Befürchtung vor Datenmissbrauch kann bereits Schaden darstellen: EuGH ebnet Weg für Massenklagen nach IT-Incidents
Veröffentlicht am 20th Dez 2023
Am 14. Dezember 2023 veröffentlichte der EuGH ein weiteres Urteil zur Auslegung des Schadensbegriffs in Art. 82 DSGVO, diesmal spezifisch im Zusammenhang mit dem Verlust von Daten nach einem Hacking-Angriff (C-340/21). Der Gerichtshof öffnet dabei die Tore für Massenklagen – etwa im Wege der neuen Verbandsklage, die die kollektive Durchsetzung von Schadensersatzansprüchen gegen Unternehmen ermöglicht. Das Urteil hat das Potential, die Risikolandschaft im Nachgang von IT-Incidents neu zu sortieren. Insbesondere Unternehmen, die massenhaft personenbezogene Daten von Verbrauchern verarbeiten, werden gezwungen sein, noch stärkeren Fokus auf IT-Sicherheit sowie den Umgang mit IT-Incidents (sowie die Dokumentation derartiger Ereignisse) zu legen.
- Zusammenfassung der entscheidenden Aussagen
- Der alleinige Umstand, dass ein Verantwortlicher einen IT-Vorfall erleidet, führt nicht automatisch zu einem Verstoß gegen Art. 24 oder 32 DSGVO. Der Verantwortliche ist vielmehr nur verpflichtet, technische und organisatorische Maßnahmen zu treffen, die geeignet sind, derartige Vorkommnisse „[…] so weit wie möglich zu verhindern“.
- Verantwortliche tragen jedoch die Beweislast für die Einhaltung von Art. 24 und 32 DSGVO, mithin ob die von ihnen implementierten Maßnahmen geeignet sind, einen solchen Vorfall „so weit wie möglich“ zu verhindern; dies gilt auch in etwaigen Schadensersatzverfahren.
- Das Dazwischentreten Dritter (vorliegend eines Hackers) führt nicht per se zu einem Ausschluss einer Haftung des Verantwortlichen. Vielmehr ist zu prüfen, ob die implementierten Maßnahmen zur Verhinderung solcher Angriffe angemessen waren.
- Befürchtungen vor einem möglichen Datenmissbrauch können einen ersatzfähigen, immateriellen Schaden darstellen. Jeder Betroffene muss diesen Schaden jedoch nachweisen. Es obliegt sodann den nationalen Gerichten, zu prüfen, ob die dargelegten Befürchtungen unter den gegebenen besonderen Umständen als begründet bzw. rational nachvollziehbar angesehen werden können.
- Hintergrund und Verfahrensgang
Im Jahr 2019 wurde eine bulgarische Behörde nach Medienberichten Opfer eines Hackerangriffs, bei dem sich die Angreifer unbefugt Zugang zu verschiedenen Steuer- und Sozialversicherungsdaten von Millionen von Personen verschafft haben. Die Daten sollen anschließend im Internet veröffentlicht worden sein. Eine betroffene Person klagte daraufhin auf Schadenersatz und machte geltend, sie habe Sorgen, Ängste und Befürchtungen wegen eines möglichen künftigen Missbrauchs erlitten.
Das Oberste Verwaltungsgericht Bulgariens hat das Verfahren dem EuGH vorgelegt. Hierbei ging es schwerpunktmäßig um zwei Fragenkomplexe: Wer ist für die Geeignetheit der implementierten IT-Schutzmaßnahmen (mithin die Einhaltung von Art. 32 DSGVO) beweisbelastet und können Befürchtungen vor einem (zukünftigen) Datenmissbrauch einen immateriellen Schaden i.S.v. Art. 82 DSGVO darstellen?
- Kernaussagen der Entscheidung
Erlittener Datenschutzvorfall führt nicht automatisch zum Verstoß gegen Art. 24, 32 DSGVO
Der EuGH führt zunächst aus, dass weder Art. 24 noch 32 DSGVO Verantwortlichen (oder auch Auftragsverarbeitern) die Pflicht auferlegen, das Risiko von Verletzungen des Schutzes personenbezogener Daten (gänzlich) zu beseitigen (Rn. 29). Vielmehr sei (im Sinne eines risikobasierten Ansatzes) nur geschuldet, technische und organisatorische Maßnahmen zu treffen, die geeignet sind, derartige Vorkommnisse „[…] so weit wie möglich zu verhindern“ (Rn. 30).
