Schadensersatz wegen Datenschutz-verletzungen
Die größte Sorge bezüglich Datenschutz, und damit wahrscheinlich auch für viele Firmen der Grund sich überhaupt mit dem Thema zu befassen, war und ist für viele seit Einführung der DSGVO im Mai 2018 die Gefahr ein Bußgeld wegen eines Datenschutz-Verstoßes zu erhalten. Solch ein Bußgeld kann bis zu 20Mio Euro oder bis zu 4% des Jahresumsatzes eines Unternehmens bzw. Konzerns betragen und damit ein gewaltiges Loch in die Firmenkasse reißen.
Doch bei einem Verstoß gegen die Datenschutzgesetze sind Bußgelder nicht die einzige Art, wie ein Unternehmen sanktioniert werden kann, auch wenn sie immer noch als das schwerste finanzielle Risiko im Bereich Datenschutz gilt. Die DSGVO sieht aber noch einen anderen Anspruch gegen den Verursacher eines Datenschutzvorfalls vor, den Schadensersatzanspruch für jedermann.
Besonders zu erwähnen ist an dieser Stelle auch, dass bei der Geltendmachung von Schadensersatzansprüchen die, oft überlasteten, Datenschutzaufsichtsbehörden keine Rolle spielen. Der Schadensersatzanspruch wird vom Betroffenen vor einem ordentlichen Gericht geltend gemacht. Dazu reicht ein Verstoß gegen irgendeine Norm der DSGVO aus.
Schadensersatz nichts Neues
Ein Anspruch auf Schadensersatz ist, wie die meisten Regeln der DSGVO, kein unbekanntes Konzept im Datenschutzrecht. Schon nach § 7 BDSG (alt) war es einem Betroffenen möglich Schadensersatz geltend zu machen, wenn Datenschutzverstöße zu einer Verletzung seiner Persönlichkeitsrechte geführt haben. Allerdings wurde bisher nur selten von diesem Anspruch Gebrauch gemacht.
Anspruchsgrundlage und Voraussetzungen
Die Datenschutz-Grundverordnung (DSGVO) spricht jeder Person, die von einer Datenschutzverletzung betroffen ist, in Art. 82 Abs. 1 einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder den Auftragsverarbeiter zu.
Voraussetzungen für einen Schadensersatzanspruch sind danach ein Verstoß gegen die DSGVO, ein materieller oder immaterieller Schaden und ein Verschulden des Verantwortlichen oder Auftragsverarbeiters. Der Verstoß muss bei der Verarbeitung personenbezogener Daten geschehen, z.B. wenn Daten ohne Rechtsgrundlage oder zu anderen als den ursprünglich festgelegten Zwecken verarbeitet werden. Es kann also nicht nur wegen materieller, sondern auch bei immateriellen Schäden ein Anspruch auf Schadensersatz entsetehn. Bei einem materiellen Schaden handelt es sich um einen Vermögensschaden, deutlich häufiger kommt es bei Datenschutzverstößen jedoch zu immateriellen Schäden der Betroffenen, wenn beispielsweise deren personenbezogene Daten im Internet offen gelegt werden und somit die Privatsphäre der Betroffenen verletzt wurde. Ein Verschulden liegt dann vor, wenn der Verantwortliche oder Auftragsverarbeiter den Datenschutzverstoß vorsätzlich oder fahrlässig herbeigeführt hat. Fahrlässig handelt der Verantwortliche immer dann, wenn er die im Verkehr erforderliche Sorgfalt außer Acht gelassen hat, also beispielsweise wenn er in seinem Unternehmen kein Datenschutz-Management betreibt, unabhängig davon ob er verpflichtet ist einen Datenschutzbeauftragten zu benennen oder nicht.
Beweislast
Nach Art. 82 Abs. 3 DSGVO liegt die Pflicht, den Nachweis zu erbringen, dass sie für den Umstand durch den der Schaden entstanden ist nicht verantwortlich sind beim Verantwortlichen bzw. dem Auftragsverarbeiter. Das heißt, dass im Falle dass ein Betroffener sein Recht auf Schadensersatz wegen einer vermeintlichen Datenschutzverletzung, der Verantwortliche oder Auftragsverarbeiter dem Gericht beweisen müssen, dass sie keine Schuld bezüglich der Verursachung des Schadens treffen. Dazu können die Dokumentationen des Verantwortlichen bezüglich der Erfüllung der Anforderungen der DSGVO nützlich sein, beispielsweise ein ausführliches Verzeichnis der Verarbeitungstätigkeiten. Es gilt dabei, je genauer die Dokumentation umso besser für den Beschuldigten. Fehlt eine Datenschutz-Dokumentation ganz sieht es nicht gut aus für den Verantwortlichen oder Auftragsverarbeiter, denn er hat kaum Chancen seine „Unschuld“ zu beweisen.
