Ein EuGH-Urteil macht es leichter, Schadenersatz „wegen Angst vor Daten-Hacks“ zu verlangen.

TIPP: Sehen Sie die TOMs nicht als negativen Mehraufwand, sondern als Instrument, um sich vor ungerechtfertigten Behauptungen bzw. Schadenersatzforderungen verteidigen zu können!

Seit bald 6 Jahren gilt die DSGVO, die Datenschutzgrundverordnung, die die Handlungsmöglichkeiten der Unternehmen sehr einschränkt (etwa kein WhatsApp, kein Google Analytics, Google Fonts, usw. usf.) und den Unternehmen die Pflicht auferlegt, alles Erdenkliche zu unternehmen, um die Daten der Kunden, Geschäftspartner, Mitarbeiter, etc. zu schützen.

Und ebenso lange erinnern wir Sie an diese Pflichten, um Problembewusstsein aufzubauen und ein rechtskonformes Handeln in unserer Branche zu erreichen. Hier ein paar Beiträge, die Sie an problematisches Tun erinnern sollten:

• https://ivva.at/fuenf-jahre-dsgvo-ueberpruefen-sie-alle-unterlagen-nl-16-23/
• https://ivva.at/dsgvo-millionen-windows-nutzer-erhalten-keine-updates-mehr-nl-37c-22/
• https://ivva.at/dsgvo-anwalt-fordert-190-euro-wegen-google-fonts-zurecht-nl-23-22/
• https://ivva.at/bsi-warnt-trotz-klage-erneut-vor-kaspersky-handlungsbedarf-aufgrund-der-dsgvo-nl-21b-22/
• https://ivva.at/fragen-zu-kommunikationstools-und-dsgvo-nl-14-22/
• https://ivva.at/dsgvo-strafen-auf-rekordhoehe-nl-8-22/
• https://ivva.at/dsgvo-sind-ihre-toms-noch-aktuell-nl-15-21/

Der Sukkus aus all diesen Beiträgen ist:

Bitte verhalten Sie sich rechtskonform, da …
… sonst die Datenschutzbehörde eine Kontrolle durchführt oder sogar eine Strafe ausspricht.

… da sonst Klagen von Konkurrenten drohen, mit dem Argument, dass sie sich an die DSGVO halten, aber Sie womöglich nicht. Also der Wettbewerb verzerrt würde.

… und als dritte Gefahr droht, dass Sie von Kunden geklagt werden, weil Sie mit deren Daten nicht rechtskonform umgegangen seien.

Der letzte Punkt wurde knapp vor Weihnachten noch „leichter“ und damit wahrscheinlicher. Wir haben soeben ein Urteil, das der Europäische Gerichtshof am 14. 12. 2023 getroffen hat, studiert. Dieses können Sie hier herunterladen: EuGH-Urteil C-340_21 vom 14.12.2003

Besonders interessant erscheinen uns die letzten beiden Absätze in dem 19-seitigen Urteil:

5. Art. 82 Abs. 3 der Verordnung 2016/679 ist dahin auszulegen, dass

der Verantwortliche von seiner nach Art. 82 Abs. 1 und 2 dieser Verordnung bestehenden Pflicht zum Ersatz des einer Person entstandenen Schadens nicht allein deshalb befreit werden kann, weil dieser Schaden die Folge einer unbefugten Offenlegung von bzw. eines unbefugten Zugangs zu personenbezogenen Daten durch „Dritte“ im Sinne von Art. 4 Nr. 10 dieser Verordnung ist, wobei der Verantwortliche dann nachweisen muss, dass er in keinerlei Hinsicht für den Umstand, durch den der betreffende Schaden eingetreten ist, verantwortlich ist.

6. Art. 82 Abs. 1 der Verordnung 2016/679 ist dahin auszulegen, dass

allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen diese Verordnung befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, einen „immateriellen Schaden“ im Sinne dieser Bestimmung darstellen kann.

Der letzte Absatz bedeutet einfach gesagt, dass der Europäische Gerichtshof bestätigt, dass man Schadenersatz für die „Befürchtung, dass durch einen Hacker-Angriff die eigenen Daten missbräuchlich verwendet werden können“ verlangen kann.

Und der davorstehende Absatz sagt vereinfacht aus, dass man diese Schadenersatz-Ansprüche als Datenverantwortlicher nur dann abwehren kann, wenn man alles getan hat, um etwa den Hacker-Angriff abzuwehren. Daher möchten wir Sie auch heute – wie üblich in unseren entsprechenden Beiträgen – an die TOMs erinnern, also die technisch organisatorischen Maßnahmen, die Sie einhalten müssen und die Ihnen helfen sollen, die personenbezogenen Daten zu schützen, Hacker-Angriffe zu vermeiden, etc.

Was genau diese TOMs sind, und was man unter Zutritts-, Zugangs- und Zugriffskontrolle aber auch die Eingabe-, Weitergabe-, Auftrags-, Verfügbarkeits- und Datentrennungskontrolle versteht, das haben wir in diesem Beitrag einfach dargestellt:

https://ivva.at/dsgvo-sind-ihre-toms-noch-aktuell-nl-15-21/

Vereinfacht gesagt, es geht hier um wichtige Maßnahmen, die Sie durchführen müssen, um Datenschutz und Datensicherheit herstellen zu können.

Wer keine TOMs vorweisen kann oder wem grobe Missstände nachgewiesen werden können, wird vor der Behörde keine Gnade erwarten können.

Wie das EuGH-Urteil beweist, wird es künftig noch einfacher werden, dass man von Ihnen Schadenersatz verlangt. Sehen Sie die TOMs daher nicht als negativen Mehraufwand, sondern als Instrument, um sich vor ungerechtfertigten Behauptungen bzw. Schadenersatzforderungen verteidigen zu können.

Und ganz zum Schluss noch ein Link zu einem Leitfaden, der ebenfalls die DSGVO-Sicherheits-Maßnahmen sehr genau beschreibt: Hier zum Herunterladen: https://content.wko.at/epaper/Leitfaden-Sicherheitsmassnahmen-DSGVO/#18

Beste Grüße vom IVVA Team und Mag. Novotny