Der Gerichtshof beruft sich hierbei insbesondere auf die in Art. 5 Abs. 2 DSGVO verankerte Rechenschaftspflicht und betont hierzu in nachvollziehbarer Weise, dass eine derartige Nachweispflicht (hinsichtlich der Angemessenheit der implementierten Schutzmaßnahmen) gegenstandslos wäre, sofern der Verantwortliche ohnehin für jede Verletzung haften müsse (Rn. 34).
Verantwortliche tragen Beweislast für Einhaltung von Art. 32 DSGVO
Aus der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO leitet der EuGH zudem die Beweislast des Verantwortlichen (bzw. Auftragsverarbeiters) dafür, dass die von ihm implementierten Schutzmaßnahmen geeignet waren, ab (Rn. 52); dies gelte dabei auch im Rahmen von Schadensersatzansprüchen nach Art. 82 DSGVO (Rn. 53). Dem Verantwortlichen müsse aber stets die Möglichkeit verbleiben, den Gegenbeweis zu erbringen (Rn. 31) bzw. im Hinblick auf einen geltend gemachten Schadensersatzanspruch (vgl. Art. 82 Abs. 3 DSGVO).
Prüfungsobliegenheit der nationalen Gerichte
Sicherlich zur großen Freude der nationalen Gerichte erklärt der EuGH weiter, dass in erste Linie diese verpflichtet sind, eine solche umfassende Prüfung der Geeignetheit der vom Verantwortlichen implementierten Datensicherheitsmaßnahmen vorzunehmen, und spezifiziert weiter, dass dies „[…] eine materielle Prüfung dieser Maßnahmen anhand aller in [Art. 32 DSGVO] genannten Kriterien sowie der Umstände des Einzelfalls und der dem Gericht dafür zur Verfügung stehenden Beweismittel“ (Rn. 45), sowie „[…] eine konkrete Untersuchung sowohl der Art als auch des Inhalts der vom Verantwortlichen getroffenen Maßnahmen, der Art und Weise, in der diese Maßnahmen angewandt wurden, und ihrer praktischen Auswirkungen auf das Sicherheitsniveau, das der Verantwortliche in Anbetracht der mit dieser Verarbeitung verbundenen Risiken zu gewährleisten hatte“ (Rn. 46), umfasse.
Aus deutscher Sicht einleuchtend statuiert der Gerichtshof diesbezüglich weiter, dass das prüfende Gericht nicht verpflichtet ist, ein diesbezügliches Sachverständigengutachten anzufordern, sondern ebenfalls alle anderen verfügbaren Beweismittel berücksichtigen kann bzw. muss. Der Gerichtshof nennt hier etwa das Beispiel einer entsprechenden, kürzlich durchgeführten behördlichen Untersuchung (Rn. 62). Für den Fall, dass ein Sachverständigengutachten angefordert wird, ist das Gericht wiederum nicht an dessen Aussagen und Ergebnisse gebunden, sondern muss vielmehr eine eigenständige Überzeugung dahingehend bilden, ob die vom Verantwortlichen implementierten Sicherheitsmaßnahmen geeignet waren (Rn. 63, 64).
Dazwischentreten Dritter schließt Haftung nach Art. 82 DSGVO nicht per se aus
Der Gerichtshof führt weiter aus, der Umstand, dass ein IT-Vorfall letztlich von einem Dritten verursacht wird (nämlich durch den jeweiligen Angreifer), führe nicht per se zu einer Exkulpierung gemäß Art. 82 Abs. 3 DSGVO des Verantwortlichen von einer möglichen Haftung (Rn. 74).
Dies ist insoweit auch nachvollziehbar als der schadensbegründende Verstoß in dem Fall in einer Verletzung von Art. 32 DSGVO lag. Art. 32 DSGVO verpflichtet den Verantwortlichen jedoch unter anderem dazu, derartige Angriffe Dritter in angemessener Weise und so weit wie möglich (vgl. zuvor) zu verhindern. Für eine Enthaftung nach Art. 82 Abs. 3 DSGVO ist daher entscheidend, ob ein Verstoß gegen Art. 32 DSGVO seitens des Verantwortlichen den durch den Dritten begangenen Angriff ermöglicht hat bzw. das Unternehmen in keinerlei Hinsicht hierfür verantwortlich ist (Rn. 71, vgl. auch oben zur Beweislast).
