen Maßstäben zum Vorliegen eines immateriellen Schadens genannt werden.
