Digital sicher in eine nachhaltige Zukunft E-Book

Inhaltsverzeichnis

Vorwort

Programmbeirat

Autorenverzeichnis

Stichwortverzeichnis

Politik und Gesellschaft

Bianca Kastl, Sabine Griebsch, Dialog für Cyber-Sicherheit:

IT-Sicherheit im Dialog mit der Gesellschaft weiterentwickeln

Anne Leßner, Dr. Tobias Rothkegel, Osborne Clarke Rechtsanwälte Steuerberater PartmbB:

Verbands- und Massenklagen nach IT Incidents – Umsetzung der Verbandsklagerichtlinie in Deutschland im Zusammenspiel mit der DSGVO

Malte Kuckel, Hessisches Ministerium des Innern und für Sport, Wiesbaden:

Zukunft gestalten – Cybersicherheitsforschung in Hessen

Digitale Signaturen & Authentifizierung

Axel Sandot, Klaus Schmeh, Eviden (an atos business):

Aufbau einer PKI für die Fahrzeug-zu-Infrastruktur-Kommunikation: Ein Praxisbericht

Dan Butnaru, Klaus Schmeh, Eviden (an atos business):

Digitale Signaturen in der Produktion eines internationalen Pharmakonzerns: Eine Case Study

Benedikt Bastin, Rheinische Friedrich-Wilhelms-Universität Bonn:

Vergleich von Multi-Faktor-Authentisierungsverfahren

Threat Intelligence

Jan Merlin Stottmeister, Hochschule Niederrhein, University of Applied Sciences, Mönchengladbach:

Teilautomatisierung der Recherche/Aggregation nach IT-Sicherheitsinformationen durch Threat Intelligence Informationen aus dem Clearnet, Deepweb und Darknet

Dr. Timo Steffens, Dr. Christian Nawroth, Bundesamt für Sicherheit in der Informationstechnik, Bonn:

A Technical Analysis Process for Multi-Stakeholder Attribution of Cyber-Operations

Julian-Ferdinand Vögele, Insikt Group, Recorded Future:

Die Jagd nach dem Unbekannten: Effektiver Threat-Hunting-Prozess mit Beispielen aus dem Ukraine-Konflikt

Kryptografie

Dr. Guido Frank, Dr. Nico Klein, Dr. Joanna Meinel, Bundesamt für Sicherheit in der Informationstechnik, Bonn:

Sicherheitsanforderungen an Kommunikationsverbindungen effizient überprüfen

Dr. Kaveh Bashiri, Dr. Stephan Ehlen, Dr. Heike Hagemeier, Dr. Tobias Hemmert, Dr. Stavros Kousidis, Bundesamt für Sicherheit in der Informationstechnik, Bonn:

Aktuelle Entwicklungen zu quantensicherer Kryptografie

Alexander Wagner, Felix Oberhansl, Marc Schink, Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC), München:

Post-Quantum Secure Boot mit hashbasierten Signaturen

Cyber-Resilienz

Inge van der Beijl (M. Sc.), Sophie van Hoof (B. Sc.), Gerine Lodder (Ph. D.), Eileen Walther (M. Sc.), Northwave Cyber Security:

Auf den Angriff folgt das Trauma – Die psychischen Auswirkungen von Ransomware-Attacken

Stefan Hessel, Christoph Callewaert, Reusch Rechtsanwaltsgesellschaft mbH, Saarbrücken:

Die geplante EU-Verordnung für einen Cyber Resilience Act – Worauf müssen sich Unternehmen einstellen?

Jon Christiansen, Dominik Schelle, Mandiant (part of Google Cloud):

Emulation von destruktiven Cyberangriffen als Teil von Threat Intelligence basierten Sicherheitstests

Sichere IT-Infrastrukturen

Ulrich Kohn, Uli Schlegel, Dr. Helmut Grießer, Dr. Tobias Fehenberger, Adva Network Security GmbH, Berlin:

Warum Zero Trust Architekturen ohne vertrauenswürdige Netze verwundbar sind

Nicolas Frinker, Genua GmbH; Steffen Liebergeld, Dr. Andreas Otto, Kernkonzept GmbH; Mario Frank, Mario Egger, Universität Potsdam:

Eine vertrauenswürdige, sichere Public Cloud – Utopie oder Realität?

Nils Greinert, Marie-Therese Perschmann, Christian Stengel, Dr. Friedrich Tönsing, Deutsche Telekom Security GmbH:

Ready! Steady! GoLive! – Die größten Herausforderungen beim Aufbau des OPTIMOS-TSMS

Kleine und mittlere Unternehmen

Marc Dönges, Julian Rupp, Der Mittelstand. BVMW e.V., Berlin:

Mehr IT-Sicherheit in kleinen und Kleinstunternehmen mit dem neuen Beratungsstandard DIN SPEC 27076

Digitale Identitäten

Holger Funke, secunet Security Networks AG; Marie-Therese Perschmann, Christian Stengel, Dr. Friedrich Tönsing, Deutsche Telekom Security GmbH:

Kein Standard – oder was? Standardisierung von Sicherheit auf Smartphones aus dem Blickwinkel eines Trusted-Service-Management-Systems

Luise Dorenbusch, Stadt Leipzig:

Vertrauensniveaubestimmung in der kommunalen Praxis

Dr. Dirk Woywod, Konrad Degen, Verimi GmbH, Berlin; Dr. Torsten Lodderstedt, Yes IDP GmbH, Berlin:

OpenID for Verifiable Credentials (OpenID4VCs) Anwendung mit einer ID-Wallet und kombinierten ID-Daten des nPA und eines Covid19-Zertifikats

Cyber-Sicherheit für die Wirtschaft

Thorsten Eller, Hochschule Aalen; Ramon Rank, Industrie- und Handelskammer Ostwürttemberg:

Cyberawareness - Sensibilisierung von Cybercrime auf Geschäftsführungsebene in mittelständischen produzierenden Unternehmen

Thomas Kochanek, Marc Sparwel, KonzeptAcht GmbH:

Open Source Security Information and Event Management (SIEM) im Rahmen von KRITIS, IT- Sicherheitsgesetz und Good Practices

Frank Cremer, Prof. Dr. Michael Fortmann, Prof. Dr. Barry Sheehan, Prof. Dr. Martin Mullins, Technische Hochschule Köln / University of Limerick:

Cyber-Versicherung – Ein Einblick in die Ausschlüsse des deutschen Cyber-Marktes

Online Wahlen und Cyber Security Standards

Jennifer Breuer, Sebastian Palm, Bundesamt für Sicherheit in der Informationstechnik, Bonn:

Herausforderung bei der Standardisierung von Sicherheitsanforderungen für Online-Wahlen

Jennifer Breuer, Sebastian Palm, Bundesamt für Sicherheit in der Informationstechnik, Bonn; Dr. Jochen Rill, Alter Solutions Deutschland GmbH:

Fallstricke bei der Implementierung von Online-Wahlen

Dr. Ingo Hanke, SMA Solar Technology AG, Niestetal:

Auch Hacker lesen Standards

Informationssicherheit als Voraussetzung für eine sichere, erfolgreiche und nachhaltige Digitalisierung

Die Themen in der Cyber-Sicherheit, die Expertinnen und Experten ebenso bewegen wie institutionelle und private IT-Nutzerinnen und -Nutzer, sind vielfältig. Die Bedrohungslage im Bereich der Cyber-Kriminalität ist anhaltend hoch und die Anforderungen an eine sichere Digitalisierung nehmen stetig zu.

Den Weg in eine digitalisierte Gesellschaft können wir gehen, wenn Cyber-Sicherheit unsere ständige Begleiterin ist: Sie ist die Voraussetzung für eine erfolgreiche, sichere und nachhaltige Digitalisierung und die Verfügbarkeit kritischer Dienstleistungen, sie gewährleistet Datensicherheit und Datenschutz. In letzter Konsequenz sorgt sie für das Funktionieren von Staat, Wirtschaft und Gesellschaft.

Mit dem 19. Deutschen IT-Sicherheitskongress hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) erneut Entscheidungsträgerinnen und Entscheidungsträgern aus Wirtschaft, Gesellschaft und Verwaltung sowie IT-Expertinnen und -Experten eine Plattform geboten, um sich zu aktuellen IT-Sicherheitsthemen auszutauschen. Unter dem Blickwinkel des diesjährigen Mottos „Digital sicher in eine nachhaltige Zukunft“ standen in 28 Fachvorträgen, Keynotes und Podiumsdiskussionen Themen wie Threat Intelligence, Digitale Signaturen und Kryptografie im Fokus.

Lassen Sie uns die beim Kongress gesetzten Impulse aufgreifen und umsetzen – mit dem Ziel, gemeinsam eine sichere Digitalisierung in Deutschland zu gestalten!

Ich wünsche Ihnen eine interessante Lektüre.

Ihr Dr. Gerhard Schabhüser Vizepräsident des Bundesamts für Sicherheit in der Informationstechnik

Zu den vom BSI berufenen Mitgliedern des Programmbeirates gehören:

Dr. Jens Bender – Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Dr. Zinaida Benenson – Friedrich-Alexander-Universität Erlangen-Nürnberg

Benjamin Brake – Bundesministerium für Digitales und Verkehr

Dr. Daniela Brönstrup – Bundesministerium für Wirtschaft und Klimaschutz

Prof. Dr. Christoph Busch – ATHENE-Darmstadt

Susanne Dehmel – Bitkom e.V.

Dr. Alexandra Gilsbach – TÜV-Verband

Dr. Sven Herpig – Stiftung Neue Verantwortung

Prof. Dr. Hartmut Ihne – Hochschule Bonn-Rhein-Sieg

Michael Jochem – Robert Bosch GmbH

Dr. Johannes Kaiser – Deutsche Bundesbank

Prof. Dr. Stefan Katzenbeisser – Universität Passau

Prof. Dr. Klaus-Peter Kossakowski – Hochschule für Angewandte Wissenschaften Hamburg

Prof. Dr. Anja Lehmann – Hasso-Plattner-Institut

Prof. Dr. Michael Meier – Rheinische Friedrich-Wilhelms-Universität Bonn

Dr. Gisela Meister – Eurosmart

Dr. Kim Nguyen – D-Trust GmbH / Bundesdruckerei

Prof. Dr. Ilia Polian – Universität Stuttgart

Prof. Dr. Reinhard Posch – Technische Universität Graz

Frank Rieger – Chaos Computer Club

Dr. Jochen Rill – Alter Solutions Deutschland

Oberst Guido Schulte – Bundeswehr

Thomas Tschersich – Deutsche Telekom AG / Deutsche Telekom Security GmbH

IT-Sicherheit im Dialog mit der Gesellschaft weiterentwickeln

Bianca Kastl1, Sabine Griebsch2

Kurzfassung:

Der Dialog mit „Vertretern aus Zivilgesellschaft“ wurde schon 2021 in der Cybersicherheitsstrategie3 der damaligen Regierung als Ziel benannt. Im Koalitionsvertrag der neuen Regierung steht: „Wir wollen eine neue Kultur der Zusammenarbeit etablieren, die auch aus der Kraft der Zivilgesellschaft heraus gespeist wird.“4 Schließlich steht die „partnerschaftliche Zusammenarbeit“ auch auf der 2022 veröffentlichten Cybersicherheitsagenda 5. Aber was heißt das eigentlich konkret, und wie kann dies in die Praxis umgesetzt werden. Und was soll schließlich dabei herauskommen? Vor dem Hintergrund des seit 2016 laufenden Dialogprojekts des Bundesamts für Sicherheit der Informationstechnik (BSI) wird im vorliegenden Beitrag ausgeführt, wie ein solcher Dialog ausgestaltet werden kann, und was dabei für Ergebnisse herauskommen können. Ergebnisse für eine sichere Digitalisierung, und vielleicht gar für mehr Cyber-Resilienz in der Gesellschaft.