Befürchtungen vor Datenmissbrauch können Schaden darstellen – aber nur begründete
Die Büchse der Pandora scheint der EuGH letztlich mit der Aussage zu öffnen, alleine die Befürchtung einer betroffenen Person, dass ihre Daten im Nachgang an einen Datenverlust missbraucht werden könnten, könne einen immateriellen Schaden i.S.v. Art. 82 DSGVO darstellen (Rn. 86). Diese Schlussfolgerung zieht der EuGH insbesondere aus Erwägungsgrund 85 zur DSGVO und merkt an, dass der Begriff „Schaden“ insbesondere auch den bloßen „Verlust der Kontrolle“ über Daten infolge eines Verstoßes gegen die DSGVO umfasst, selbst wenn konkret keine missbräuchliche Verwendung der betreffenden Daten zum Nachteil dieser Personen erfolgt sein sollte (Rn. 82).
Allerdings betont der Gerichtshof weiter – und schließt die Büchse somit auch wieder ein Stück weit –, dass die betroffene Person nachweisen muss, dass (i) der eingetretene DSGVO-Verstoß für sie negative Folgen gehabt hat und diese Folgen (ii) einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen (Rn. 84). Es obliegt sodann den nationalen Gerichten, zu prüfen, ob diese Befürchtung unter den gegebenen besonderen Umständen und im Hinblick auf die betroffene Person als begründet bzw. rational nachvollziehbar angesehen werden kann (Rn. 85). Wie das ebenfalls am 14. Dezember 2023 ergangene Urteil des EuGH in der Rechtssache C-456/22 (Gemeinde Ummendorf) zeigt, gilt hierfür allerdings gerade keine Erheblichkeitsschwelle (dort Rn 16, 22; zur Praxis deutscher Gerichte siehe dazu auch unten).
- Bewertung und prognostizierte Auswirkungen für die Praxis
Auswirkungen auf Post-Breach-Litigation und -Risikolandschaft / Kollektivklagen
Das vorliegende Urteil wird die Anzahl sowie den Ausgang der im Nachgang von Datenschutzvorfällen initiierten gerichtlichen Auseinandersetzungen mit Betroffenen erheblich beeinflussen, sowohl im Wege von Individual- oder auch Kollektivklagen (vgl. nachfolgend). Post-Breach-Litigation war bislang ein kaum relevanter Posten in der Risikolandschaft im Nachgang von Datenpannen. Dies wird sich aller Erwartung nach ändern.
Zum einen werden Verantwortliche hierdurch in eine für sie unvorteilhafte Verteidigungssituation gebracht. So müssen sie nachweisen, dass sie nicht gegen Art. 32 DSGVO verstoßen haben bzw. sie kein Verschulden an einem etwaig eingetretenen Schaden trifft. Betroffene müssen demgegenüber lediglich darlegen, dass sie von einem Vorfall betroffen waren (etwa aufgrund einer Mitteilung nach Art. 34 DSGVO oder über entsprechende Internetdienste) und hierdurch einen Schaden erlitten haben.
Dass nach Ansicht des EuGH bloße Befürchtungen vor Datenmissbrauch grundsätzlich einen immateriellen Schaden darstellen können, wird erwartungsgemäß zu deutlich mehr Verfahren führen, da sich der Fallout von Datenpannen regelmäßig auf einen Verlust der Kontrolle über die abhandengekommenen Daten beschränkt, ohne dass es zu konkreten (nachweisbaren) Missbrauchsfällen oder anderweitig schadensbringenden Ereignissen kommt.
