Dem am 14. Dezember 2023 in der Rechtssache C-340/21 zu entscheidenden Fall (curia.europa.eu/juris/documents.jsf?num=C-340/21) lag ein Sachverhalt zu Grunde bei dem unbefugter Zugang zum einem IT‑System erfolgt war und dass infolge dieses Cyberangriffs in diesem System enthaltene personenbezogene Daten im Internet veröffentlicht worden waren. Betroffene begehrten daraufhin Schadensersatz.
In seinem Urteil führt der Gerichtshof zunächst wie folgt aus:
1. im Fall der unbefugten Offenlegung von bzw. des unbefugten Zugangs zu personenbezogenen Daten können die Gerichte aus diesem Umstand allein nicht ableiten, dass die Schutzmaßnahmen, die der für die Datenverarbeitung Verantwortliche ergriffen hat, nicht geeignet waren. Die Gerichte müssten die Geeignetheit dieser Maßnahmen konkret beurteilen.
2. der Verantwortliche trägt die Beweislast dafür, dass die getroffenen Schutzmaßnahmen geeignet waren.
3. Im Fall der unbefugten Offenlegung von bzw. des unbefugten Zugangs zu personenbezogenen Daten durch „Dritte“ (wie Cyberkriminelle) kann der Verantwortliche gegenüber den Personen, denen ein Schaden entstanden ist, ersatzpflichtig sein, es sei denn, er weist nach, dass er in keinerlei Hinsicht für den Schaden verantwortlich ist.
4. Allein der Umstand, dass eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, dass ihre personenbezogenen Daten durch Dritte missbräuchlich verwendet werden könnten, kann einen „immateriellen Schaden“ darstellen (Auszug aus der PM des EuGH).