Cyberkriminalität: Allein die Befürchtung eines möglichen Datenmissbrauchs kann einen immateriellen Schaden darstellen
Mit seinem Urteil vom 14.12.2023 in der Rs. C-340/21 hat der EuGH entschieden, dass bereits die Befürchtung eines möglichen Missbrauchs personenbezogener Daten für sich genommen einen immateriellen Schaden darstellen kann.
Die bulgarische Nationale Agentur für Einnahmen (NAP) ist dem bulgarischen Finanzminister unterstellt. Sie ist u. a. mit der Feststellung, Sicherung und Einziehung öffentlicher Forderungen betraut. In diesem Rahmen ist sie für die Verarbeitung personenbezogener Daten verantwortlich. Am 15.7.2019 wurde in den Medien darüber berichtet, dass in das IT-System der NAP eingedrungen worden sei und infolge dieses Cyberangriffs in diesem System enthaltene personenbezogene Daten von Millionen von Menschen im Internet veröffentlicht worden seien. Zahlreiche Personen verklagten die NAP auf Ersatz des immateriellen Schadens, der ihnen aus der Befürchtung eines möglichen Missbrauchs ihrer Daten entstanden sein soll. Das bulgarische Oberste Verwaltungsgericht legt dem Gerichtshof mehrere Fragen zur Auslegung der DSGVO zur Vorabentscheidung vor.
In seinem Urteil antwortet der Gerichtshof wie folgt:
1. Im Fall der unbefugten Offenlegung von bzw. des unbefugten Zugangs zu personenbezogenen Daten können die Gerichte aus diesem Umstand allein nicht ableiten, dass die Schutzmaßnahmen, die der für die Datenverarbeitung Verantwortliche ergriffen hat, nicht geeignet waren. Die Gerichte müssen die Geeignetheit dieser Maßnahmen konkret beurteilen.
2. Der Verantwortliche trägt die Beweislast dafür, dass die getroffenen Schutzmaßnahmen geeignet waren.
3. Im Fall der unbefugten Offenlegung von bzw. des unbefugten Zugangs zu personenbezogenen Daten durch „Dritte“ (wie Cyberkriminelle) kann der Verantwortliche gegenüber den Personen, denen ein Schaden entstanden ist, ersatzpflichtig sein, es sei denn, er weist nach, dass er in keinerlei Hinsicht für den Schaden verantwortlich ist.
4. Allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, kann einen „immateriellen Schaden“ darstellen.
(Quelle: EuGH, PM Nr. 191/23 vom 14.12.2023)
Praxistipp
Das Urteil stärkt grundsätzlich die Rechte der Verbraucher. Für die verantwortlichen Stellen wird der Nachweis im Fall eines Hackerangriffs deutlich schwieriger zu führen sein, dass ihre Schutzmaßnahmen ausreichend geeignet waren, um die Verantwortlichkeit für den Schaden zu widerlegen. Ein breiter Schadensersatzanspruch heißt für Unternehmen, dass Datenschutzverstöße vermieden werden müssen. Die Unternehmen müssen sich spätestens jetzt überlegen, wie sie die datenschutzrechtlichen Regelungen einhalten wollen. Ansonsten könnten datenschutzrechtliche Bußgelder und Schadensersatzforderungen die Kosten eines eigenen Datenschutzmanagementsys-tems schnell übersteigen.
EuGH entscheidet zur Geldbuße gegen Deutsche Wohnen SE
In seinem Urteil vom 5.12.2023 hat der EuGH in der Rs. C-807/21 (Deutsche Wohnen SE) entschieden, dass nur ein schuldhafter Verstoß gegen die DSGVO zur Verhängung einer Geldbuße führen kann.Gehört der Adressat der Geldbuße zu einem Konzern, bemisst sich die Geldbuße nach dem Jahresumsatz des Konzerns.
Das KG Berlin hatte den EuGH ersucht, die DSGVO auszulegen, und zwar im Hinblick auf die Möglichkeit nationaler Aufsichtsbehörden, Verstöße gegen diese Verordnung durch Verhängung einer Geldbuße gegen den für die Datenverarbeitung Verantwortlichen zu ahnden.