Besondere Sprengkraft für Unternehmen hat die Entscheidung im Zusammenspiel mit der neuen Abhilfeklage, die sogenannte qualifizierte Einrichtungen, darunter Verbraucherschutzverbände, seit dem Inkrafttreten des Verbraucherrechtedurchsetzungsgesetztes (VDuG) am 13. Oktober 2023 gegen Unternehmen erheben können. Mit dem Gesetz wurde die EU-Verbandsklagerichtlinie 2020/1828 umgesetzt, die die Mitgliedstaaten verpflichtet, auf Leistung, insbesondere Schadensersatz, Reparatur, Ersatzleistung, Preisminderung, Vertragsauflösung oder Erstattung des gezahlten Preises, gerichtete Verbandsklagen gegen Unternehmen für von Verstößen gegen bestimmte EU-Rechtsakte, darunter die DSGVO, betroffene Verbraucher, auch grenzüberschreitend, zu ermöglichen. IT-Incidents, bei denen eine Vielzahl von Verbrauchern durch einen Abfluss ihrer personenbezogenen Daten betroffen sind, stellen dabei einen sehr relevanten Anwendungsfall der Abhilfeklage dar, da es sich hierbei um Konstellationen handelt, in denen eine Vielzahl von Verbrauchern durch den (vermeintlichen) gleichen Verstoß (jedenfalls im Wesentlichen) identisch betroffen sein können. Eine Bündelung und gemeinsame Durchsetzung dieser Ansprüche liegen daher nahe. Die Abhilfeklage kann ein Unternehmen daher selbst bei niedrigen individuellen Schadensbeträgen empfindlich treffen. Die Kombination aus dem neuen Verbandsklagerecht und der Entscheidung des EuGH birgt für von einem Datenleck betroffene Unternehmen daher ein hohes Risiko, insbesondere wenn dadurch die Daten einer großen Zahl von Personen veröffentlicht wurden.
Ausbildung von Fallgruppen zum Schadensbegriff durch nationale Gerichte
Misslich ist nach wie vor, dass der EuGH keine näheren Ausführungen dazu macht, wann die erlittenen negativen Folgen die Schwelle zum immateriellen Schaden überschreiten. Die nationalen Gerichte werden (eventuell mit Hilfe des EuGH) zudem weiter zu klären haben, (i) was unter Missbrauch zu verstehen ist und in welchen Konstellationen eine dahingehende Gefahr anzunehmen ist, sowie, (ii) unter welchen Bedingungen derartige Befürchtungen als begründet angesehen werden können.
Bislang waren die deutschen Gerichte eher zurückhaltend: Selbst wenn es keiner schweren Persönlichkeitsverletzung bedarf, reichte bisweilen jedenfalls kein bloßes Gefühl des Unwohlseins oder des Kontrollverlustes über seine Daten, sondern nur konkrete, nicht nur unbedeutende oder bloß empfundene Verletzungen von Persönlichkeitsrechten, um einen Schaden zu begründen (so ausdrücklich OLG Düsseldorf, BeckRS 2023, 4182; LG Karlsruhe, BeckRS 2021, 20347 Rn. 30 ff., LG Hamburg, ZD 2021, 99 Rn. 31; LG Essen, ZD 2022, 50 Rn. 49; AG Hannover, BeckRS 2019, 43221 Rn. 20; AG Diez, ZD 2019, 85 f.). Nach Erwägungsgrund 146 S. 6 der DSGVO muss der Schaden nämlich „erlitten“ worden sein, das heißt „spürbar“, objektiv nachvollziehbar sein (LG Bielefeld, GRUR-RS 2023, 3855 Rn. 46; LG Fulda, GRUR-RS 2023, 4570 Rn. 42; so auch GA Pitruzzella, Schlussanträge in der EuGH-Rechtssache C‑340/21, v. 27. April 2023, Rn. 83). Damit muss die Beeinträchtigung den Bereich der bloßen Unannehmlichkeit verlassen und die Grenze zur tatsächlichen persönlichkeitsrechtlich relevanten Beeinträchtigung überschritten werden (LG Bielefeld, GRUR-RS 2023, 3855 Rn. 46; OLG Dresden, ZD 2022, 235 Rn. 35; AG Frankfurt a.M., GRUR-RS 2020, 52065 Rn. 18 f.).
Ob sich diese Rechtsprechungspraxis infolge der vorliegenden Entscheidung sowie der Entscheidung „Gemeinde Ummendorf“ maßgeblich ändern wird, bleibt abzuwarten. So gilt im Rahmen von Schadensersatzansprüchen Art. 82 DSGVO zwar keine Erheblichkeitsschwelle. Dennoch muss die Beeinträchtigung des Betroffenen jedenfalls so stark ausgeprägt sein, dass sie einen (immateriellen) Schaden darstellt. Insofern statuiert der EuGH gleichermaßen, dass ein bloßer DSGVO-Verstoß eben nicht (automatisch) zu einer Ersatzpflicht führt. Vielmehr muss der Betroffene hierdurch auch einen Schaden erlitten haben. Diese Voraussetzung kann daher nicht durch ein zu niedrigschwelliges Verständnis des Schadensbegriffs ausgehebelt werden, unabhängig davon, dass innerhalb eines festgestellten Schadens keine Erheblichkeitsschwelle existiert, die darüber entscheidet, ob dieser Schaden zu ersetzen ist oder nicht.
