欧洲法院就网络攻击案件中损害赔偿的最低限度和举证责...

2023年12月14日，欧洲法院宣布了另外两项具有开创性的判决。案件C-456/22的判决解决了 GDPR 下损害赔偿要求是否可设定最低限度的问题。C-340/21案的判决涉及对所采取的技术和组织措施的适当性的评估、举证责任问题以及在未经授权披露个人数据（由于网络攻击）的情况下数据主体索要非物质损害的可能性。

在下文中，我们将总结欧洲法院裁决的主要发现，并强调它们可能对数据保护实践产生的潜在影响。特别是由于网络攻击数量众多且其后果严重（我们在一系列博客中对此进行了报道），这些判断可能具有相当重要的意义。

根据《条例》规定，损害赔偿没有最低限度。 82 GDPR
继欧洲法院在今年年初已经回答了有关非物质损害的问题（在针对奥地利邮政的诉讼案，案件号 C-300/21；我们报道过）之后，欧洲最高民事法院于 2023 年 12 月 14 日再次确认，对于《1989 年电气和电子工程专辑》意义内的损害，不存在最低限度。 82 GDPR。

欧洲法院表示，“ GDPR 第 82(1) 条并不要求，在证明违反本条例规定后，数据主体所声称的‘非物质损害’必须超过‘最低限度’才能获得赔偿。” （原文中没有粗体字）

法院的意见基于以下事实：根据 GDPR 第 146 条，“伤害”的概念必须被广泛解释。此外，如果由各国法院来决定哪些损害可以赔偿、哪些损害不能赔偿，这将与 GDPR 确保对自然人数据进行统一和高水平保护的目标（GDPR 第 32 条）相矛盾。

提交欧洲法院的这一问题的导火索是拉芬斯堡地区法院审理的一起案件。两名个人根据《条例》提起诉讼，要求赔偿损失。 82 GDPR，因为其个人数据被非法发布。乌门多夫市政府在其网站上公布了市议会会议议程，其中提到了原告的姓名，以及一份行政法院裁决，其标题中列出了原告的姓名和地址，法国商务传真列表 但没有任何法律依据。这些文件已在网上公开几天。

数据泄露后的赔偿
C-340/21 案判决的起点是2019 年 7 月针对保加利亚税务机关（国家税务局，简称 NAP）数据库的网络攻击。攻击者能够获取数百万受害者的个人数据，然后将其发布到互联网上。受影响的人当时对 NAP 提起了诉讼，因为他们担心这些数据被滥用。

原则上，根据《数据保护条例》第 14 条，受影响的人有权获得数据保护违规后的物质或非物质损失的赔偿。 82 GDPR。

除了有关艺术解释的各种问题之外。 24 GDPR和Art. 32 GDPR，欧洲法院必须澄清对滥用的担忧是否真的可以证明艺术意义内的非物质损害。 82 GDPR，以及“第三方”的访问在多大程度上可以真正归因于控制者。

存在损害
数据主体担心其数据因未经授权的访问而被滥用这一事实本身可能已经构成非物质损害，必须根据《条例》进行赔偿。 82 GDPR。

损害归因
仅因为损害是由《1989 年数据保护条例》第 6 条规定意义内的“第三方”的损害行为造成的，损害对控制者的责任并不终止。 GDPR第4（10）条。然而，控制者可以证明这种行为不归咎于他，因为他对造成损害的情况不负有责任。

措施的适用性
控制者有举证责任，证明所采取的技术和组织措施通常足以防止未经授权的数据访问。然而，在此背景下，欧洲法院发现，仅仅因为第三方未经授权访问/披露信息并不足以得出所采取的措施不足的结论。评估措施的适当性是国家法院的责任，并且必须根据具体情况进行，同时考虑到与处理相关的风险。对于专家的参与，我们无法做出一般性的陈述。在这里，也必须根据具体情况决定专家意见是否足以证明措施的适当性。

结论
通过这些裁决，欧洲法院明确表示，第 14 条规定范围内的任何物质或非物质损害均不构成损害。 82 GDPR 可以是可补偿的损害。关于损害金额的最低限度与 GDPR 的保护目标不相符。

如果控制者成为网络攻击的受害者，那么发生未经授权访问个人数据的事实并不会立即导致人们认为所采取的技术和组织措施不足。然而，责任人可能很难提供相反的确凿证据。公司在选择保护措施时应该意识到这一点，并定期监控和评估所采取的措施（例如以渗透测试的形式；更多信息可以在这里找到）。

欧洲法院裁定，对潜在数据滥用的担忧通常可归类为非物质损害，但这并不意味着原告无需根据具体情况采取行动。证明非金钱损害（担心可能遭受滥用）的要求将在国家实践中变得明显。然而，可以假设，一刀切的声明——正如过去在其他数据保护领域所发现的那样——并不构成采取行动的充分理由。

尽管这些判决对非金钱损害赔偿做出了进一步的明确，但在计算非金钱损害赔偿时应采用哪些标准仍不明确。因此，人们迫切需要关注欧洲法院将在 2023 年 12 月 21 日宣布的判决（案件 C-667/21 - Krankenversicherung Nordrhein）中进一步明确评估非金钱损害的标准，以及法院将如何重视这方面的过错程度。