Stichworte: Bug Bounty, BuntesBugBounty, Denkwerkstatt, Dialog, Digitale Gesellschaft Smart und Sicher, Hackerparagraf, Multistakeholderdialog, Workstreams

1. Vom Diskurs zum Dialog

Mit der fortschreitenden Digitalisierung in Unternehmen, Kritischer Infrastruktur und öffentlicher Verwaltung nehmen die Risiken und die Auswirkungen etwaiger Schäden auf Zivilgesellschaft, Wirtschaft und Infrastruktur stetig zu.

Von IT-Verantwortlichen wird Cyber-Sicherheit als komplex, anspruchsvoll und kostenintensiv wahrgenommen. Potenzielle wirtschaftliche Schäden, die aufgrund von Betriebsunterbrechungen, etwaigen Kosten für Datenwiederherstellungen, IT-Forensik und Schadensersatzforderungen auftreten können, lassen sich durchaus kalkulieren. Mit Blick auf die bekanntgewordenen Sicherheitsvorfälle der Mitbewerber, wird eine Notwendigkeit gesehen.

Andere Schäden, etwa ein wochen- oder gar monatelang andauernder Ausfall von Verwaltungsdiensten, bleiben hingegen abstrakt, da es bislang kaum möglich war belastbare Zahlen zu erheben. Diese Vorfälle treffen jedoch alle Anspruchsgruppen einer Behörde, damit eine Vielzahl von Menschen, teils existenziell, und beschädigen tiefgreifend und nachhaltig das Vertrauen in die Funktionsfähigkeit von Staat und Verwaltung.

Zusätzlich können IT-Verantwortliche auf konkrete Warnungen und gefundene Schwachstellen oftmals selbst nach einer eingehenden Risikobewertung nicht adäquat reagieren, weil Zuständigkeiten unklar sind oder Administratoren und Fachverfahrenshersteller schlicht keine Ressourcen zur Verfügung stellen können, den Fehler zeitnah zu beheben, oder weil die Dauer der Maßnahmen als erheblich oder unwirtschaftlich eingeschätzt wird.

Eine zentrale Frage im Themenfeld der Cyber-Sicherheit ist daher, wie man erfolgreich und von Beginn an zu einem stärkeren Problembewusstsein in den verschiedenen gesellschaftlichen Ebenen kommen kann, sodass Cyber-Sicherheit künftig als eine gesamtgesellschaftliche Aufgabe von höchster Priorität gesehen wird. Ziel muss es sein, in der Breite ein Umdenken hin zu einer angemessenen Priorisierung und zielführenden Zuordnung von Ressourcen für sichere digitale Infrastrukturen in der Entwicklung. Implementierung und Konfiguration von Software und Hardware zu bewirken.

Als Teil der Bemühungen, den Diskurs über IT-Sicherheit zu unterstützen und dabei auch den Austausch zwischen verschiedenen Stakeholdern voranzutreiben, initiierte das Bundesamt für Sicherheit in der Informationstechnik im Jahr 2016 das Projekt „Digitale Gesellschaft Smart und Sicher“6. Als innovativ wurde der intensive Austausch zwischender organisierten Zivilgesellschaft und dem BSI wahrgenommen. In einem Austausch über die Herausforderungen formulierten die Multiplikatoren die Bedarfe der Gesellschaft. Dies führte zu einem zielgerichteten Transfer von IT-Sicherheitswissen in die Zivilgesellschaft..

Im darauffolgenden Projekt „Institutionalisierung des gesellschaftlichen Dialogs" wurde erarbeitet, wie man den Dialog, der bislang in Form von Denkwerkstätten stattgefunden hatte, ausbauen und verstetigen kann. Die Lösung lag in einem Arbeitsmodell, das die Dialogveranstaltungen um eine Arbeitsphase ergänzt, in der die Teilnehmenden gemeinsam an ihren Themen arbeiten können und so ihre verschiedenen Perspektiven, sowie ihre unterschiedlichen Expertisen einbringen können. Der Beginn des „Dialogs für Cyber-Sicherheit“.7

2. Vom Reden zum Handeln kommen

Die Digitalisierung steht für schnell fortschreitende, technische Innovationen, die auf unterschiedliche Weise mit dem Thema Cyber-Sicherheit verknüpft sind. Da sie jeden einzelnen betrifft, ist es nur zielführend alle gesellschaftlichen Gruppen und damit alle Perspektiven einzubeziehen. Das Bundesamt für Sicherheit in der Informationstechnik führt bereits seit 2016 einen partizipativ ausgerichteten gesamtgesellschaftlichen Dialog, um die Vielschichtigkeit der Perspektiven auf das Thema Cyber-Sicherheit möglichst breit und realitätsnah abzubilden. Ziel ist es, allen Beteiligten einen Austausch bzw. eine Mitwirkung auf Augenhöhe zu ermöglichen. Stakeholder profitieren vom Expertenwissen des BSI, und das BSI profitiert von der praktischen Perspektive der Stakeholder und ihrem Expertenwissen über technische Infrastrukturen und ihre Verletzlichkeiten, bis hin zur intrinsischen Motivation, sogenannter White-Hat-Hacker, also ehrenamtlicher Sicherheitsforscher:innen.

Im Februar 2021 startete der „Dialog für Cyber-Sicherheit“ als neues Projekt mit dem Auftakt der sechsten Denkwerkstatt.8

Kernstück des Dialogs ist die einmal im Jahr stattfindende „Denkwerkstatt Sichere Informationsgesellschaft“, die zuletzt vom 19. bis 20. September 2022 in Leipzig stattfand. Die Denkwerkstatt ist das Forum der Dialogpartnerinnen und - partner. Die im Zuge der Denkwerkstatt aufkommenden Fragenstellungen, Themen und Ideen bilden die Grundlage für die Aktivitäten – die Workstreams –, in denen in den darauffolgenden Monaten verschiedene Lösungsvorschläge für die Herausforderungen im Bereich der Cyber-Sicherheit erarbeitet werden.

Die Teilnehmenden am Dialog für Cyber-Sicherheit sind Vertreterinnen und Vertreter aus den Bereichen „Zivilgesellschaft“, „Wissenschaft“, „Kultur und Medien“, „Wirtschaft“ und „Staat und Verwaltung“. Sie treten untereinander sowie mit dem Bundesamt für Sicherheit in der Informationstechnik in einen intensiven Austausch.

Der Multistakeholder-Prozess wird im Auftrag des BSI durchgeführt. Meinungen und Perspektiven zum Thema Cyber-Sicherheit werden geteilt und der Dialog vorangetrieben.

Darüber hinaus wurden im Rahmen der Denkwerkstatt 2022 auch Stellvertreter:innen der verschiedenen Stakeholdergruppen gewählt, die den Prozess, ebenso wie die Vertreter:innen für einen Zeitraum von zwei Jahren, begleiten und das Dialog-Komitee bilden. Das Gremium stellt sicher, dass der Prozess transparent verläuft, interveniert. wenn nötig, und vermittelt, sobald sich Konflikte anbahnen. Das geschieht regelmäßig bei Bedarf und immer im Sinne eines partizipativen Vorgehens, das die Erwartungen der Stakeholder berücksichtigt. Der Dialog zeichnet sich durch eine Vielfalt an Kompetenzen, Wissen und Meinungen sowie die Offenheit des Prozesses für alle am Thema interessierten Personen aus.

Der Denkwerkstatt schließt sich ein mehrmonatiger Arbeitszyklus an, in dem mit Unterstützung der Geschäftsstelle an den verschiedenen Themen gearbeitet wird, die gesellschaftlichen Kräfte für mehr Cyber-Sicherheit gebündelt werden und die Zusammenarbeit zwischen dem Bundesamt für Sicherheit in der Informationstechnik und der organisierten Zivilgesellschaft forciert wird.

2.1. Von der Bestandsanalyse zum Methodenkoffer: IT-Sicherheit in die Schule bringen

Im Rahmen des ersten Projektzyklus 2021/2022 hatte sich der Workstream „Update4Schule“9 zum Ziel gesetzt, das Verständnis und die Kompetenzen von Schüler:innen in den Bereichen Informationssicherheit und Datenschutz zu erfassen.

Nach anfänglichen Recherchen wurde deutlich, dass der Wissensstand rund um diese Kompetenzen in Deutschland bislang kaum erforscht ist. Daher hat das Team, bestehend aus Expert:innen aus der Zivilgesellschaft, mit Unterstützung der Geschäftsstelle und des BSI eine empirische Studie zum Wissensstand, den Kompetenzen und der Sensibilität von Schüler:innen und Lehrer:innen in Deutschland zum Thema Cyber- und Datensicherheit durchgeführt. Die Ergebnisse der Studie zeigen auf, dass grundlegende Begrifflichkeiten und Thematiken zu Cyber- und Datensicherheit sowohl Schüler:innen als auch Lehrer:innen bekannt sind, jedoch die zugrunde liegenden – und oft komplexen – Zusammenhänge meist nicht erklärt werden können. Dies führt im Verhalten und bewussten Handeln der Befragten nicht selten dazu, dass IT-Sicherheit im Umgang mit den eigenen digitalen Geräten und Daten eine eher untergeordnete Rolle spielt. Vor allem bei den Handlungsmöglichkeiten zum Selbst- und Fremdschutz oder nach einem Cyberangriff auf das eigene Gerät weisen die Befragten Wissenslücken und Unsicherheiten hinsichtlich des Umgangs mit solchen Situationen auf. Die Teilnehmer:innen der Befragung sowie die am Workstream beteiligten Expert:innen stimmen darin überein, dass Angebote zu Cyber- und Datensicherheit in der schulischen Bildung bislang massiv unterrepräsentiert sind und technische Expertise aufgebaut werden muss. Schüler:innen und Lehrer:innen wünschen sich mehr schulische Beratungs- und Lernangebote sowie angemessene Ressourcen für die Umsetzung und den Aufbau von technisch-fachlicher Expertise in den Schulen.

An diese Erkenntnisse knüpft der Workstream „UpSchooling“ im aktuellen Projektzyklus 2022/2023 an: Ziel des Workstreams ist es, einen Beitrag zur Vermittlung und zum Erlernen eines souveränen Umgangs mit IT-Systemen für Jugendliche und junge Erwachsene im Alter zwischen 14 und 20 Jahren zu leisten. Hierfür wird u.a. ein partizipativer Workshop veranstaltet, bei dem Lernmodule eines Cyber-Sicherheit-Methodenkoffers mit den Schüler:innen inklusiv und evaluativ entwickelt und getestet werden.

Mit der Umsetzung des Workstreams „UpSchooling“ soll somit ein Beitrag zur Gestaltung der Informationssicherheit in der Digitalisierung durch Prävention und Reaktion für die Gesellschaft geleistet werden. Ein besonderer Fokus liegt auf Jugendlichen und jungen Erwachsenen, bei denen zum einen die Stärkung der Beurteilungsfähigkeit von Cyber-Sicherheitsrisiken und zum anderen die Steigerung von Lösungskompetenzen angestrebt wird. Durch die Einbindung der verschiedenen Stakeholder-Expertisen bei der Umsetzung des Workstreams wird dem Ziel des „Dialogs für Cyber-Sicherheit“ Rechnung getragen, Cyber-Sicherheit als gesamtgesellschaftliche Aufgabe zu verstehen. Der Austausch unter den Stakeholdern lädt zu einem Perspektivwechsel ein, indem die Zusammenarbeit von Vertrauen, Offenheit, Wohlwollen, Kollegialität und Fairness geprägt ist.

2.2. Bekannte Probleme gemeinsam angehen: „BuntesBugBounty“

Der zweite hier vorgestellte Workstream widmet sich dem Thema Bug-Bounty-Programme. Diese sind ein andernorts etabliertes Konzept zur systematischen Schließung von Sicherheitslücken, die stetig ein zentrales Problem für die allgemeine IT-Sicherheit darstellen.