Wahrscheinlich ist, dass sich über die nächsten Jahre eine entsprechende Kasuistik entwickeln wird, unter welchen Rahmenbedingungen ein immaterieller Schaden angenommen werden kann. Aller Erwartung nach wird es hierbei in erster Linie auf die vorliegende Missbrauchsgefahr der betroffenen Informationen ankommen. Dies kann sich dabei aus der besonderen Sensibilität der Informationen ergeben (vgl. wie in dem EuGH-Fall Steuer- und Sozialdaten sowie Gesundheitsdaten) oder, da die abhandengekommenen Daten ein inhärentes Missbrauchspotential haben (wie etwa Ausweiskopien, Bankverbindungs- und Kreditkarteninformationen usw.). Auch hier wird jedoch angemessen zu berücksichtigen sein, inwiefern im konkreten Sachverhaltszusammenhang tatsächlich eine rational nachvollziehbare Befürchtung vor Missbrauch gegeben ist, etwa wenn den Betroffenen hinreichende andere Schutzmaßnahmen zur Verfügung stehen (z.B. Multi-Faktor-Authentifizierung im Falle von potentiellem Identitätsdiebstahl usw.). Jedenfalls unzureichend sollten in aller Regel etwaige behauptete Sorgen und Nöte sein, wenn lediglich „Allerweltsdaten“ wie Name, E-Mail-Adresse, Telefonnummer oder Postanschrift von einem Datenleck betroffen sein sollten. Solche Angaben weisen in aller Regel keine besondere Sensibilität auf; ihre Offenlegung begründet auch kein relevantes Missbrauchspotential, um das sich der Kläger sorgen müsste (vgl. etwa LG Bonn, Urteil v. 10.05.2023, Az. 3 O 201/22 Rn. 38). Nicht nachvollziehbar ist in diesem Zusammenhang insbesondere die Angst vor einem gesteigerten Spam- oder Phishing-Aufkommen. Vielmehr entspricht der gelegentliche Erhalt unerwünschter E-Mails sowie Werbeanrufen und Werbe-SMS vor dem Hintergrund der stetig voranschreitenden Digitalisierung dem allgemeinen Lebensrisiko bei der Nutzung eines E-Mail-Kontos sowie (Mobil-)Telefons.
Anforderungen an Darlegung von ersatzfähigen Befürchtungen?
In der Vergangenheit sind Schadensersatzklagen oftmals daran gescheitert, dass die Betroffenen einen immateriellen Schaden in Form von bloßen Befürchtungen nicht hinreichend darlegen konnten. Es ist nicht zu erwarten, dass sich hieran durch das vorliegende Urteil etwas kategorisch ändern wird. So wurde hierdurch lediglich klargestellt, dass die bloße Befürchtung vor Datenmissbrauch grundsätzlich einen (immateriellen) Schaden darstellen kann. Auch in dem vorliegenden Urteil betont der Gerichtshof jedoch die betroffene Person müsse nachweisen, dass der eingetretene DSGVO-Verstoß für sie negative Folgen gehabt hat und diese Folgen einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen. Die nationalen Gerichte müssen sodann prüfen, ob diese Befürchtungen als begründet anzusehen sind bzw. rational nachvollziehbar sind. Diese Darlegungslast trifft nach wie vor die Kläger. Zu weiten Teilen entspricht dies auch bereits der Praxis jedenfalls der deutschen Gerichte:
So ist davon auszugehen, dass eine bloße pauschale Behauptung, einen „erheblichen Nachteil“ davon getragen zu haben, nach wie vor nicht die Annahme eines konkreten Schadens begründen sollte. Gleiches gilt für die geäußerten Sorgen, das erwähnte Misstrauen, den bloßen Verlust der Kontrolle personenbezogener Daten oder die reine Mutmaßung, dass Daten im Darknet verkauft worden seien (vgl. OLG Frankfurt, GRUR 2022, 1252 Rn. 62; LG Berlin, GRUR-RS 2023, 3860 Rn. 18f; LG Bonn, GRUR-RS 2023, 3862). So muss der Kläger vielmehr darlegen, dass ein Schaden “tatsächlich und sicher“ besteht und hierzu objektive Umstände darlegen, in denen sich „seine erlebten Empfindungen widerspiegeln, und dass nach der Lebenserfahrung der Datenschutzverstoß mit seinen Folgen Einfluss auf das subjektive Empfinden hat“ (OLG Hamm, Urteil v. 15.08.2023, Az. 7 U 19/23 Rn. 149). Es obliegt dem Kläger, die konkreten Missbrauchsfolgen so darzulegen, dass anhand dessen einzelfallbezogen beurteilt werden kann, ob nach der Lebenserfahrung eine durchschnittlich im Datenschutz sensibilisierte Person solche negativen Gefühle entwickeln würde, die über jene hinausgehen, welche sich automatisch entwickeln, wenn ein Gesetz zu Ungunsten der Person verletzt wird (so auch OLG Hamm, Urteil v. 15.08.2023, Az. 7 U 19/23 Rn. 154).