Der EuGH entscheidet, dass gegen einen für die Datenverarbeitung Verantwortlichen nur dann eine Geldbuße wegen Verstoßes gegen die DSGVO verhängt werden kann, wenn dieser Verstoß schuldhaft – also vorsätzlich oder fahrlässig – begangen wurde.
Dies ist dann der Fall, wenn sich der Verantwortliche über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte, gleichviel, ob ihm dabei bewusst war, dass es gegen die Bestimmungen der DSGVO verstößt.
Handelt es sich bei dem Verantwortlichen um eine juristische Person, ist es nicht erforderlich, dass der Verstoß von ihrem Leitungsorgan begangen wurde oder dieses Organ Kenntnis davon hatte. Vielmehr haftet eine juristische Person sowohl für Verstöße, die von ihren Vertretern, Leitungspersonen oder Geschäftsführern begangen werden, als auch für Verstöße, die von jeder sonstigen Person begangen werden, die im Rahmen ihrer unternehmerischen Tätigkeit in ihrem Namen handelt.
Die Verhängung einer Geldbuße gegen eine juristische Person als Verantwortliche darf nicht der Voraussetzung unterliegen, dass zuvor festgestellt wurde, dass der Verstoß von einer identifizierten natürlichen Person begangen wurde.
Zur gemeinsamen Verantwortlichkeit von zwei oder mehr Einrichtungen führt der Gerichtshof aus, dass diese sich allein daraus ergibt, dass die Einrichtungen an der Entscheidung über die Zwecke und Mittel der Verarbeitung mitgewirkt haben. Die Einstufung als „gemeinsam Verantwortliche“ setzt keine förmliche Vereinbarung zwischen den betreffenden Einrichtungen voraus. Eine gemeinsame Entscheidung oder übereinstimmende Entscheidungen reichen aus.
Handelt es sich jedoch tatsächlich um gemeinsam Verantwortliche, müssen diese in einer Vereinbarung ihre jeweiligen Pflichten festlegen. Schließlich muss sich die Aufsichtsbehörde bei der Bemessung der Geldbuße, wenn der Adressat ein Unternehmen ist oder zu einem Unternehmen gehört, auf den wettbewerbsrechtlichen Begriff „Unternehmen“ stützen.
Der Höchstbetrag der Geldbuße ist daher auf der Grundlage eines Prozentsatzes des gesamten Jahresumsatzes zu berechnen, den das betreffende Unternehmen als Ganzes im vorangegangenen Geschäftsjahr weltweit erzielt hat.
(Quelle: EuGH, PM Nr. 184/23 vom 5.12.2023)
Praxistipp
Die Berliner Datenschutzbeauftragte begrüßte die Entscheidung des EuGH bereits. Es bleibt abzuwarten, wie das KG Berlin mit dem Urteil verfahren wird. Eine Auslegung der §§ 30 und 130 OWiG wird unter Berücksichtigung der EuGH-Urteile erfolgen. Unternehmen sollten im Bereich des Datenschutzes von der Leitungsebene aus so gesetzeskonform wie möglich organisiert sein und entsprechend handeln können.
Regulierung von KI: DSK fordert klare Verantwortlichkeit für Hersteller und Betreiber
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) fordert, dass in dem beabsichtigten europäischen Gesetz über Künstliche Intelligenz (KI-Verordnung) eine sachgerechte Zuweisung von Verantwortlichkeiten entlang der gesamten KI-Wertschöpfungskette vorgenommen wird. Nur so können die Grundrechte der Betroffenen geschützt werden, deren Daten durch KI verarbeitet werden. Jede Rechtsunsicherheit in diesem Feld würde den Bürgerinnen und Bürgern, aber insbesondere auch den kleinen und mittleren Unternehmen schaden. Denn sie müssen die Hauptlast der rechtlichen Verantwortung tragen. Die Unternehmen brauchen klare Regeln, damit die Risiken von KI beherrschbar bleiben. Die kommende KI-Verordnung sollte daher für alle Beteiligten – auch für Hersteller und Anbieter von Basismodellen – festlegen, welche Anforderungen sie erfüllen müssen. Eine einseitige Verschiebung der rechtlichen Verantwortung auf die letzten Stufen der Wertschöpfungskette wäre datenschutzrechtlich und wirtschaftlich die falsche Wahl. Nur mit der notwendigen Vertrauenswürdigkeit wird es eine hohe Akzeptanz für die mit KI verbundenen Chancen geben.