Das zu lösende Problem ist aktuell so zu beschreiben: Wenn gutartige Hacker:innen oder Sicherheitsforscher:innen in einem Fremdsystem eine Sicherheitslücke finden und zur Behebung melden wollen, stehen diese aktuell in Deutschland vor mehreren Problemen.

Viele Unternehmen oder öffentliche Stellen haben oftmals keine Kontaktmöglichkeit für Sicherheitsforscher:innen, um vertrauensvoll und strukturiert Sicherheitslücken entgegenzunehmen.

Für Sicherheitsforscher:innen beginnt damit nach dem Finden von Sicherheitslücken ein oftmals langwieriger Prozess der Suche nach der richtigen Ansprechperson. Klar organisierte Meldeprozesse im Sinne eines sogenannten Responsible Disclosure Verfahrens haben nur sehr wenige Unternehmen oder öffentliche Stellen.

Darüber hinaus begeben sich Sicherheitsforscher:innen in Deutschland mit dem Melden von Sicherheitslücken unter Umständen in eine rechtliche Grauzone. Das ist eine Besonderheit der deutschen Rechtssituation:

Während Dänemark immerhin „lausige T-Shirts“ verschenkt für erfolgreiche Pentests ethischer Hacker10 und die Schweiz – nachdem eine Firma schon auf eigene Faust als Bug Bounty Switzerland das Problem in Angriff genommen hatte11 – Anfang August ein staatliches Programm auflegte12, gilt in Deutschland immer noch der Paragraf § 202 StGB, auch bekannt als „Hackerparagraf“, der in der Praxis Sicherheitsforschung kriminalisieren kann. Demnach macht sich strafbar, wer sich unberechtigt Zugang zu Daten verschafft, was beim Offenlegen von Sicherheitslücken in aller Regel der Fall ist, und dazu führen kann, dass ethischen Hackern statt Dankbarkeit oft eine Strafandrohung oder gar Strafanzeige entgegenbracht wird13. Da ethische Hacker und Sicherheitsforscher:innen aber einen wichtigen Beitrag für die IT-Sicherheit der gesellschaftlichen digitalen Infrastrukturen darstellen können, ist die Entwicklung eines geordneten Verfahrens, wie dies ein bundesweites Bug Bounty darstellen könnte, ein sinnvolles Ziel.

Die Vereinfachung des Meldens von Sicherheitslücken stellt somit einen gesamtgesellschaftlichen Gewinn dar und ist gewissermaßen gelebter Cybersicherheitsdialog: Digital engagierte Sicherheitsforscher:innen können mit Unternehmen oder öffentlichen Stellen in einen Dialog treten, um gemeinsam Sicherheitslücken zu schließen, die ansonsten gesamtgesellschaftlichen Schaden verursachen könnten – sei es durch Datenleaks oder erhöhtes Angriffsrisiko etwa für Ransomware-Attacken.

Dieser Dialog zwischen Sicherheitsforscher:innen und betroffenen Stellen ist nur dann zielführend möglich, wenn ein vertrauensvoller und einfacher Dialog zum Melden von Sicherheitslücken von Anfang an möglich ist. Meldewege müssen klar sein, das Verfahren muss für alle Beteiligten transparent und nachvollziehbar sein und im Idealfall wird die Arbeit der Sicherheitsforscher:innen – die diese Arbeit ja meist erst einmal unentgeltlich machen – auch finanziell mit einer kleinen Belohnung, einem Bounty, anerkannt.

Ziel des betreffenden Workstreams ist daher die Erstellung eines für Deutschland angepassten Konzepts für ein bundesweites Bug-Bounty-Programm, welches sich auf eine zuvor definierte Liste von Softwareprogrammen und -Bibliotheken fokussiert, die durch Behörden und staatliche Institutionen genutzt werden. Das Konzept soll darstellen, wie man Sicherheitsforscher:innen ermöglichen kann, rechtssicher Sicherheitslücken zu melden und zu deren Behebung beitragen und dafür Anreize in Form von Belohnungen vorsehen kann. Das BuntesBugBounty wird dabei im Wesentlichen als eine Brückentechnologie konzipiert zwischen Sicherheitsforscher:innen und betroffenen Stellen. Hierbei sind einige Herausforderungen zu meistern.

Zu den Herausforderungen des Workstreams gehören dabei sowohl technische als auch rechtliche aber auch Herausforderungen des Dialogs mit Sichereitsforscher:innen.

So muss etwa die Frage gestellt werden, inwieweit vorhandene Coordinated Vulnerability Prozesse seitens des BSI als Basis sinnvoll erweitert werden könnten oder inwieweit eine Neukonzeption notwendig wäre.

Ebenfalls geklärt werden muss der rechtliche Handlungsrahmen in Deutschland für solche Prozesse, speziell in Hinblick auf den sogenannten „Hackerparagraf“. Dazu wird die Erstellung eines Rechtsgutachtens von Seiten des Workstreams angestrebt, das klärt, wie sichere Offenlegungsprozesse für Sicherheitsforscher:innen gestaltet werden können.

Um Doppelentwicklungen mit schon bestehenden Prozessen und Bug Bounties in Deutschland und der EU zu verhindern, aber auch um Best Practices zu übernehmen, besteht der Workstream auch aus einer umfassenden Marktanalyse bestehender Bug Bounty Programme in anderen Ländern oder bei Unternehmen oder öffentlichen Stellen.

Den größten Stellenwert innerhalb des BuntesBugBounty nehmen aber partizipative Formate an, um mit Sicherheitsforscher:innen und betroffenen Stellen gemeinsam eine praktikable und von beiden Seiten akzeptierte Lösung zum Melden von Sicherheitslücken zu schaffen.

Dazu werden Interviews mit Sicherheitsforscher:innen, aber auch Expert:innen aus dem Bereich Cybersicherheit geführt, die wichtige Hinweise zur Ausgestaltung eines solchen Prozesses geben können.

Auch die Konsultation von Betreuer:innen anderer Bug Bounty Programme ist Teil des Dialogs, der für die zielführende Erstellung eines solchen Prozesses notwendig ist.

Darüber hinaus zählt zur Arbeit am BuntesBugBounty auch das Präsentieren des aktuellen Arbeitsstands auf diversen Veranstaltungen im Kontext Cybersicherheit, Sicherheitsforschung oder Netzpolitik, um auch hier ganz im Sinne des Dialogs für Cybersicherheit durch gemeinsamen Dialog die Cybersicherheit in Deutschland gemeinsam zu stärken.

2.3. Weitere Workstreams aus den Vorjahren

Bisher gab es fünf abgeschlossene Workstreams aus den Vorjahren, die eine große Bandbreite von Themen der Cybersicherheit abgedeckt haben.

So gab es einen Workstream zum „Digitalen Mindesthaltbarkeitsdatum“, der zum Ziel hatte, den Zusammenhang zwischen mangelhafter Cyber-Sicherheit bei Consumer-IoT-Geräten und ökologischer Nachhaltigkeit aufzuzeigen und konkrete Lösungsansätze und Handlungsempfehlungen zu entwickeln, die zur Verlängerung der Nutzungsdauer von IoT-Geräten unter Berücksichtigung der Cyber-Sicherheit beitragen. Er wurde von Juli 2021 bis März 2022 erarbeitet.

Der Workstream „Dos and Don’ts für nachhaltig sichere Produkte“ hatte ebenfalls die Nachhaltigkeit von sicheren digitalen Produkten zum Ziel. Er wurde im Zeitraum von Juli 2021 bis März 2022 erarbeitet. Ein Leitfaden sollte Hersteller:innen und Entwickler:innen wesentliche Kriterien für eine werteorientierte Gestaltung sicherer digitaler Produkte an die Hand geben.

Beim Workstream „Effektive IT-SecurityAwareness: Wirksam ein Bewusstsein für Risiken schaffen ” ging es von Juli 2021 bis April 2022 um die Schaffung von Security-Awareness-Maßnahmen unter Einbindung aktueller wissenschaftlicher Erkenntnisse. Im Fokus standen dabei Maßnahmen, die unterschiedliche Gruppen von Verbraucher:innen adressieren, etwa Social Engineering bei Senior:innen.

Der allererste Workstream „Update4Schule“ widmete sich von Juli 2021 bis März 2022 der empirischen Untersuchung des Bewusstseins und der Bedarfe von Schüler:innen und Lehrer:innen zum Thema Cyber- und Datensicherheit und wird im Workstream „Upschooling“ logisch weitergeführt.

3. Auf dem Weg zu einer gesellschaftlichen Zusammenarbeit

Die Beispiele zeigen das Potenzial eines Dialogs verschiedener Stakeholder.

Der Staat kann davon profitieren, mit der Zivilgesellschaft zusammenzuarbeiten, und somit können intrinsische und engagierte Kräfte entkoppelt werden, um die Gesellschaft insgesamt ein gutes Stück voranzubringen. So kann Sicherheit aus verschiedenen Perspektiven eingefordert werden. Als Ergebnis bildet sich Vertrauen in die Fähigkeiten und Fertigkeiten auf der einen Seite, aber auch in die belastbare Struktur der anderen Seite.

Die jüngste Vergangenheit hat gezeigt, dass Behörden sich mit namhaften Sicherheitsforscher:innen der Community in den konkreten fachlichen Austausch begeben, wenn diese mit konkreten Hinweisen Kontakt aufnehmen und für Rückfragen offen sich. Eigene Herangehensweisen werden hinterfragt und im Anschluss wird der Austausch gepflegt und weiter ausgebaut. Sich gemeinsam der öffentlichen Wahrnehmung zu stellen zeigt, dass die öffentliche Verwaltung sich sehr wohl bewusst ist, dass sie ihren Dienst zum Wohle der Allgemeinheit verrichtet. Daher ist es nur zielführend, den fachlichen Eintrag zu prüfen, zu bewerten, zu diskutieren und gegebenenfalls aufzunehmen.

Die Zusammenarbeit mit der Zivilgesellschaft ist ein politisches Ziel der Bundesregierung. Der Dialogprozess zeigt einen Ansatz wie eine Behörde diese Zusammenarbeit strukturiert organisieren und fruchtbar machen kann.

1 Innovationsverbund Öffentliche Gesundheit e.V. https://www.inoeg.de/

2 Dialogkomitee, Stellvertreterin der Statusgruppe „Staat und Verwaltung“ Dialog für Cyber-Sicherheit https://www.dialog-cybersicherheit.de/dialogkomitee/

3https://www.bmi.bund.de/SharedDocs/downloads/DE/veroeffentlichungen/2021/09/cybersicherheitsstrategie-2021.pdf

4https://www.bundesregierung.de/resource/blob/974430/1990812/04221173eef9a6720059cc353d759a2b/2021-12-10-koav2021-data.pdf

5https://www.bmi.bund.de/SharedDocs/downloads/DE/veroeffentlichungen/themen/sicherheit/cybersicherheitsagenda-20-legislatur.pdf

6https://www.bsi.bund.de/dok/8559272

7https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Leistungen-und-Kooperationen/Digitaler-Verbraucherschutz/Projekt-Dialog-fuer-Cyber-Sicherheit/Dialog-fuer-Cyber-Sicherheit_node.html

8https://www.dialog-cybersicherheit.de/aktuelles/

9https://www.dialog-cybersicherheit.de/storage/uploads/ws21-endprodukte/WS5%20-%20Update4Schule.pdf

10https://medium.com/pentesternepal/hacking-dutch-government-for-a-lousy-t-shirt-8e1fd1b56deb

11https://www.it-markt.ch/cybersecurity/2022-08-03/bug-bounty-switzerland-wird-strategischer-partner-der-bundesverwaltung

12https://www.admin.ch/gov/de/start/dokumentation/medienmitteilungen.msg-id-89868.html

13https://www.businessinsider.de/politik/cdu-verklagt-sicherheitsexpertin-die-zuvor-geholfen-hatte-ein-datenleck-aufzudecken-b/

Verbands- und Massenklagen nach IT Incidents – Umsetzung der Verbandsklagerichtlinie in Deutschland im Zusammenspiel mit der DSGVO

Anne Leßner, Dr. Tobias Rothkegel14

Kurzfassung:

Mit steigenden IT-Sicherheitsvorfällen steigt auch das Risiko von Data Leaks15 für Unternehmen. Aktuell müssen Unternehmen jedoch selbst bei einem massenhaften Abfluss von Kundendaten keine Massenklagen auf Schadensersatz fürchten. Dies liegt unter anderem an den Hürden, die das aktuelle prozessuale und materielle Recht und die Rechtsprechung dafür stellen. Diese Situation könnte sich bald jedoch drastisch ändern:16

Erstens wird Deutschland aufgrund der Europäischen Verbandsklagerichtlinie verpflichtet, in Zukunft Rechtsschutzmöglichkeiten zur massenhaften Durchsetzung von Schadensersatzansprüchen zu schaffen. Eine solche Verbandsklage kann es ermöglichen und attraktiv machen, dass viele von einem Data Leak betroffene Personen selbst „kleinere“ Verstöße gegen die Datenschutzgrundverordnung („DSGVO“) und den daraus entstandenen Schaden gemeinsam einklagen (lassen).