Wie können sich Unternehmen schützen?
Die Entscheidung wird nicht nur mit Blick auf das neue Verbandsklagerecht unweigerlich dazu führen, dass Unternehmen im Vorfeld einer Datenpanne stärkeren Fokus auf eine ordnungsgemäße Dokumentierung der Einhaltung von Art. 32 DSGVO werden legen müssen.
So deutet der EuGH an, dass er offenbar von einer sehr detaillierten und granularen Prüfung ausgeht, anhand welcher Faktoren die Geeignetheit der implementierten Maßnahmen zu bewerten ist: „Die Geeignetheit solcher Maßnahmen ist konkret zu bewerten, indem geprüft wird, ob der Verantwortliche diese Maßnahmen unter Berücksichtigung der verschiedenen in den genannten Artikeln aufgeführten Kriterien und der Datenschutzbedürfnisse getroffen hat, die speziell mit der betreffenden Verarbeitung sowie den davon ausgehenden Risiken verbunden sind“ (Rn. 30; Hervorhebungen durch die Verfasser).
Auch wenn der EuGH dies in erster Linie als Prüfpflicht für die nationalen Gerichte formuliert, wird dies unweigerlich dazu führen, dass Verantwortliche in einer entsprechenden Verteidigungssituation vor Gericht nach dieser Maßgabe werden vortragen und belegen müssen, sich an die Vorgaben von Art. 32 DSGVO gehalten zu haben. Dies wird dazu führen, dass Unternehmen verstärkt nicht nur auf die Implementierung entsprechender Schutzmaßnahmen, sondern auch ihre nachweisbare Dokumentierung achten werden müssen. Bei entsprechender Unternehmensgröße ist dabei unrealistisch anzunehmen, jedes einzelne Datenverarbeitungsverfahren im Hinblick auf die daraus spezifisch erwachsenden Risiken zu untersuchen, um entsprechende Schutzmaßnahmen zunächst abzuleiten und letztlich auch zu implementieren. Umsetzbarer erscheint dabei die Implementierung einer entsprechenden IT-Security-Baseline, die für jegliche Verarbeitung von personenbezogenen Daten Anwendung findet. Hierzu bedarf es jedoch initial einer entsprechenden unternehmensübergreifenden Gefahrenanalyse sowie einer Ableitung von entsprechend geeigneten Schutzmaßnahmen sowie eine Bewertung ihrer risikominimierenden Wirkung auf die identifizierten Gefahren. Für viele Unternehmen dürften solche Maßnahmen auch im Hinblick auf die Vorgaben der bis Oktober 2024 in nationales Recht umzusetzenden NIS-2 Richtlinie sinnvoll sein.
Sofern es tatsächlich zu einem IT-Incident gekommen ist, sollten umgehend die Ursachen erforscht werden. Danach sollte geprüft werden, ob etwaige Schutzdefizite den Vorfall verursacht oder jedenfalls maßgeblich erleichtert haben. Sofern dies nicht der Fall sein sollte, sollte dies für eine etwaige sich anschließende gerichtliche Auseinandersetzung genau dokumentiert werden. In jedem Fall sollten Verantwortliche alle vertretbaren Maßnahmen in ihrem Machtbereich einleiten, um ein etwaiges Missbrauchspotential der betroffenen Daten zu minimieren.