Anzumerken ist an dieser Stelle noch, dass ein Schadensersatzanspruch gegen jede verantwortliche Stelle, also im Gegensatz zu einem Bußgeld auch gegen öffentliche Stellen wie Behörden, geltend gemacht werden kann.
Höhe des Schadensersatzes
Eine Begrenzung der Höhe des Schadensersatzes ist in Art. 82 DSGVO nicht vorgesehen. Erwägungsgrund 146 zur DSGVO gibt den Hinweis, dass bei der Bestimmung des materiellen Schadens eine weite Auslegung unter Berücksichtigung der EuGH-Rechtsprechung angewendet werden soll und die Ziele der DSGVO zu beachten sind. Die Höhe des Schmerzensgeldes für immaterielle Schäden soll sich an der Genugtuungs- und der Abschreckungsfunktion des Schmerzensgeldes orientieren.
Die mir bekannten bisher gezahlten Beträge für Schadensersatzansprüche wegen Datenschutzverstößen bewegten sich zwischen 500 und 1500 Euro pro Geschädigtem. Das klingt zunächst erstmal recht wenig, deshalb soll an dieser Stelle nur einmal die Anzahl an Betroffenen von größeren Datenschutzvorfällen in Deutschland der letzten Jahre genannt werden:
Sky-Deutschland: ca. 1000 Betroffene.
Callcenter-Unternehmen SG Sales and Distribution GmbH: mind. 1400 Betroffene
EnergySparks: Mind. 6000 Betroffene
Mastercard Priceless: über 89000 Betroffene
Deutsche Wohnen: mehrere Hunderttausende Betroffene
1&1 Telecom GmbH: mehrere Hunderttausende Betroffene
Buchbinder: rund 3 Millionen Betroffene
EasyJet: rund 9 Millionen Betroffene
Schadensersatzforderungen als Geschäftsmodell
„Kleinvieh macht auch Mist. Sich darum zu kümmern ist allerdings aufwändig“ so beginnt der Werbetext auf Kleinfee.com. Dabei handelt es sich um einen Anbieter, der sich darauf spezialisiert hat die Schadensersatzansprüche von Datenschutzverletzungen Betroffener zu sammeln und gemeinsam geltend zu machen, dafür verlangt der Anbieter eine Provision des erfolgreich durchgesetzten Schadensersatzes. Das Team von Kleinfee sind dabei nicht die einzigen, die es Betroffenen leichter machen gegen große Unternehmen, die nicht verantwortungsvoll genug mit den personenbezogenen Daten ihrer Kundinnen oder Kunden oder auch Mitarbeiterinnen und Mitarbeitern umgegangen sind, vorzugehen. Auch die europäische Gesellschaft für Datenschutz mbH (EuGD) bietet einen ähnlichen „Service“. Neuerdings ist nun auch das große Schadensersatzportal rightnow auf diesen Zug aufgesprungen und bietet Hilfe bei der Geltendmachung von Ansprüchen aus Art. 82 DSGVO.
Seien Sie vorbereitet!
Man sieht also, die Brisanz des Themas Datenschutz im Unternehmen nimmt nicht ab, sondern wird wichtiger und wichtiger. Um eine Schadensersatzforderung gegen Ihr Unternehmen zu vermeiden, macht es für jedes Unternehmen Sinn sich die Hilfe von Experten auf dem Gebiet des Datenschutzrechts zu sichern. Um auf alles vorbereitet zu sein, falls es doch einmal zu einer Schadensersatzklage kommt, kommt kein Unternehmen oder Behörde um eine ausführliche und exakte Dokumentation der Prozesse aus Datenschutzsicht herum.
Wenn Sie dabei Hilfe brauchen steht Ihnen das Team der Data & Privacy Datenschutzberatung gerne zur Seite. Vereinbaren Sie einfach ein kostenloses Gespräch zur Erstberatung unter info@dataandprivacy.de oder 0163 9137601.