Wie erfolgreich bzw. durchschlagskräftig das neue Verbandsklagerecht sein wird, wird jedoch zweitens auch davon abhängen, ob das jeweilige Fachrecht – somit vorliegend die DSGVO – die nötigen Voraussetzungen für eine stringente Durchsetzbarkeit entsprechender Ansprüche bietet. Im Datenschutzrecht ist die Durchsetzung von Schadensersatzansprüchen (sowohl im Individual- als auch im Sammelklageverfahren) gegenwärtig noch kein Selbstläufer. Hier steht möglicherweise eine zweite große Änderung bevor, die DSGVO-Schadensersatzansprüche einfacher durchsetzbar machen könnte: Der Europäische Gerichtshof („EuGH“) wird in naher Zukunft entscheidende Rechtsfragen klären, die – je nach Verfahrensausgang – mehr DSGVO-Klageverfahren den Weg ebnen könnten. Sollte dies eintreten, steht zu erwarten, dass in Zukunft sowohl Verbände (etwa Verbraucherschutzorganisationen) als auch kommerzielle Anbieter (etwa Legal-Tech-Startups) die massenhafte Durchsetzung von Schadensersatzansprüchen im Nachgang zu Data Leaks verfolgen werden.

Beides zusammen würde die Risikolandschaft im Zusammenhang mit IT-Security für datenverarbeitende Unternehmen gänzlich neu sortieren. Insbesondere Unternehmen, die massenhaft personenbezogene Daten von Verbraucher-Kunden verarbeiten (d. h. B2C-Geschäft verfolgen) wären somit gezwungen, noch stärkeren Fokus auf IT-Sicherheit sowie den Umgang mit Data Leaks und anderen IT-Incidents (sowie die Dokumentation derartiger Bestrebungen) zu legen.

Stichworte: Data Leaks, Datenschutz, DSGVO, Europarecht, Gruppenklage, Haftungsrisiken, kollektiver Rechtsschutz, Massenklage, Massenschadensersatz, Sammelklage, Verbandsklage, Verbandsklagerichtlinie, Verbraucherrechte, Verbraucherschutz

1. Hintergrund und Ziel des Beitrags

Bei Data Leaks können die personenbezogenen Daten vieler Menschen gleichzeitig offengelegt werden. Data Leaks werden wahrscheinlicher, denn die Zahl der generell von IT-Sicherheitsvorfällen betroffenen Unternehmen steigt stetig.17 Bei Unternehmen, die im B2C-Geschäft tätig sind, kann das bedeuten, dass im schlimmsten Fall Millionen von Kundendaten gleichzeitig offengelegt werden.18

Wenn einem Data Leak zugrunde liegt, dass ein Unternehmen gegen die DSGVO verstoßen hat – in der Regel durch unzureichende IT-Sicherheitsmaßnahmen – kann jeder Betroffene in der Theorie Schadensersatzansprüche geltend machen. Dies stellt Art. 82 der DSGVO („Haftung und Recht auf Schadensersatz“) unmissverständlich klar.

In der Praxis sehen wenige Unternehmen eine mögliche gerichtliche Auseinandersetzung mit Betroffenen bislang als relevanten Risikofaktor. Dies ist nachvollziehbar: Sofern die Betroffenen eines Data Leaks überhaupt wissen, dass sie Ansprüche geltend machen können, müssen sie diese in der Regel individuell mit eigenem Kostenrisiko verfolgen, was mühsam ist. Auch ist der Erwartungswert eines Schadensersatzanspruches aufgrund von DSGVO-Ansprüchen bislang eher niedrig.19 In Abwägung damit scheuen viele Betroffene verständlicherweise Aufwand und Risiko einer streitigen Auseinandersetzung mit Unternehmen nach einem Data Leak. Es besteht eine sogenannte „rationale Apathie“ der einzelnen Verbraucher in Bezug auf die Durchsetzung ihrer theoretisch bestehenden Ansprüche.

Zusätzlich zu den eben genannten Gründen ist es in Deutschland (noch) prozessual schwierig, Massenschadensklagen durchzuführen. Zudem sind nach wie vor entscheidende Fragen zur Begründung und Bemessung von Schadensersatzansprüchen nach der DSGVO ungeklärt und werden von den Gerichten der EU-Mitgliedsstaaten uneinheitlich gehandhabt.

Die Situation könnte sich bald jedoch drastisch ändern:

Erstens waren die EU-Mitgliedsstaaten bis zum Ende des Jahres 2022 verpflichtet, Rechtsnormen zur massenhaften Durchsetzung von Schadensersatzansprüchen, unter anderem auch nach der DSGVO, zu schaffen. Deutschland hat diese Umsetzungsfrist zwar verpasst,20 es liegt jedoch ein Referentenentwurf zur Umsetzung vor. Spätestens für Verfahren am oder nach dem 25. Juni 2023 muss das neue Recht, das Verbandsklagen erlaubt, auf Verfahren in Deutschland angewandt werden.21

Zweitens hat der EuGH aktuell die Gelegenheit, im Rahmen von drei sog. Vorlageverfahren22 die Weichen für die zukünftige (massenhafte) Geltendmachung von Schadensersatzansprüchen nach der DSGVO zu stellen. Unternehmen könnten sich zukünftig somit im Nachgang von Data Leaks einer massenhaften Durchsetzung von Schadensersatzansprüchen der Betroffenen ausgesetzt sehen.

Dies könnte bedeuten, dass zukünftig selbst Schadensersatzansprüche, die bei „kleineren“ DSGVO-Verstößen bestehen, sehr schmerzhaft für Unternehmen werden können, solange die Anzahl der Betroffenen hoch genug ist. Ein Rechenbeispiel: im jüngst veröffentlichten Data Breach bei dem Streaming-Dienst Deezer sind laut Medienberichten 229 Millionen einzelne Emailadressen betroffen.23 Unterstellt, diese Adressen gehörten jeweils einzelnen Nutzern, die nach der DSGVO anspruchsberechtigt sind: Fänden sich alle Betroffenen zu der „neuen“ Verbandsklage ab dem Juni 2023 zusammen, trüge Deezer aufgrund eines einzelnen Data Leaks bei einem hypothetischen Betrag von nur fünf Euro Schadensersatz pro Betroffenem bereits ein finanzielles Risiko von mehr als einer Milliarde Euro kumuliertem Schadensersatz.24

Dieser Beitrag möchte für dieses Risiko sensibilisieren und dazu den Status Quo und die anstehenden Änderungen aufzeigen, sowie erste Gedanken zu möglichen Verteidigungsstrategien zu skizzieren. Wir zeigen dafür erstens die jedenfalls anstehenden Änderungen im Prozessrecht auf, um dann zu beleuchten, wie in Zukunft auch möglicherweise die DSGVO mehr zu Gunsten der Datensubjekte ausgelegt werden könnte.

2. Prozessualer Rahmen für massenhafte Durchsetzung von Schadensersatzansprüchen bei Data Leaks in Deutschland

Aus verschiedenen Gründen ist es aktuell innerhalb Deutschlands schwer, prozessual Massenklagen für Schadensersatz aufzusetzen und zu finanzieren. Bald werden jedoch Verbandsklagen auf Schadensersatz in Deutschland möglich. Dabei sind Klagen aufgrund von Data Leaks ein prädestinierter möglicher Anwendungsfall. Ausschlaggebend hierfür ist die bereits verabschiedete Europäische Verbandsklagerichtlinie (RL 2020/1828 – “VerbandsklageRL“).

2.1. Status quo für kollektive Durchsetzung von Ansprüchen im Datenschutzrecht/IT-Sicherheits-Recht: Eingeschränkt und risikoreich

In den USA sind sogenannte class actions, bei denen ein oder mehrere Kläger repräsentativ für eine ganze betroffene Gruppe klagen, historisch schon sehr lange möglich.25 In Deutschland dagegen sind im Zivilrecht Klagen von Verbänden oder durch mehrere Personen nur sehr eingeschränkt möglich. Im Folgenden stellen wir die für Datenschutz-Ansprüche relevanten Möglichkeiten im deutschen Recht, Ansprüche zu bündeln, vor. Dies kann entweder dadurch erfolgen, dass Betroffene im eigenen Namen ihre eigenen Ansprüche einklagen (lassen) oder diese an kommerzielle Anbieter abtreten. Es kann aber auch dadurch erfolgen, dass Organisationen für mehrere Verbraucher tätig werden (teilweise sogar aus eigenem Anspruch, d. h. ohne dass sie konkrete Verbraucher vertreten). Wenn ein

Verband oder eine Person repräsentativ für eine ganze Gruppe Betroffener klagen kann, nennt man dies „kollektiven Rechtsschutz“.

Die bisherigen Möglichkeiten für individuellen und kollektiven Rechtsschutz sind allesamt für Massenschadensersatz bei Data Leaks nicht besonders attraktiv, wie wir nachfolgend erläutern werden.

2.1.1. Grundsatz im deutschen Recht: Individualrechtsschutz, eine Partei auf jeder Seite der Klage/des Prozesses

Das Grundmodell im materiellen und prozessualen Zivilrecht in Deutschland ist, dass jede einzelne Person (oder jedes Unternehmen) einen eigenen Anspruch hat, den sie einzeln einklagen muss. Das bedeutet, dass jeder Kläger im Regelfall eine eigene Klageschrift anfertigen und seinen Anspruch mit dessen Voraussetzungen darlegen und nachweisen muss. Die Entscheidungen über einzelne Klagen erfolgen dann grundsätzlich in getrennten Verfahren.

Von einem Urteil eines Gerichts über einen solchen Anspruch geht dann sogenannte „Rechtskraft“ aus. Das bedeutet, dass in derselben Sache nicht noch einmal entschieden wird und das Urteil endgültig ist. Der Hintergrund ist, dass die Parteien und Dritte Sicherheit haben sollen und keine sich widersprechenden Urteile in derselben Sache von Gerichten erlassen werden sollen.

Von dieser Rechtskraft profitiert jedoch ein am Prozess unbeteiligter Dritter nicht, der einen gleich oder ähnlich gelagerten Anspruch gegen denselben Beklagten hätte. Denn in zivilrechtlichen Verfahren besteht die Rechtskraft eines Urteils lediglich zwischen den zwei Parteien, die auch an dem Prozess beteiligt waren, aus dem das Urteil stammt.26

Ein Beispiel: Die Muster-GmbH wird, auch aufgrund unzureichender Sicherheitsmaßnahmen, Opfer eines Hackerangriffes und verliert daher wichtige personenbezogenen Daten ihrer Kunden. Die betroffene Frau Mustermann klagt und erhält ein Urteil, in welchem ihr ein Anspruch auf Schadensersatz zugesprochen wird. Obwohl weiteren Kunden exakt dasselbe passiert ist, profitiert nur Frau Mustermann von „ihrem“ Urteil und kann es notfalls vollstrecken. Weitere betroffene Kunden müssten für einen Schadensersatz ihren eigenen Prozess anstrengen.

