Das urteilte der Europäische Gerichtshof (EuGH) am Donnerstag. Mehrere Personen hatten die bulgarische Nationale Agentur für Einnahmen (NAP) auf Ersatz des immateriellen Schadens verklagt, nachdem wegen Cyberangriffs auf das IT-System der NAP personenbezogene Daten von Millionen von Menschen im Internet veröffentlicht worden sein sollen.
Das bulgarische Oberste Verwaltungsgericht legte dem Europäischen Gerichtshof mehrere Fragen zur Auslegung der Datenschutz-Grundverordnung (DSGVO) zur Vorabentscheidung vor. Der EuGH entschied, dass Gerichte bei Datenlecks konkret beurteilen müssen, ob die Maßnahmen, die der für die Datenverarbeitung Verantwortliche ergriffen hat, geeignet waren. Die Beweislast dafür liegt beim Verantwortlichen, so das Gericht. Er kann gegenüber den Personen, denen ein Schaden entstanden ist, ersatzpflichtig sein – es sei denn, er weist nach, dass er in keinerlei Hinsicht für den Schaden verantwortlich ist.
Allerdings könne allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, einen „immateriellen Schaden“ darstellen, so der EuGH.