(Quelle: PM DSK vom 29.11.2023)
Praxistipp:
Beim Einsatz von KI für die Verarbeitung personenbezogener Daten ist es problematisch den KI-Betreibern und KI-Anwendern die vollständige Verantwortung für die Beherrschung der Risiken aufzubürden. Eine korrekte Risikoidentifikation muss den Betreibern und Anwendern möglich sein.
Gesetz über künstliche Intelligenz: Rat und Parlament der EU einigen sich über weltweit erste Regelung von KI
Der Ratsvorsitz und die Verhandlungsführer des Europäischen Parlaments haben eine vorläufige Einigung über die vorgeschlagenen harmonisierten Vorschriften für künstliche Intelligenz – das sogenannte KI-Gesetz – erzielt. Mit dem Verordnungsentwurf soll gewährleistet werden, dass KI-Systeme, die auf dem EU-Markt in Verkehr gebracht und in der EU verwendet werden, sicher sind und die Grundrechte und die Werte der EU wahren. Ziel dieses wegweisenden Vorschlags ist es auch, Investitionen und Innovationen im KI-Bereich in Europa anzuregen.
Das KI-Gesetz ist eine legislative Leitinitiative und hat das Potenzial, die Entwicklung und Verbreitung sicherer und vertrauenswürdiger KI durch private und öffentliche Akteure im gesamten EU-Binnenmarkt zu fördern. Je höher das Risiko, desto strenger die Vorschriften. Als weltweit erster Legislativvorschlag dieser Art könnte er – wie schon die DSGVO – zu einem globalen Standard für die Regulierung von KI in anderen Rechtsräumen werden und so dem europäischen Ansatz bei der Regulierung von Technologien auf globaler Ebene größere Geltung verschaffen.
- Vorschriften für KI-Systeme mit allgemeinem Verwendungszweck und beträchtlichen Auswirkungen, die zukünftig systemische Risiken verursachen können, sowie für Hochrisiko-KI-Systeme
- ein überarbeitetes Governance-System mit bestimmten Durchsetzungsbefugnissen auf EU-Ebene
- eine Erweiterung der Liste der Verbote, jedoch mit der Möglichkeit, den Strafverfolgungsbehörden vorbehaltlich bestimmter Schutzvorkehrungen zu erlauben, im öffentlichen Raum biometrische Fernidentifizierung einzusetzen
- besser geschützte Rechte, indem die Betreiber von Hochrisiko-KI-Systemen verpflichtet werden, vor der Inbetriebnahme eines KI-Systems eine Folgenabschätzung in Bezug auf die Grundrechte durchzuführen.
(Quelle: Rat der EU, PM Nr. 986/23 vom 9.12.2023)
Praxistipp
Die Geldbußen für Verstöße gegen das KI-Gesetz wurden als Prozentsatz des weltweiten Jahresumsatzes des zuwiderhandelnden Unternehmens im vorangegangenen Geschäftsjahr bzw. als im Voraus festgelegter Betrag festgelegt, je nachdem, welcher Betrag höher ist. Das wären 35 Mio. € bzw. 7 % für Verstöße im Zusammenhang mit verbotenen KI-Anwendungen, 15 Mio. € bzw. 3 % für Verstöße gegen die im KI-Gesetz vorgeschriebenen Verpflichtungen und 7,5 Mio. € bzw. 1,5 % für die Bereitstellung von Fehlinformationen. Für KMU und Start-ups sind jedoch verhältnismäßigere Obergrenzen vorgesehen.
Zurück