2.1.2. Bündelung von individuellen Klagen zu einer Streitgenossenschaft

Die einfachste und älteste Möglichkeit, Klagen zusammenzuführen, ist die sog. „Streitgenossenschaft“.27 Hier können (bzw. müssen) die nach dem oben erklärten

Grundsatz eigentlich eigenständigen Prozesse unter bestimmten Umständen (laienhaft erklärt: wenn es im Grunde um dieselbe Sache geht) zu einem einheitlichen Prozess zusammengefasst werden. Dies kann zum einen dadurch erfolgen, dass die Parteien sich schon selbst zusammengefunden haben und daher schon in der Klageschrift mehrere Kläger oder Beklagte nennen. Zum anderen kann auch ein Gericht die Verbindung mehrerer verwandter Prozesse zu einem Prozess anordnen.28 Diese Verbindung kann Erleichterungen für das Gericht und die Kläger bringen und das Verfahren beschleunigen (beispielsweise wird dann gleichzeitig verhandelt, und es können Tatsachenvorträge und Beweisantritte eines Klägers auch den anderen Klägern zugerechnet werden, und die Kosten werden grundsätzlich geteilt). Damit eine Streitgenossenschaft entsteht, müssten sich jedoch die Betroffenen vorab kennen und zusammenschließen, bzw. alle zusammengefassten Klagen müssten am selben Gericht und bei derselben Instanz anhängig gewesen sein. Beides ist bei Klagen aufgrund von Data Leaks wohl meist nicht der Fall. Daher hilft die „Streitgenossenschaft“ für Massenklagen nach Data Leaks betroffenen Personen nicht wesentlich.

2.1.3. Wirtschaftliche Bündelung von einzelnen Klagen durch Kanzleien und Rechtsdienstleister

Über die Zivilprozessordnung hinaus gibt es natürlich die Möglichkeit, zumindest die Arbeit im „Back Office“ in derselben Sache zu bündeln. Dann bleibt es zwar bei dem Grundsatz, dass jeder Anspruch einzeln geltend gemacht wird, die An-sprüche können aber mit weniger Arbeit durchgesetzt werden. Etwa für die Durchsetzung individueller Schadensersatzansprüche aus dem Abgasskandal oder bei Fluggastrechten haben viele Kanzleien damit begonnen, softwaregestützt massenhaft Klagen aus einem ähnlichen Fall durchzusetzen und dies so weit wie möglich zu automatisieren. Da hier aber eine Mandats- und Vergütungsvereinba-rung für jeden Fall notwendig ist, Kanzleien grundsätzlich die von dem Rechts-anwaltsvergütungsgesetz vorgeschriebenen Sätze (die von der Höhe des Scha-densersatzes abhängen) nehmen müssen und durch das recht restriktive Berufs-recht für Anwälte gebunden sind, ist dieses Kanzleimodell bei „Kleinstforderun-gen“ aufwendig.

Daneben hat sich seit einigen Jahren ein Geschäftsmodell entwickelt, bei dem nicht klassische, lediglich von Anwälten betriebene Kanzleien Ansprüche durch-setzen, sondern sogenannte „Rechtsdienstleister“.29 Diese sind im Gegensatz zu Kanzleien nicht an das strenge anwaltliche Berufsrecht gebunden und können auch von Nicht-Anwälten mit „besonderer Sachkunde“ in einem eingegrenzten

Rechtsbereich betrieben werden. Sie müssen sich dazu als Rechtsdienstleister registrieren. Besonders beliebt und passend für die Anspruchsdurchsetzung in Massenfällen ist das „Inkassomodell“. Hier kann ein kommerzieller Anbieter einem Geschädigten direkt einen Anspruch „abkaufen“ und übernimmt danach das eigene wirtschaftliche Risiko dafür, die Forderung durchzusetzen. Für Geschädigte ist das attraktiv, weil sie dann selbst sehr schnell administrativen Aufwand und ein eigenes, schwer bezifferbares Risiko loswerden. Diese Anbieter machen die Individualansprüche gebündelt geltend („Sammelklage-Inkasso“). Klägerin ist allein das Unternehmen, an das die Ansprüche abgetreten werden.

Ob solche Rechtsdienstleister Massenklagen betreiben durften, in denen es anders als beim herkömmlichen Inkasso um mehr als die reine Durchsetzung ganz klar bestehender Geldforderungen ging, war sehr lange rechtlich heftig umstritten. Der Bundesgerichtshof hat jedoch in den letzten Jahren eine weite, liberale Auslegung des Inkasso-Begriffes vorgegeben,30 aufgrund derer nun Unternehmen als Inkasso-Rechtsdienstleister sowohl außergerichtlich als auch gerichtlich z. B. Ansprüche auf Rückzahlungen von Flugpreisen oder Mietzinsen geltend machen können.

Allerdings sind den Autoren kaum Inkasso-Unternehmen bekannt, welche im größeren Stil Datenschutz-Schadensersatzansprüche geltend machen.31 Dies liegt vermutlich daran, dass die Voraussetzungen und die Höhe von Schadensersatz nach der DSGVO noch sehr unklar sind.32 Zudem besteht für das Massenklage-Inkasso im Datenschutzbereich eine weitere Hürde. Denn es ist im Datenschutzbereich noch nicht höchstrichterlich geklärt, ob die Übertragung der Schadensersatzansprüche (und ggf. vorgeschalteter Ansprüche aus der DSGVO, etwa Auskunftsansprüche) rechtlich wirksam ist.

Nach dem BGB können zwar Ansprüche grundsätzlich an andere übertragen („abgetreten“) werden. Manche Ansprüche sind davon jedoch ausgenommen.33 Bislang sind keine grundlegenden Leitlinien durch höhere Gerichte vorgegeben, ob Ansprüche aus der DSGVO, insbesondere solche auf Schadensersatz, unter diese Ausnahme fallen.

Grundsätzlich wird in der Rechtswissenschaft vertreten, dass Ansprüche nicht „abtretbar“ sind, wenn sie aus der Verletzung höchstpersönlicher Rechtsgüter resultieren.34 Da der personenbezogene Datenschutz nach deutscher Konzeption aus dem allgemeinen Persönlichkeitsrecht resultiert (das auch aus der Menschenwürde abgeleitet wird und sich damit grundsätzlich auf nur einen einzigartigen Menschen bezieht), kann man im Einklang damit argumentieren, dass im Einklang mit dieser „Höchstpersönlichkeits-Ausnahme“ auch Ansprüche aus der DSGVO gar nicht abtretbar sind. Das wird insbesondere für Entschädigungsansprüche, die aus der Verletzung des Persönlichkeitsrechtes resultieren, vertreten.35 Damit ist das sonst attraktive Inkasso-Modell für DSGVO-Forderungen riskant,36 insbesondere, da die Gerichte hier unterschiedlicher Auffassung sind.37

Zusammenfassend sind aktuell die Durchsetzung von Massenschadensansprüchen aufgrund von Data Leaks durch Kanzleien und andere Rechtsdienstleister bislang anscheinend nicht ausreichend attraktiv.

2.1.4. Bisheriger kollektiver Rechtsschutz und seine Relevanz für den Datenschutz

Kollektiven Rechtsschutz gibt es in Deutschland bereits in bestimmten Bereichen. Kollektiver Rechtsschutz für Datenschutzverstöße besteht allerdings nur sehr begrenzt und ist noch wenig schlagkräftig.

In der DSGVO ist zwar die Möglichkeit von kollektivem Rechtsschutz erwähnt.38 Allerdings handelt es sich hier nur um eine sog. „Öffnungsklausel“. Das bedeutet, dass die einzelnen EU-Mitgliedsstaaten selbst noch entscheiden konnten, ob sie dies zulassen. Deutschland hatte sich bislang entschieden, keinen kollektiven Rechtsschutz spezifisch für die Durchsetzung der DSGVO einzuführen.39

Daneben gab es in Deutschland schon vor der DSGVO Möglichkeiten, nach denen nicht die Betroffenen selbst, sondern Verbraucherschützer oder bestimmte andere qualifizierte Einrichtungen40 bestimmte Praktiken ahnden.41

Allerdings lässt sich mit den „alten“ Instrumenten zum kollektiven Rechtsschutz nur ein sehr begrenzter Katalog von DSGVO-Verstößen einklagen.42 So dürfen bei kollektiven Klagen nach dem sog. „Unterlassungsklagengesetz“43 nur Unterlassungen gefordert werden, wenn ganz bestimmte Verarbeitungen nach der DSGVO stattgefunden haben oder drohen: eine solche Klage ist nur möglich, wenn Unternehmer Verbraucherdaten verarbeiten; und dies auch nur für einen limitierten Katalog von Zwecken (beispielsweise Werbung oder Markt- und Meinungsforschung). Es können also nicht alle DSGVO-Verstöße adressiert werden.

Noch wichtiger ist, dass nach diesen „alten Instrumenten“ ohnehin nur Unterlassung (d. h., dass der Verletzer mit einer bestimmten Handlung aufhört) oder Widerruf/Beseitigung verlangt werden können, nicht aber Schadensersatzansprüche für einzelne Betroffene.

Neben diese „alten Instrumente“ trat 2018 die „Musterfeststellungsklage“,44 die im Nachgang zum Diesel-Abgasskandal eingeführt wurde. Auch diese hat allerdings nicht zu massenhaften Klagen wegen DSGVO-Verletzungen geführt und scheint nicht schlagkräftig genug.45 Auch diese Klageform ermöglicht lediglich, einen Datenschutz-Verstoß feststellen zu lassen (und zwar nur im Verhältnis zwischen Unternehmern und Verbrauchern). Bei DSGVO-basierten Musterfeststellungsklagen könnte also ein Gericht nur ausurteilen, dass die Voraussetzungen für einen Anspruch abstrakt bestehen. Ein einzelner Betroffener müsste aber immer ein zweites Verfahren anstrengen, um sich einen Schaden erstatten zu lassen. Erst in diesem zweiten Individualverfahren würde die Höhe des Schadens festgestellt. Auch dies ist sehr mühsam für Verbraucher.

2.1.5. Ausblick: Bald Durchsetzung massenhafter Schadensersatzansprüche durch Umsetzung der VerbandsklageRL möglich

Die zuvor skizzierte Rechts- und Marktlage bei der massenhaften Durchsetzung von Schadensersatzansprüchen wird sich jedoch bald umfassend ändern. Das EU-Recht verpflichtet die Mitgliedsstaaten, die VerbandsklageRL umzusetzen. Die Mitgliedsstaaten müssen nun also bessere prozessuale Möglichkeiten für Verbandsklagen vorsehen. Deutschland muss also zukünftig die massenhafte Durchsetzung von Schadensersatzansprüchen, ausdrücklich auch aufgrund von DSGVO-Verstößen, 46 zwingend zulassen.

2.1.6. Vorgaben der VerbandsklageRL

Laut der EU-Richtlinie müssen die Mitgliedsstaaten u.a. Abhilfeklagen34 durch bestimmte Organisationen (sog. „qualifizierte Einrichtungen“) ermöglichen.35 „Abhilfe“ im neuen Recht bedeutet (im Gegensatz zu den vorher dargestellten Unterlassungsklagen, die bereits im deutschen kollektiven Rechtsschutz existieren), dass der beklagte Unternehmer bei Erfolg der Verbandsklage „Schadensersatz, Reparatur, Ersatzleistung, Preisminderung, Vertragsauflösung oder Erstattung des gezahlten Preises“ leisten muss.49

Die EU gibt vor, dass dies sowohl „innerstaatlich“ als auch „grenzüberschreitend“ möglich sein muss. Das bedeutet, dass in Zukunft Kläger aus anderen Mitgliedsstaaten noch zu den potenziellen Klägern in Deutschland dazukommen können.50 Wenn sich also bekannte Datenschutz-Organisationen wie z. B. der österreichische Verein „None of your business“, der hinter den berühmten Schrems I und II-Klagen gegen Facebook steht, in Österreich als Verbandsklage-Einrichtung qualifizieren würden, dürften sie zukünftig auch in Deutschland klagen.

