Nachwirkungen der IT-Panne bei Crowdstrike „Falcon Sensor“

Am letzten Freitag hat ein Fehler in der Sicherheitssoftware „Falcon Sensor“ zu massiven IT-Problemen geführt. Betroffen waren Windows-PC weltweit. Nicht nur in den USA, auch teilweise in Deutschland, so an den Flughäfen BER und HAM, musste der Flugverkehr vorrübergehend eingestellt werden. An der Lösung des Problems wird gearbeitet und in kurzer Zeit sollten die PCs wieder reibungslos arbeiten. Doch damit dürfen die Nachwirkungen für die Fluggesellschaften – und andere betroffene Unternehmen – nicht gänzlich ausgestanden sein.

Viele Flüge mussten annulliert werden oder konnten nur verspätet durchgeführt werden. Da in dieser Konstellation Passagiere grundsätzlich einen Anspruch auf Ausgleichzahlung nach der Verordnung (EG) Nr. 261/2004 haben könnten, stellt sich die Frage, ob die Fluggesellschaften nach Art. 5 Abs. 3 der Verordnung (EG) Nr. 261/2004 bei einem Fehler in der Sicherheitssoftware eine Enthaftung für sich in Anspruch nehmen könnten. Auch wenn auf den ersten Blick viel dafür spricht, da die Software-Panne von der Fluggesellschaft nicht beherrschbar war und auch von außen auf den Betrieb einwirkte. Allerdings ist zu befürchten, dass Claim Management Companies eine ähnliche Argumentation versuchen, wie bei den ATC-Slot-Fällen, in dem sie behaupten, auch eine funktionstüchtige IT sei Teil der Betriebssphäre der Fluggesellschaften. Bei der Verteidigung dieser Fälle dürfte es daher notwendig werden, die konkrete Ursache und genauen Auswirkung auf den Betrieb und die Flugplanstörung darzulegen. Hinzu kommt dann auch die Thematik der zumutbaren Maßnahmen im Hinblick auf die Umbuchungsbemühungen, da nicht alle Fluggesellschaften gleichermaßen von der Störung betroffen gewesen sein dürften.

Aber Klagen auf der Grundlage der FluggastrechteVO dürften nicht die einzigen Ansprüche sein, denen Fluggesellschaften ausgesetzt sein könnten. So ist noch nicht klar, ob die IT-Panne nicht auch noch ein Eintrittstor für Cyber-Kriminelle werden kann, die Daten von den Servern abziehen oder verschlüsseln. Ebenso wenig ist ausgeschlossen, dass es auf andere Weise zum Abfluss von personenbezogenen Daten kommen kann. Der EuGH hat auf der Grundlage der Datenschutzgrundverordnung (DSGVO) Verbrauchern, deren personenbezogene Daten missbraucht werden, auch immateriellen Schadensersatz dem Grund nach zuerkannt. Auf der Grundlage des Art. 82 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Ersatz dieses Schadens gegen den Verantwortlichen. Dieser Verantwortliche ist die Fluggesellschaft, wenn durch diese Datenpanne Daten von ihren Servern abgeflossen, d.h. Daten ihrer Kunden betroffen sind. Zwar besteht dieser Anspruch nicht, wenn die Fluggesellschaft nachweisen kann, dass sie alle technischen und organisatorischen Maßnahmen nach der DSGVO ergriffen hat. Es ist aber nicht nur eine technische, sondern auch eine rechtliche Herausforderung, diesen Beweis vollumfänglich im Prozess zu erbringen. Ähnlich wie bei den Passagierklagen auf Zahlung einer Ausgleichsleistung gibt es auch in dem Bereich des Datenschutzes spezialisierte Verbraucher-Anwaltskanzleien, die die möglichen Schadensersatzansprüche der Passagiere bewerben und geltend machen. Dies ist bereits eine bekannte Folge bei erlittenen Cyber Security Angriffen in der jüngsten Vergangenheit. Es ist daher zu befürchten, dass der aktuelle IT-Vorfall daher auch hier eine große Anzahl von Klagen nach sich ziehen könnte, wenn es zu einem Datenabfluss kommt.

Die Verteidigung der Fluggesellschaft gegen diese Schadensersatzklagen ist aber trotzdem möglich und kann auch sehr erfolgreich gelingen. Denn nach der Rechtsprechung des EuGH (zuletzt: Urteile vom 4. Mai 2023, C-300/21 und vom 14. Dezember 2023, C-340-21) muss die verletzte Person nicht nur den tatsächlich eingetretenen immateriellen Schaden nachweisen, sondern auch die Kausalität zwischen dem Datenabfluss und dem behaupteten Schaden. Dies stellt nach unseren Erfahrungen im Prozess eine Hürde für die Kläger dar. Daher sollte hier ein Schwerpunkt bei der Verteidigung gelegt werden, der jedoch von Seiten der Fluggesellschaft besondere Mühe und Befassung verlangt. Dann jedoch bestehen gute Chancen, derartige Klagen abzuwehren.