Bei der GIS gab es im Jahr 2020 einen Datenskandal. Millionenfach wurden Daten von einem Hacker abgegriffen, und vor Kurzem im Darknet zum Verkauf angeboten.
Was ist die Folge für die betroffenen Personen?
Der Standard hat umfassend berichtet, dass Rechtsanwälte in Österreich das Datenleck der GIS zum Anlass nehmen, Schadenersatzklagen einzubringen, und es findet sich sogar eine Presseaussendung der Rechtsanwälte im Web.
Es ist verständlich, dass es nicht besonders wünschenswert ist, dass bestimmte personenbezogene Daten von vielen, vielen Österreicher*Innen im Internet (Darknet) zum Verkauf angeboten werden, nachdem durch einen Hackerangriff diese Daten bereits im Juni 2020 "erbeutet" wurden.
Doch, ob ein Anspruch auf Schadenersatz besteht, ist mE höchst fraglich, da die betroffenen Personen auch tatsächlich einen Schaden erleiden müssen, der durch den Verstoß gegen die DSGVO (Art 82 DSGVO) oder das DSG (§ 29 DSG) entsteht.
Da schon zwischen dem schadenstiftenden Ereignis (Juni 2020) und dem aktuellen Bekanntwerden des Verkaufsanbotes der Daten (2022) eine sehr große Zeitspanne vergangen ist, müsste es mE schon konkrete Auswirkungen des Hackerangriffes und der damit erbeuteten Daten gegeben haben. Wenn es zB zu Identitätsdiebstählen in konkreten Fällen gekommen ist, die auf den Hackerangriff zurückzuführen sind, dann kann man von einem ersatzfähigen Schaden ausgehen.
Wenn es jedoch zu keinen negativen Folgen für die betroffenen Personen gekommen ist, dann ist mE auch kein Anspruch auf Schadenersatz gegeben.
Diesbezüglich hat der Generalanwalt im EuGH-Verfahren C-300/21 die Latte relativ hoch gelegt, und ausgeführt, dass allein der Rechtsverstoß noch keinen Schaden darstellt.
Auch die DSB hat die diesbezüglichen Verfahren nach der erfolgten Meldung der Datenschutzverletzung eingestellt, und die GIS hat mittels Pressemitteilung die "Öffentlichkeit" über den Vorfall in Kenntnis gesetzt. Die Mitteilung selbst findet sich noch auf der GIS-Homepage im Archiv: Verdacht auf Datendiebstahl bei GIS – Gebühren Info Service GmbH
Aus den derzeitigen Stellungnahmen ist nicht erkennbar, ob durch diese Pressemitteilung die Meldung der Datenschutzverletzung an die betroffenen Personen iSd Art 34 DSGVO erfolgt ist, die nur bei einem "hohen Risiko für die Rechte und Freiheiten der betroffenen Personen" erfolgen muss, oder die DSB die Ansicht vertreten hat, dass eine derartige direkte (oder eben indirekte) Information an die betroffenen Personen nicht notwendig war, das das Mindestmaß für das "hohe Risiko" nicht überschritten war.
Kommentar schreiben
Jörg Winter (Sonntag, 09 April 2023 04:01)
Bei einer Beschwerde an die DSB - nach welchem Paragraph/Art. fand die Verletzung statt? Und was schreibt man da hinein?