Klagen dürfen (wie auch schon unter dem alten Recht) nur sog. „Qualifizierte Einrichtungen“, also nicht jedes Unternehmen oder jeder Verein, sondern nur eine „Organisation oder öffentliche Stelle, welche die Verbraucherinteressen vertritt“.51 Darüber hinaus erlaubt die EU-Richtlinie, dass die Mitgliedsstaaten eigene Kriterien für die Anerkennung von solchen Einrichtungen festlegen.52 Nach der EU-VerbandsklageRL können die Mitgliedsstaaten sich auch aussuchen, ob sie die Verbandsklage mit einem „opt-in“- oder einem „opt-out“-Mechanismus für Verbraucher umsetzen.53

2.1.7. Stand der Umsetzung in Deutschland

Deutschland muss nun diese Verbandsklage in nationalem Recht umsetzen, hat aber einigen Spielraum bei den Details. Ein aktuell kursierender Referentenentwurf, wie Deutschland die Vorgaben der EU umsetzen möchte,54 konkretisiert diesen Spielraum. Der Entwurf sieht vor, dass die Abhilfeklagen im Kern durch ein neues „Verbraucherrechtsdurchsetzungsgesetz“ (VDuG) geregelt werden.

Die gute Nachricht für Unternehmen ist, dass der aktuelle deutsche Entwurf sich bislang nicht für die verbraucherfreundlichste Variante der Abhilfeklagen entschieden hat, die nach der VerbandsklageRL auch möglich gewesen wäre. Beispielsweise enthält der Entwurf hohe Hürden für die Anerkennung von „qualifizierten Einrichtungen“, die klagen dürfen.55 Zudem dürfen Abhilfeklagen nur geltend gemacht werden, wenn die Ansprüche von mindestens 50 Verbrauchern betroffen sind.56 Weiterhin dürfen auch kleinere Unternehmen sich „wie Verbraucher“ einer Verbandsklage anschließen.57 Zudem hat sich der Entwurf für einen „opt-in“-Ansatz entschieden, der sicher dazu führen wird, dass weniger Verbraucher sich in Verbandsklagen wiederfinden, als es bei einem „opt-out“ der Fall gewesen wäre. Gerade wegen dieser unternehmerfreundlicheren Ausgestaltung ist der Entwurf nach Medienberichten aber noch umstritten.58 Daher kann es durchaus sein, dass die final verabschiedete Version noch (verbraucherfreundlicher) geändert wird.

Verfahrenstechnisch sieht der Referentenentwurf für eine Abhilfeklage folgende Eckpunkte vor:

Klageberechtigte Organisationen reichen Verbandsklagen ein, Verbraucher können bis kurz vor dem ersten Gerichtstermin entscheiden, ob sie sich diesen anschließen.

59

Unternehmen und Verbraucher können versuchen, einen Vergleich zu schließen und damit das Verfahren ohne Gerichtsurteil vorzeitig zu beenden. Das Gericht wird jedoch schauen, ob der Vergleich „verbraucherfreundlich“ genug ist und muss ihn unter diesem Gesichtspunkt genehmigen.

Gelingt ein Vergleich nicht, urteilt das Gericht. Das Unternehmen kann dann (u.a.) zur Zahlung eines kollektiven Gesamtbetrages verurteilt werden. Den Betrag kann das Gericht nach freier Überzeugung bestimmen.

Wie der Betrag an die Verbraucher verteilt wird, regelt ein spezielles, an die eigentliche Klage angeschlossenes, formalisiertes „Umsetzungsverfahren“. Das Unternehmen zahlt den ausgeurteilten Kollektivbetrag an einen sog. "Umsetzungsfonds". Dieser wird von einem unabhängigen Sachwalter verwaltet, der den Betrag nach bestimmten Kriterien und Anträgen an alle zur Klage angemeldeten Verbraucher verteilt.

Die klageberechtigte Organisation kann später noch Erhöhung des Kollektivbetrages beantragen, wenn sie darlegt, dass der ursprüngliche Betrag nicht zur Erfüllung der Ansprüche aller Verbraucher ausreicht.

Das Unternehmen übernimmt auch die Kosten des Umsetzungsverfahrens, insbesondere des Sachwalters.

Es gibt ein öffentlich einsehbares Register aller Verbandsklagen.

3. Voraussetzungen eines Datenschutzverstoßes nach der DSGVO: Klärungsbedarf und Klärung in Sicht

Auch bei den Schadensersatzansprüchen Betroffener infolge von Data Leaks trifft jeden Betroffenen die Obliegenheit, seinen ihm etwaig zustehenden Schadensersatzanspruch individuell gegenüber dem Verantwortlichen einzuklagen, mithin alle anspruchsbegründenden Tatsachen vorzutragen und zu beweisen. Der Betroffene muss daher grundsätzlich nachweisen, dass (i) der Verantwortliche ein Data Leak erlitten hat, (ii) der Verantwortliche dabei gegen die DSGVO verstoßen hat (da er unzureichende IT-Sicherheitsmaßnahmen implementiert hatte) und (iii), dass der Betroffene von dem Data Leak betroffen war und einen Schaden erlitten hat. Der Betroffene trägt also zunächst das volle Prozessrisiko. Art. 82 Abs. 3 DSGVO sieht nach Meinung der meisten Juristen in diesem Feld dabei lediglich eine Verschuldensvermutung vor; der Verletzte bleibt voll darlegungsbelastet im Hinblick auf den schadensersatzbegründenden Gesetzesverstoß.60 Auch ist die Durchsetzung von der Initiative und Klagebereitschaft des Einzelnen abhängig (trotz unsicheren Verfahrensausgangs).

Da durch Data Leaks eine Vielzahl von Betroffenen gleichzeitig (und vermeintlich auch gleichermaßen) geschädigt sein können, stellen Data Leaks auf den ersten Blick einen opportunen Anwendungsfall für das oben geschilderte neue Verbandsklagerecht dar.61 Wie erfolgreich bzw. durchschlagskräftig das Verbandsklagerecht letztlich sein wird, wird jedoch in aller Regel dadurch entschieden werden, ob das jeweilige Fachrecht – somit vorliegend im Datenschutzrecht – die nötigen (materiell- und prozessrechtlichen) Voraussetzungen für eine stringente Durchsetzbarkeit entsprechender Ansprüche bietet. Im Datenschutzrecht ist die Durchsetzung von Schadensersatzansprüchen (ob im Individual- oder Sammelklageverfahren) dabei – jedenfalls gegenwärtig – aus den nachfolgenden Gründen kein Selbstläufer.

3.1. Grundsätzliches zu Schadensersatzansprüchen nach der DSGVO

Gemäß Art. 82 DSGVO steht Betroffenen grundsätzlich ein Ersatzanspruch gegen datenverarbeitende Unternehmen zu, sofern Letztere gegen datenschutzrechtliche Vorschriften verstoßen und den Betroffenen hierdurch ein materieller oder immaterieller Schaden entsteht. Dessen prozessuale Durchsetzung ist gegenwärtig jedoch mit zahlreichen Unwägbarkeiten für Verletzte verbunden.

Im Zusammenhang mit Data Leaks ist zu beachten, dass der alleinige Umstand, dass ein Unternehmen ein Data Leak erleidet, aus sich heraus keinen Verstoß gegen datenschutzrechtliche Vorschriften darstellt (und somit auch nicht zu einem Schadensersatzanspruch der Betroffenen führen kann). Hinzutreten muss vielmehr, dass das Data Leak dadurch eingetreten ist, dass das Unternehmen unzureichende IT-Sicherheitsmaßnahmen implementiert hatte. So sieht Art. 32 Abs. 1 DSGVO vor, dass „[…] der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen [treffen müssen], um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.“ Ein Schadensersatzanspruch kann dem Grunde nach daher nur dann gegeben sein, wenn dem Unternehmen ein Verstoß gegen Art. 32 DSGVO vorzuwerfen ist, durch den das Data Leak erst ermöglicht worden ist.

So verurteilte etwa das LG München (9. Dezember 2021 – 31 O 16606/20) ein Finanzunternehmen im Nachgang an ein erlittenes Data Leak wegen eines Verstoßes gegen Art. 32 DSGVO zur Zahlung eines Schadensersatzes in Höhe von EUR 2500. Den Verstoß sah das Gericht darin begründet, dass das Finanzunternehmen kein angemessenes Zugangs- bzw. Zugriffsmanagement implementiert hatte, wodurch Dritten ein unberechtigter Datenzugriff ermöglicht wurde.

Wie zuvor erwähnt, muss der Verletzte vor Gericht jedoch zunächst erfolgreich beweisen können, dass das Unternehmen gegen Art. 32 DSGVO verstoßen hat. Im obengenannten Fall waren der Sachverhalt und das Fehlverhalten des Unternehmens weitgehend unstreitig. In vielen anderen Fällen kann eine solche Beweisführung für einen Kläger jedoch erheblich schwieriger sein. So kann er grundsätzlich verpflichtet sein, unternehmensinterne Vorgänge nachzuweisen, in die er keinen Einblick hat. Ferner ist nach wie vor weitgehend ungeklärt, wann technische und organisatorische IT-Sicherheitsmaßnahmen im Rahmen von Art. 32 DSGVO als angemessen anzusehen sind. Daneben ist zu beachten, dass viele Einzelfragen im Zusammenhang mit Schadensersatzansprüchen nach der DSGVO ebenfalls noch ungeklärt sind, etwa im Hinblick auf eine (etwaig) bestehende Bagatellschwelle, unterhalb derer keine Entschädigung zu zahlen ist.

Diese spezifischen Rechtsfragen werden nicht durch die Einführung eines Verbandsklagerechts geklärt werden, sodass die Durchschlagskraft einer solchen Verbandsklage ab Juni 2023 im Datenschutzrecht wie vor entscheidend durch die dargelegte Beweislastverteilung geprägt wäre (neben der Frage, ob für bestimmte Verstöße überhaupt ein Schadensersatz zu zahlen ist). Die allein prozessrechtlichen Änderungen durch die VerbandsklageRL werden daher erwartungsgemäß nicht zu Wellen von Massenschadensklagen im Nachgang zu Data Leaks führen.

3.2. Potenzielle Rechtsänderung durch anhängige EuGH-Verfahren

Zu beachten ist jedoch, dass sich der EuGH in diesem Zusammenhang in nächster Zeit zu wesentlichen Fragen äußern wird, was – je nach Verfahrensausgang – den Weg für eine massenhafte Durchsetzung von DSGVO-Schadensersatzansprüchen ebnen könnte; im Einzelnen:

3.2.1. 1. Frage: Besteht bei einem Data Leak die Vermutung, dass das Unternehmen gegen IT-Sicherheitsvorgaben verstoßen hat?

Wie zuvor dargelegt, ist ein Verletzter bisweilen verpflichtet, vor Gericht nachzuweisen, dass ein Unternehmen gegen Art. 32 DSGVO verstoßen hat (und dadurch ein Data Leak eingetreten ist).

Der EuGH könnte diesen Grundsatz zumindest im Hinblick auf Ansprüche wegen Data Leaks nach der DSGVO bald schon umkehren: In einem Verfahren in Bulgarien, wo ca. vier Millionen Staatsbürger von einem Data-Leak einer bulgarischen Finanzbehörde betroffen waren, hat das entscheidende Gericht ein Vorabentscheidungsverfahren beim EuGH eingeleitet und diesen um Klärung u.a. folgender Fragen ersucht:62

Ist anzunehmen, dass ein Verstoß gegen Art. 32 DSGVO vorliegt, wenn personenbezogene Daten unbefugten Dritten offengelegt worden sind?

