Erfolgreiche Cyberattacken bedeuten nicht automatisch ungeeignete Abwehrmaßnahmen – eine rechtliche Einschätzung

veröffentlicht am 17. Mai 2024 | Lesedauer ca. 3 Minuten

Erfolgreiche Cyberattacken lassen nicht auf ungeeignete Abwehrmaßnahmen des Verantwortlichen schließen. Das hat der EuGH jetzt mit Urteil vom 14.12.2023, Az. C-340/21, klargestellt. Den Verantwortlichen treffe aber die Nachweispflicht, dass technische und organisatorische Maßnahmen geeignet waren, Cyberattacken zu vermeiden. Dabei sei eine Risikoanalyse durchzuführen und die Maßnahmen auf Angemessenheit zu prüfen. Daneben stellt der EuGH klar, dass im Einzelfall ein immaterieller Schaden für Betroffene bei der bloßen Befürchtung eines Schadens für personenbezogene Daten gegeben sein kann.

Geeignete Sicherheitsmaßnahmen trotz Cyberattacken

Der EuGH hat mit Urteil vom 14.12.2023, Az. C-340/21, grundsätzliche Fragen zur Eignung von IT-Sicherheitsmaßnahmen und deren Beurteilung bei erfolgreichen Cyberattacken beantwortet.

Hintergrund der Auslegungsfragen war, dass ein unbefugter Zugang zum IT-System einer Behörde erfolgt war, woraufhin personenbezogene Daten im Internet veröffentlicht worden seien. Die Behörde verteidigte sich damit, dass sie Maßnahmen zur Vermeidung eines solchen Angriffs ergriffen habe und im Nachhinein bemüht gewesen sei, die Datenverletzungen durch die Cyberattacke zu begrenzen.

Eignung von technischen und organisatorischen Maßnahmen

Der EuGH hatte sich mit der Eignung solcher Maßnahmen auseinanderzusetzen. Nach der Datenschutzgrundverordnung (DSGVO) wird von Unternehmen verlangt, dass diese geeignete Maßnahmen technischer und organisatorischer Art treffen, um unberechtigte Datenzugriffe abzuwehren. Der Begriff der Eignung ergibt sich aus Art. 24 und 32 DSGVO.

In seinem Urteil hat der EuGH klargestellt, dass eine unbefugte Offenlegung bzw. ein unbefugter Zugang zu personenbezogenen Daten durch „Dritte” im Sinne von Art. 4 Nr. 10 DSGVO nicht für die Schlussfolgerung ausreicht, dass die von dem Verantwortlichen ergriffenen Maßnahmen nicht geeignet waren, das Schutzniveau der DSGVO einzuhalten. Dies ergebe sich allein schon daraus, dass dem Verantwortlichen nach Art. 24 DSGVO ausdrücklich die Nachweispflicht auferlegt wird, dass die Maßnahmen im Einklang mit der DSGVO stehen. Bei einer unwiderlegbaren Annahme der Ungeeignetheit bei Verletzungen, liefe diese Nachweismöglichkeit ins Leere.

Die Eignung einer technischen und organisatorischen Maßnahme soll nach den Urteilsgründen in zwei Schritten zu beurteilen sein. Zunächst seien die Risiken einer Verletzung und die möglichen Folgen für die Rechte und Freiheiten natürlicher Personen in einer Risikoanalyse zu ermitteln. Dabei müssen konkret die Eintrittswahrscheinlichkeit und Schwere der ermittelten Risiken herausgearbeitet werden. In einem zweiten Schritt sei zu prüfen, ob die vom Verantwortlichen getroffenen Maßnahmen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke dieser Verarbeitung diesen Risiken angemessen sind. Dabei sei dem Verantwortlichen auch immer ein Ermessensspielraum eingeräumt. Im Falle eines Gerichtsverfahrens hat der Verantwortliche zu beweisen, dass er innerhalb dieses Spielraums geeignete Maßnahmen getroffen hat.

Die Maßnahmen seien so zu treffen, dass die Eignung durch gerichtliche Kontrolle überprüft werden könne. Eine solche Prüfung erfordere eine konkrete Untersuchung der Art und des Inhalts der vom Verantwortlichen getroffenen Maßnahmen. Es muss zudem auch die Art und Weise betrachtet werden, in der diese Maßnahmen angewandt wurden und ihrer praktischen Auswirkungen auf das Sicherheitsniveau, das der Verantwortliche in Anbetracht der mit dieser Verarbeitung verbundenen Risiken zu gewährleisten hatte.

Immaterieller Schaden bei bloßer Schadensbefürchtung

Daneben entschied der EuGH, dass die bloße Befürchtung einer missbräuchlichen Verwendung von personenbezogenen Daten als immaterieller Schaden im Sinne von Art. 82 Abs. 1 DSGVO ausreichen kann. Eine solche weite Auslegung des Schadensbegriffs sei vom Unionsgesetzgeber gewollt und wegen des hohen Schutzniveaus bei der Verarbeitung personenbezogener Daten auch angezeigt. So sei insbesondere auch der „Verlust der Kontrolle” über die personenbezogenen Daten infolge eines Verstoßes gegen die DSGVO unter den Begriff des Schadens zu fassen. Die Beweislast für die begründete Befürchtung eines solchen Schadens treffe die betroffene Person.

Fazit

Verantwortliche sollten nach diesem Urteil einmal mehr, auch zu ihrer eigenen Absicherung, darauf achten, dass sie ihre Entscheidung bzgl. des anzuwendenden Mindestniveaus technischer und organisatorischer Maßnahmen fundiert treffen und diese eindeutig und nachweisbar dokumentieren. Außerdem sollten sie technische und organisatorische Maßnahmen nachweisbar und angemessen zeitnah umsetzen und auch dies hinreichend dokumentieren, um ihren Rechenschaftspflichten nachzukommen. Zwar können Cyberattacken nicht immer erfolgreich vermieden werden, allerdings können sich betroffene Verantwortliche, aufgrund der Feststellungen des EuGH, wirksam enthaften.

Quelle:

- CURIA - Dokumente (europa.eu)

AUTORIN

Carina Richters

Co-Autorin: Pauline Rauch

Aus dem Themenspecial

Informationssicherheit
im Krankenhaus

Kontakt

Contact Person Picture

Jürgen Schwestka

Diplom-Kaufmann, CISA, Zertifizierter IT-Sicherheitsbeauftragter, Zertifizierter IT-Security-Auditor, IT-Auditor IDW, Zertifizierter Business Continuity Manager

Partner

+49 911 9193 3508

Anfrage senden

WIR BERATEN SIE GERN!

NEWSLETTER

Newsletter Gesundheits- und Sozialwirtschaft

Unternehmer-briefing

Kein Themenspecial verpassen mit unserem Newsletter!