Trägt das datenverarbeitenden Unternehmen die Beweislast dafür, dass es

angemessene

IT-Sicherheitsmaßnahmen getroffen (und damit Art. 32 DSGVO eingehalten) hat, und genügt ein Sachverständigengutachten als Nachweis, das belegt, dass es trotz grundsätzlich

angemessener

IT-Sicherheitsmaßnahmen zu dem Data Leak gekommen ist?

3.2.2. 2. Frage: Führt die bloße Betroffenheit durch ein Data Leak dazu, dass natürliche Personen einen Schadensersatzanspruch gegen das Unternehmen haben?

Sofern der Verstoß feststeht und es nur noch um den Nachweis eines Schadens geht, legt die deutsche Rechtsprechung den dafür maßgeblichen Art. 82 DSGVO bisher unvorhersehbar und unterschiedlich aus. So wurde ein Anspruch gerade in den oberen Instanzgerichten wiederholt wegen bloßer „Bagatellverstöße“ abgelehnt.63 Stattdessen müssten Betroffene einen konkreten, spürbaren und objektiv nachvollziehbaren Schaden darlegen und beweisen.64 Andere Gerichte postulieren hingegen, dass eine gewisse Schwere nicht erforderlich sei.65 Auch bei der ausgeurteilten Schadenshöhe divergieren die Urteile durchaus erheblich.66

Gegenwärtig wird der Europäische Gerichtshof im Zusammenhang mit der Schadensbegründung sowie -berechnung nach Art. 82 DSGVO geradezu mit Vorlagefragen überhäuft:

So hat das zuvor erwähnte bulgarische Gericht (vgl. oben) ebenfalls um Klärung dahingehend gebeten, ob es für die Bejahung eines Schadensersatzanspruchs ausreichend sei, dass personenbezogene Daten durch einen „Hackerangriff“ unbefugt offengelegt worden sind, ohne dass ein etwaiger Missbrauch dieser Informationen festgestellt wurde und/oder kein weiterer Schaden der betroffenen Person entstanden ist, sondern allein die Befürchtung vor einem möglichen künftigen Missbrauch besteht.

67

In der Rechtssache EuGH C-741/21 muss der EuGH beantworten, ob bei Bemessung des Schadens i.S.v. Art. 82 Abs. 1 DSGVO Bagatellverstöße ausreichen bzw. ob eine bestimmte Erheblichkeitsschwelle erreicht sein muss, unterhalb derer kein Schadensersatz angemessen wäre. Die Beklagte sprach den Kläger dreimal mittels Direktwerbung an. Diese Werbung erhielt der Kläger jeweils zu einem Zeitpunkt, nachdem dieser bereits mehrfach seinen Widerspruch gegen diese werbliche Ansprache erklärt hatte.

68

In der Rechtssache C-300/21 (vorgelegt aus Österreich) steht eine Entscheidung des EuGH dahingehend an, ob die bloße „Verärgerung“ der Betroffenen über einen DSGVO-Verstoß eines Unternehmens ausreicht, um einen (immateriellen) Schadensersatzanspruch zu begründen. In diesem Fall erstellte die österreichische Post AG mit Hilfe erhobener Daten Profile über die politische Einstellung österreichischer Bürgerinnen und Bürger. Der Kläger forderte infolgedessen 1.000 Euro für sein Ärgernis, den Vertrauensverlust und das Gefühl der Bloßstellung.

69

Im letztgenannten Verfahren aus Österreich liegen mittlerweile die Schlussanträge des Generalanwalts70 vor. Der Generalanwalt plädiert dabei dafür, dass die beim Betroffenen verursachte Benachteiligung eine gewisse Erheblichkeitsschwelle überschritten haben muss, um einen Schadensersatzanspruch zu rechtfertigen. Ein bloßes Aufregen über einen DSGVO-Verstoß erreiche diese Schwellenwerte grundsätzlich nicht. Gleichwohl könne jedoch ein subjektives Gefühl des Diskomforts einen ersatzfähigen immateriellen Schaden begründen; es obliege dabei den nationalen Gerichten, zu bestimmen, wann diese Grenze im Einzelfall überschritten werde.71

Auch wenn die Schlussanträge des Generalanwalts in der Rechtssache C-300/21 eher für eine restriktive Handhabung von DSGVO-Schadensersatzansprüchen plädieren, ist zu berücksichtigen, dass der EuGH historisch betrachtet in Datenschutzfragen in aller Regel eher zugunsten der Betroffenen sowie der Stärkung des Datenschutzes entschieden hat (oftmals auch entgegen den Stimmen der jeweiligen Generalanwälte). Insofern kann auch vorliegend nicht zwangsläufig erwartet werden, dass der EuGH sich für eine Erheblichkeitsschwelle für Schadensersatzansprüche aussprechen wird, und selbst falls ja, wie hoch oder niedrig ein solcher Schwellenwert letztendlich anzusetzen sein wird. Selbst für den Fall, dass der EuGH eine Erheblichkeitsschwelle grundsätzlich annehmen sollte, ist damit noch keine verlässliche Aussage dahingehend verbunden, ob durch Data Leaks verursachter Diskomfort eben diese geforderte Erheblichkeit aufweist oder nicht. Klarheit wird hier voraussichtlich erst die Entscheidung im bulgarischen Vorlageverfahren bringen.

3.3. Prognose zu den Entscheidungen des EuGH / Ausblick

Sofern der EuGH zum einen (i) eine entsprechende Beweislast für datenverarbeitende Unternehmen im Hinblick auf angemessene IT-Sicherheit bejahen sollte, und zum anderen (ii) sich gegen eine Erheblichkeitsschwelle beim Zuspruch von Schadensersatz aussprechen bzw. entscheiden sollte, dass die (bloße) Betroffenheit durch ein Data Leak genügt, um einen Schadensersatzanspruch zu begründen, wäre der Weg für die massenhafte Durchsetzung solcher Ansprüche geebnet.

So müssten die Kläger (bzw. die sie vertretende qualifizierte Einrichtung) weder nachweisen, dass das jeweils beklagte Unternehmen gegen die DSGVO verstoßen hat, noch dass die Kläger einen zu ersetzenden Schaden erlitten haben (solange unstreitig ist, dass es zu einem Data Leak gekommen ist und die personenbezogenen Daten der Kläger davon betroffen waren).

Dies würde die Geltendmachung derartiger Ansprüche (ob im Individual- oder Sammelklageverfahren) erheblich erleichtern und die Sprengkraft des neuen Verbandsklagerechts voll entfalten. Datenverarbeitende Unternehmen wären dadurch in eine äußerst nachteilhafte Verteidigungssituation gedrängt, da die Beweislast über DSGVO-konformes Verhalten nunmehr auf sie abgewälzt wäre. Aufgrund des damit verlagerten Prozessrisikos wird auch die massenhafte Durchsetzung solcher Ansprüche attraktiver (sowohl durch Private als auch durch Organisationen, die für die Verbandsklage qualifiziert sind).

4. Mögliche Verteidigungsstrategien

Angesichts der vorstehenden Erwägungen stellt sich die Frage, welche Verteidigungsmöglichkeiten und -strategien datenverarbeitenden Unternehmen (sowohl bereits gegenwärtig als auch nach Einführung des Verbandsklagerechts und dem noch ungewissen Ausgang der angeführten EuGH-Vorlageverfahren) zustehen.

Bereits im zuvor angeführten bulgarischen Vorlageverfahren angelegt ist die Möglichkeit, bei Gericht ein Sachverständigengutachten mit dem Nachweis vorzulegen, dass das datenverarbeitende Unternehmen angemessene IT-Sicherheitsmaßnahmen vorgesehen hatte, aber der Data Leak dennoch bzw. unabhängig davon eingetreten sei. Entsprechendes sollte für Fälle gelten, in denen selbst angemessene Vorkehrungen den eingetreten Data Leak nicht hätten verhindern können. Ob ein Gericht den Ausführungen des Sachverständigen (oder eines zu erwartenden Gegengutachters) folgt, steht in dessen freier Beweiswürdigung. Das Gericht kann daher von einem Gutachten abweichen, wenn es von dessen Richtigkeit nicht überzeugt ist.

Ungeklärt ist in diesem Zusammenhang leider, inwiefern Zertifizierungen etwa nach dem ISO 27001-Standard, bzw. entsprechende diesbezügliche Audits, als Verteidigung vorgebracht werden können. Zu beachten ist dabei, dass der ISO 27001-Standard (oder auch andere gängige Industrie- und Branchenstandards) nicht dazu konzipiert sind, die Anforderungen von Art. 32 DSGVO zu erfüllen.

Eine derartige Zertifizierung sagt zunächst nichts darüber aus, ob die konkret implementierten Maßnahmen zum Schutz personenbezogener Daten angemessen i.S.v. Art. 32 DSGVO sind.72

Die DSGVO sieht in Art. 40 und 42 DSGVO dabei eigene, auf die Einhaltung von DSGVO-Vorgaben zugeschnittene Verhaltensregeln und Zertifizierungen grundsätzlich vor. Bislang stecken derartige Vorhaben jedoch noch in den Kinderschuhen. Gleichwohl ist auch in diesem Zusammenhang zu beachten, dass eine etwaige Zertifizierung bzw. Einhaltung von Verhaltensregeln (jedenfalls isoliert) keine Legalisierungs- oder gar Privilegierungswirkung entfaltet; vielmehr besagt Art. 32 Abs. 3 DSGVO ausdrücklich, dass die Einhaltung von Verhaltensregeln oder die Vorlage einer Zertifizierung (bloß) als ein Faktor herangezogen werden können, um die Implementierung angemessener IT-Sicherheitsmaßnahmen nachzuweisen. Im laufenden Prozess wird derartigen Verhaltensregeln bzw. Zertifizierungen jedoch wohl zumindest eine Indizwirkung zuzusprechen sein.73

Sofern der EuGH eine Erheblichkeitsschwelle zur Zusprache von Schadensersatz grundsätzlich bejahen sollte, besteht eine mögliche Verteidigungsstrategie darin, zu argumentieren, dass der für die Betroffene eingetretene Schaden diese Schwelle nicht überschreitet. Hier wird abzuwarten sein, wie sich der EuGH in dieser Frage positionieren wird. Im Falle einer Sammelklage könnte ferner argumentiert werden, dass nicht alle Verletzten gleichermaßen von dem Data Leak betroffen sind, etwa da die abhandengekommenen Informationen nicht für alle Betroffenen identisch sind, sondern sich in ihrer Sensibilität unterscheiden.

5. Fazit

Aktuell hat die massenhafte Durchsetzung von Schadensersatzansprüchen nach IT Incidents wie z. B. Data Leaks noch nicht „Fahrt aufgenommen“. Das liegt unter anderem daran, dass es im Prozessrecht wenig attraktive Möglichkeiten gibt, Ansprüche auf Schadensersatz zu bündeln, insbesondere, wenn diese auf der Nichteinhaltung der DSGVO basieren. Für Klagen ab dem 25. Juni 2023 wird dies jedoch aufgrund der VerbandsklageRL sehr viel leichter möglich. Die VerbandsklageRL wird in Deutschland definitiv umgesetzt werden müssen, Deutschland wird nur noch etwas Spielraum dahin haben, diese etwas mehr unternehmer- oder verbraucherfreundlich auszugestalten.

Unabhängig von dem Klagevehikel zeichnete das Datenschutzrecht aufgrund der bestehenden Beweislastverteilung sowie aufgrund von nach wie vor zahlreichen ungeklärten Rechtsfragen bislang jedenfalls keinen klaren Pfad zur erfolgreichen Durchsetzung von Klagen und Sammelklagen im Nachgang zu Data Leaks. Der EuGH wird in naher Zukunft jedoch entscheidende Rechtsfragen klären, die – je nach Verfahrensausgang – das Prozessrisiko auf die datenverarbeitenden Stellen verlagern und somit solchen Klageverfahren (ob individuell oder gesammelt) den Weg ebnen könnten.

Wenn die beiden Puzzleteile „Verbandsklage“ und „betroffenenfreundliche EuGH-Grundsatzentscheidungen zur DSGVO-Auslegung“ zusammenkommen, kann dies die Risikolandschaft im Nachgang von Data Leaks für datenverarbeitende Unternehmen gänzlich neu sortieren.

Um einzuordnen, ob ihre finanziellen Risiken aufgrund von Data Leaks deutlich steigen, sollten Rechtsabteilungen und/oder Compliance-Abteilungen von Unternehmen in den nächsten Monaten daher sowohl die Umsetzung der Richtlinie als auch den Ausgang der EuGH-Verfahren beobachten.

Literaturhinweise

[1] Kowollik/Jacquemain: „Effektivierung der Rechtsdurchsetzung im Datenschutz durch kollektiven Rechtsschutz / Kollektive Verbraucherschutzrechte bei Datenschutzverstößen“, in: PinG 2021, 178ff.

[2] Paal/Aliprandi: „Immaterieller Schadensersatz bei Datenschutzverstößen-Bestandsaufnahme und Einordnung der bisherigen Rechtsprechung zu Art. 82 DSGVO“, in: ZD 2021, 241ff.

[3] Wybitul/Leibold: „Risiken für Unternehmen durch neue Rechtsprechung zum DSGVO-Schadensersatz - Ein Überblick über die Voraussetzungen und die aktuelle Rechtsprechung zu Art. 82 DS-GVO“, in: ZD 2022, 207ff.

14Osborne Clarke Rechtsanwälte Steuerberater PartmbB. Anne Leßner ist Senior Associate in der Praxisgruppe IT und arbeitet im Berliner Büro. Dr. Tobias Rothkegel ist Counsel am Hamburger Standort und ebenfalls in der Praxisgruppe IT tätig. Ein besonderer Dank für die Mitarbeit an diesem Beitrag geht an Amun Ahmadiar, der als wissenschaftlicher Mitarbeiter wesentliche Teile des Beitrages ausrecherchiert hat.

15 Wir meinen hiermit den ungewollten Abfluss personenbezogener Daten unabhängig von der Ursache (die etwa Hacking oder ein Versehen sein können).

16 Zum Zeitpunkt der Finalisierung dieses Beitrages am 13.04.2023 ist weder die deutsche Umsetzung der Verbandsklagerichtlinie verabschiedet, noch sind die erwähnten Verfahren vor dem Europäischen Gerichtshof entschieden. Wir erwarten jedoch, dass beides innerhalb der nächsten Monate erfolgen wird.

17 Allein im Berichtszeitraum 2022 stellte das Bundesamt für Sicherheit in der Informationstechnik („BSI“) 116,6 Millionen neue Malware-Varianten fest, sowie 20.174 Schwachstellen in Software-Produkten, was einen Anstieg von 10 % gegenüber dem Berichtszeitraum für den Lagebericht 2021 bedeutet; siehe BSI – Bericht „Die Lage der IT-Sicherheit in Deutschland“, abrufbar unter https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2022.html?nn=129410 (zuletzt abgerufen am 21.02.2023 um 13:12 Uhr). Das BSI bewertet das Cyber-Sicherheitsrisiko aktuell „so hoch wie noch nie“, siehe S. 11 des Lageberichts.

18 So waren 2018 durch einen Hackerangriff etwa 339 Mio. Kundendaten der Hotel-Kette Marriott betroffen, insbesondere Reisepass- und Kreditkarten-Daten, s. International Commissioner’s Office (UK), Penalty Notice 2018, Case ref: COM0804337, S. 23, abrufbar unter: https://ico.org.uk/media/action-wevetaken/mpns/2618524/marriott-international-inc-mpn-20201030.pdf (zuletzt abgerufen am 04.01.2022, 16:00 Uhr). Im Jahr 2022 waren sogar große internationale Tech-Konzerne betroffen, etwa Meta mit 533 Millionen Nutzern und einem darauffolgenden Bußgeld in Höhe von 265 Mio. Euro, abrufbar unter: https://www.theguardian.com/technology/2022/nov/28/meta-fined-265m-over-data-breach-affecting-more-than-500m-users (zuletzt abgerufen am 04.01.2022, 16:10 Uhr).

19 Zwar sprechen einige Gerichte mittlerweile im Bereich von mehreren hundert bis mehreren tausend Euro Schadensersatzansprüche aufgrund von Art. 82 DSGVO zu. Demgegenüber wird aber Schadensersatz aufgrund von Datenschutzverletzungen von Gerichten auch häufig insgesamt abgelehnt, oft mit der Begründung, dass ein Schaden nicht vorhanden sei, nicht kausal sei oder dies nicht hinreichend dargelegt oder bewiesen worden sei. Vgl. dazu die Latham-Schadensersatztabelle für Rechtsprechung zu Art. 82 DSGVO (Stand bis zum 13.09.2022); abrufbar unter https://www.lw.com/de/people/admin/upload/SiteAttachments/Latham-DSGVO-Schadensersatztabelle.pdf (zuletzt abgerufen am 04.01.2023, 12:48 Uhr).

20 Laut Art. 24 Abs. 1 der EU-Verbandsklage-Richtlinie hätte Deutschland schon bis zum 25. Dezember 2022 die Richtlinie in nationales Recht umsetzen müssen. Zum Zeitpunkt der Finalisierung dieses Beitrages am 13.04.2023 ist das entsprechende Gesetz allerdings noch nicht verabschiedet worden.

21 Siehe Art. 22 Abs. 1 der EU-Verbandsklage-Richtlinie.

22 Hier handelt es sich um ein Verfahren, bei dem Gerichte der EU-Mitgliedsstaaten dem EuGH abstrakte Fragen zur Auslegung des EU-Rechts vorlegen, ohne deren Klärung sie ihre eigenen Verfahren nicht entscheiden können (vgl. Art. 267 AEUV).

23https://haveibeenpwned.com/PwnedWebsites#Deezer (abgerufen am 04.01.2023 um 12:52 Uhr).

24 Dazu kämen die Verfahrenskosten, die Deezer bei Unterliegen auch übernehmen müsste, sowie ggf. Kosten dafür, die Betroffenen über den Verfahrensausgang zu informieren (dies fordert Art. 13 Abs. 3 der EU-Verbandsklagerichtlinie).

25https://en.wikipedia.org/wiki/Class_action (abgerufen am 03.01.2023 um 15:10 Uhr).

26 Siehe § 325 der deutschen Zivilprozessordnung (ZPO). Auch die Rechtsnachfolger der Parteien (z. B. Erben) oder Personen, die Besitzer einer Sache werden, um die es im Prozess ging, sind noch von der Rechtskraft des Urteils erfasst - nicht jedoch unbeteiligte Dritte.

27 Geregelt in §§ 59 ff. der deutschen Zivilprozessordnung (ZPO), auch „subjektive Klagehäufung“ genannt.

28 Siehe § 147 der deutschen Zivilprozessordnung (ZPO).

29 Reguliert sind diese unter dem Rechtsdienstleistungsgesetz (RDG).

30 BGH, Urteil vom 27.11.2019 – Az. VIII ZR 285/18, NJW 2020, S. 208 ff.; BGH, Urteil vom 13.07.2021 – Az. II ZR 84/20, NJW 2021, S. 3046 ff.; sowie BGH, Urteil vom 13.6.2022 – Az. VIa ZR 418/21, NJW 2022, S. 3350 ff.

31 Die „Europäische Gesellschaft für Datenschutz mbH“ (https://eugd.org/, abgerufen am 28.01.2023, 18:46 Uhr) scheint ein solches Modell zu verfolgen, ausweislich ihrer Eigendarstellung u.a. für das Deezer- und das Scalable-Capital-Data Leak. Uns ist aber nicht bekannt, ob das Unternehmen mit seinem Ansatz tatsächlich schon massenhaft Fälle verfolgt.

32 Zur Höhe siehe bereits Fußnote 6, zu den weiteren Anspruchsvoraussetzungen siehe sogleich im zweiten Teil dieses Beitrags.

33 § 399 BGB.

34Kreße in: Dauner-Lieb/Langen, BGB Schuldrecht, 4. Auflage 2021, § 399 BGB, Rn. 3 m.w.N. Kreße nennt als nicht abtretbare Ansprüche beispielhaft die „Verletzung höchstpersönlicher Rechtsgüter (zB Ehre, Freiheit)".

35Teichmann in: Jauernig (Hrsg.), Bürgerliches Gesetzbuch, 18. Aufl. 2021, § 253 BGB, Rn. 13; sowie Oetker in: Münchener Kommentar zum BGB; 9. Aufl. 2022, BGB § 253 Rn. 66, 67 mit Verweis auf BGH NJW 2014, 2871 (bestätigend BGH NJW 2017, 3004 Rn. 12 ff.). In der Literatur wird diese Sichtweise teilweise aufgrund der Streichung des § 847 Abs. 1 S. 2 aF – der die Übertragbarkeit ausdrücklich ausschloss – kritisiert, s. Schubert, JZ 2014, S. 1058 f.; der Rspr. zustimmend hingegen Stender-Vorwachs, NJW 2014, S. 2438. Bei Ansprüchen aus Art. 80 Abs. 1 i.V.m. Art. 82 DSGVO steht ebenfalls die Genugtuungsfunktion im Vordergrund, so dass die Rechtsprechung des BGH hierauf übertragbar ist, vgl. MüKoBGB/Kieninger, 9. Aufl. 2022, BGB § 399 Rn. 10 m.w.N.; aA Bergt in: Kühling/Buchner (Hrsg.), DS-GVO BDSG, 2. Aufl. 2018, Art. 82 Rn. 65; zusammenfassend für DSGVO-Ansprüche auch Wybitul/Leibold, ZD 2022, S. 207 (208) m.w.N.

36 Rechtsdienstleister könnten zwar auch nach anderen Modellen als dem Inkasso-Modell arbeiten, diese sind jedoch weniger attraktiv, weil dann der Verbraucher weiter Partei bleibt und die Forderung nicht direkt (und ohne weitere Verantwortung) in Geld umsetzen kann; siehe dazu Leßner, DSRITB 2019, S. 231 ff.

37Wybitul/Leibold, ZD 2022, S. 207 (208) mit Nachweisen zu Gerichtsurteilen.

38 Art. 80 Abs. 1 und 2 der DSGVO sehen Möglichkeiten vor, dass nicht nur der Einzelne wegen der Verletzung seiner eigenen Rechte auf Schadensersatz klagen darf, sondern dass er Dritte damit beauftragen könnte oder sogar Verbände aus eigener Initiative klagen könnten.

39Moos/Schefzig in: Taeger/Gabel (Hrsg.), DSGVO - BDSG – TTDSG, 4. Auflage 2022, Art. 80 DSGVO, Rn. 23.

40 Etwa Wirtschaftsverbände oder die Industrie- und Handelskammern im Unterlassungsklagegesetz.

41 Die AGB-Kontrolle nach § 1 UKlaG, das Verbandsklagerecht nach § 2 Abs. 1, 2 Nr. 11 UKlaG und den Rechtsbruchtatbestand nach § 3 a UWG. Seit dem Urteil des EuGH vom. 28.4.2022 – Az. C-319/20 ist auch bestätigt, dass diese Vorschriften neben Art. 80 der DSGVO anwendbar bleiben (was vorher rechtlich umstritten war).

42 Darstellung bei Moos/Schefzig in: Taeger/Gabel (Hrsg.), DSGVO - BDSG – TTDSG, 4. Auflage 2022,

Art. 80 DSGVO, Rn. 27 ff.; sowie Köhler in: Köhler/Bornkamm/Feddersen (Hrsg.), UWG, 41. Auflage 2023, § 2 UKlaG; Rn. 17ff.

43 § 2 Abs. 2 Nr. 11 UKlaG.

44